Aktualności

Analiza techniczna rodziny CryptoMix/CryptFile2

Data publikacji: 04/01/2017, Jarosław Jedynak

skull and crossbones malware

Kampania

CryptoMix to kolejna rodzina ransomware która próbuje zdobyć pieniądze dla swoich twórcow przez szyfrowanie plików ofiar i wymuszanie na nich okupu za odszyfrowanie ich.
Do niedawna była znana bardziej jako CryptFile2, ale z nieznanych nam powodów została rebrandowana i teraz jest rozpoznawalna jako CryptoMix.
Została zaobserwowana niedawno jako malware serwowane przez Rig-V exploit kit.

Ten malware wyróżnia się na tle innych popularnych odmian, ale niekoniecznie pozytywnie.

Czytaj więcej

Zadanie Capture The Flag w ramach ECSM 2016 – wyniki i rozwiązanie

Data publikacji: 08/12/2016, Mateusz Szymaniec

Na przełomie października i listopada organizowaliśmy dla Państwa konkurs typu Capture The Flag w ramach Europejskiego Miesiąca Bezpieczeństwa Cybernetycznego.

Pierwszy etap zadania rozpoczęło ponad 300 osób, do ostatniego dotarło ponad 60 osób, a trójka najszybszych, którzy przesłali poprawne rozwiązanie zadania to:

    1. Hubert Barc (rozwiązanie nadesłane 3 godziny i 22 minuty po rozpoczęciu konkursu),
    2. Sergiusz Bazański (5 godzin i 34 minuty),
    3. Piotr Florczyk (5 godzin i 37 minut).


Zwycięzcom serdecznie gratulujemy!

Wszyscy chętni, którzy nie wzięli udziału w konkursie mogą nadal sprawdzić swoje umiejętności na stronie https://ecsm2016.cert.pl.

Poniżej przedstawiamy również sposób rozwiązania wszystkich etapów konkursu.
Czytaj więcej

Zadanie Capture The Flag w ramach ECSM 2016 – [AKTUALIZACJA 31 paź]

Data publikacji: 28/10/2016, Mateusz Szymaniec

Na koniec października, czyli wybranego przez Komisję Europejską oraz ENISA miesiąca poświęconego bezpieczeństwu teleinformatycznemu, chcielibyśmy zaprosić Państwa do wzięcia udziału w naszym małym konkursie typu Capture The Flag. W ramach tej akcji mamy do rozdania egzemplarze najnowszej książki pod redakcją Gynvaela Coldwinda oraz Mateusza Jurczyka: Praktyczna inżynieria wsteczna. Autorem jednego z rozdziałów jest jeden z naszych researcherów, Maciej Kotowicz.

Rozwiązanie zadania konkursowego będzie wymagać od jego uczestników wykorzystania umiejętności z zakresu inżynierii wstecznej, kryptografii czy bezpieczeństwa aplikacji internetowych.

Konkurs będzie trwać przez miesiąc od soboty, 29 października, godz. 12:00 do 29 listopada. Do nagrody uprawnione będą trzy pierwsze osoby, które zgłoszą rozwiązanie oraz prześlą w odpowiednim czasie opis rozwiązania zadania.

Opis zadania, wraz z regulaminem, w momencie rozpoczęciu konkursu znajdzie się na stronie ecsm2016.cert.pl.

W razie pytań oraz ewentualnych problemów prosimy o kontakt pod adres [email protected] wstawiając w tytule [ECSM2016].

Aktualizacja, 31. października

Serdecznie miło nam poinformować, że przez pierwszy weekend trwania konkursu wpłynęło do nas aż 7 poprawnych zgłoszeń! Z pierwszą trójką skontaktujemy się wkrótce w sprawie odbioru nagród. Dziękujemy za udział w zabawie oraz zachęcamy pozostałych by nadal próbowali rozwiązać zadanie.
Na przełomie listopada i grudnia opublikujemy dokładny opis rozwiązania.

TorrentLocker: złośliwa faktura za telefon

Data publikacji: 24/10/2016, Paweł Srokosz

Na początku października otrzymaliśmy zgłoszenie o kolejnej kampanii spamowej, wymierzonej w klientów sieci Play i dystrybuującej oprogramowanie ransomware. Rozsyłane maile mają postać fałszywych faktur, z załączonym skryptem JS, który pobiera i uruchamia złośliwe oprogramowanie, znane pod nazwą TorrentLocker (określanym również jako Crypt0L0cker).

Czytaj więcej

Tofsee – modularny spambot

Data publikacji: 16/09/2016, Adam Krasuski

Tofsee, znany również pod nazwą Gheg, to kolejny analizowany przez nas botnet. Jego głównym celem jest rozsyłanie spamu, jednak może on wykonywać także inne zadania. Jest to możliwe dzięki modularnej budowie malware’u – składa się on z głównego pliku wykonywalnego (tego, którym infekuje się użytkownik), który później pobiera z serwera C2 kilkanaście dodatkowych bibliotek DLL rozszerzających działanie kodu poprzez nadpisywanie niektórych wywoływanych funkcji swoimi własnymi. Przykładem takiej DLL-ki może być moduł do rozprzestrzeniania się poprzez postowanie wiadomości na Facebooku i VKontakte (rosyjskim portalu społecznościowym).

Czytaj więcej

Necurs – hybrydowy botnet spamowy.

Data publikacji: 02/09/2016, Adam Krasuski

Necurs to jeden z większych botnetów na świecie – według informacji podawanych na stronie MalwareTech jest to nawet kilka milionów infekcji, z czego średnio kilkaset tysięcy jest aktywnych. Zainfekowane komputery rozsyłają e-maile ze spamem do wielu odbiorców – zwykle stylizowane są na prośbę o poprawienie faktury czy potwierdzenie zamówienia. W ich załącznikach znajduje się skrypty, które po uruchomieniu instalują malware – zazwyczaj Locky, który po infekcji szyfruje pliki użytkownika i żąda za nie okupu. Necurs jest siecią hybrydową – połączeniem modelu scentralizowanego Command and Control, zapewniającego szybkie wydawanie komend do botów, z modelem peer-to-peer, który uniemożliwia wyłączenie całości botnetu poprzez przejęcie pojedynczego serwera. Nie jest zatem zaskoczeniem tak wielki sukces tego malware’u.
Czytaj więcej

Network traffic periodicity analysis of dark address space

Data publikacji: 01/08/2016, piotrb

Network traffic directed to dark address space of IPv4 protocol can be a good source of information about current state of the Internet. Despite the fact that no packets should be sent to such addresses, in practice various traffic types can be observed there, for example echoes of Denial of Service (DoS) attacks, automated port scanners or misconfiguration of some client software. Example of a DFT plotOften the packets are sent periodically, i.e. in regular intervals. This periodicity can be analyzed by applying the Discrete Fourier Transform (DFT) to the network traffic. Our report shows how such analysis can be performed and also its results. You can read the report here.

12345...1020...