Aktualności

Analiza złośliwego oprogramowania Ostap (Backswap dropper)

Data publikacji: 01/06/2018, Paweł Srokosz

    Od pewnego czasu obserwujemy rosnący stopień złożoności złośliwych skryptów rozsyłanych za pośrednictwem poczty elektronicznej. Zazwyczaj, widząc skrypt w załączniku wiadomości phishingowej, mogliśmy z dużym prawdopodobieństwem założyć, że będzie to prosty dropper, mający na celu wyłącznie pobranie i instalację złośliwego oprogramowania. Coraz częściej zdarza się jednak, że skrypt nie kończy działania po wykonaniu głównego zadania i czeka na dodatkowe komendy. Przykładami są m.in. vjw0rm wykorzystywany w kampaniach ransomware’u Vortex (opisany w 2016 r. przez Cert OPL), a także Ostap będący przedmiotem niniejszego artykułu.

    Artykuł stanowi wstęp do analizy złośliwego oprogramowania Backswap, dla którego Ostap jest pierwszym etapem infekcji. Nasza analiza Backswap pojawi się wkrótce!

    Czytaj więcej

    SECURE 2018 – Call for Speakers

    Data publikacji: 30/05/2018, piotrb


    Rozpoczynamy poszukiwanie prelegentów na tegoroczną edycję konferencji SECURE. Jeżeli posiadasz wiedzę na interesujący temat i chciałbyś przedstawić go w gronie światowej klasy ekspertów ds. bezpieczeństwa IT, zachęcamy do zapoznania się z zasadami zgłoszeń poniżej.
    Czytaj więcej

    Podatności w implementacjach OpenPGP oraz S/MIME: „EFAIL”

    Data publikacji: 14/05/2018, Mateusz Szymaniec

    Niemieccy badacze bezpieczeństwa 14 maja 2018 roku opublikowali pracę dotyczącą występowania możliwych podatności bezpieczeństwa w niektórych implementacjach protokołów OpenPGP oraz S/MIME używanych m.in. do szyfrowania wiadomości e-mail. W niektórych przypadkach, atakujący posiadający dostęp jedynie do zaszyfrowanej wiadomości są w stanie odzyskać pełną treść odszyfrowanej wiadomości.

    Czytaj więcej

    Mtracker – nasz sposób na śledzenie złośliwego oprogramowania

    Data publikacji: 26/01/2018, Jarosław Jedynak

      Opis rozwiązania

      CERT Polska jest uczestnikiem projektu SISSDEN (Secure Information Sharing Sensor Delivery event Network). Jednym z naszych celów w projekcie jest stworzenie różnych źródeł informacji związanych z bezpieczeństwem komputerowym, które będą następnie przetwarzane przez odpowiednie jednostki (np. badaczy bezpieczeństwa i akademickich, CERT-y, organy ścigania itp.).

      Czytaj więcej

      Analiza polskiego BankBota

      Data publikacji: 16/01/2018, Agnieszka Bielec


        Analiza polskiego BankBota

        Niedawno zaobserwowaliśmy kampanie z wykorzystaniem złośliwego oprogramowania na systemy Android skierowane do polskich użytkowników. Malware stanowi wariant popularnej rodziny BankBot, różniący się od oryginalnego oprogramowania kilkoma szczegółami. Do infekcji dochodziło przez instalację aplikacji z serwisu Google Play Store. W Google Play Store zostały umieszczone co najmniej 3 próbki, które obeszły jego zabezpieczenia antywirusowe. Nazwy złośliwych aplikacji to:

        • Crypto Monitor
        • StorySaver
        • Cryptocurrencies Market Prices

        Zgodnie z analizą firmy ESET dwie pierwsze próbki z samego Google Play Store zostały pobrane od 1000 do 5000 razy. Niemniej za każdym razem malware kamuflował się jako niegroźna aplikacja.

        Czytaj więcej

        Rozwiązania zadań z konkursu Capture The Flag w ramach ECSM 2017

        Data publikacji: 28/11/2017, Mateusz Szymaniec

        Na koniec października, czyli wybranego przez Komisję Europejską oraz ENISA miesiąca poświęconego bezpieczeństwu teleinformatycznemu, zorganizowaliśmy mały konkurs typu Capture The Flag.

        Na zakończenie konkursu mamy przyjemność zaprezentować zwycięzców:

          1. valis (rozwiązanie nadesłane 12 godzin i 12 minut po rozpoczęciu konkursu),
          2. Borys Popławski (14 godzin i 19 minut),
          3. Krzysztof Stopczański (22 godziny i 16 minut).

        Gratulujemy zwycięzcom, a wszystkim dziękujemy za udział w konkursie!

        Chętni nadal mogą rozwiązać zadania na stronie ecsm2017.cert.pl.

        Czytaj więcej

        Konkurs Capture The Flag w ramach ECSM 2017

        Data publikacji: 27/10/2017, Mateusz Szymaniec

        Na koniec października, czyli wybranego przez Komisję Europejską oraz ENISA miesiąca poświęconego bezpieczeństwu teleinformatycznemu, chcielibyśmy zaprosić Państwa do wzięcia udziału w naszym małym konkursie typu Capture The Flag.

        Rozwiązanie zadań konkursowych będzie wymagać od jego uczestników wykorzystania umiejętności z zakresu inżynierii wstecznej, kryptografii czy bezpieczeństwa aplikacji internetowych.

        Wśród nagród znajdują się: Parrot Jumping Sumo oraz drony: Parrot Rolling Spider oraz Parrot Mambo. Każde z urządzeń można zaprogramować przy użyciu dostępnego API.

        Konkurs będzie trwać przez dwa tygodnie, od poniedziałku, 30 października, godz. 16:00 do 14 listopada. Do nagród uprawnione będą trzy pierwsze osoby, które zgłoszą rozwiązania oraz prześlą w odpowiednim czasie opis rozwiązania zadań.

        Opis zadań, wraz z regulaminem, w momencie rozpoczęciu konkursu znajdzie się na stronie ecsm2017.cert.pl.

        W razie pytań oraz ewentualnych problemów prosimy o kontakt pod adres [email protected] wstawiając w tytule [ECSM2017].

        Głębsze spojrzenie na moduły Tofsee

        Data publikacji: 19/10/2017, Jarosław Jedynak

        logo

        Tofsee jest złośliwym oprogramowaniem z wieloma funkcjami – może kopać bitcoiny, wysyłać emaile, kraść dane dostępowe, wykonywać ataki DDoS i wiele więcej.

        Pisaliśmy już o Tofsee/Ghegu kilka miesięcy temu – nasza analiza znajduje się pod adresem https://www.cert.pl/news/single/tofsee. Znajomość tamtego posta jest potrzebna żeby w pełni zrozumieć obecnie omawiany temat. Ten post ma za zadanie tylko rozszerzyć tamte badania, koncentrując się na funkcjach wtyczek, których wcześniej nie opisaliśmy.

        Podsumujemy pokrótce każdy moduł i podkreślimy jego najważniejsze możliwości.

        Czytaj więcej