Aktualności

Praca w CERT

Data publikacji: 17/12/2015, piotrk

Czy chciał(a)byś pracować w CERT Polska? Jesteśmy dynamicznie rozwijającym się zespołem, który jest jednym z wiodących polskich podmiotów zajmujących się bezpieczeństwem w sieci Internet. Jesteśmy zawsze na bieżąco z wydarzeniami, współpracując ściśle z czołowymi instytucjami, firmami i organami ścigania z Polski i całego świata. Często jesteśmy na pierwszej linii analizując nowe zagrożenia, od najnowszych exploitów po analizę malware’u czy botnetu.
Czytaj więcej

Unieszkodliwienie botnetów Dorkbot

Data publikacji: 04/12/2015, piotrk

Wspólnie z firmami Microsoft oraz ESET i we współpracy z US-CERT/DHS, FBI, Interpolem i Europolem wzięliśmy udział w działaniach mających na celu unieszkodliwienie grupy botnetów Dorkbot. Kulminacja tych działań – destabilizacja botnetów – miała miejsce 3 grudnia. Dorkbot to złośliwe oprogramowanie, funkcjonujące w sieci od 2011, którego głównym celem jest kradzież danych (w tym danych uwierzytelniających), wyłączenie aplikacji bezpieczeństwa (np. programów antywirusowych) i dystrybucja innego złośliwego oprogramowania. Według wstępnych danych szacunkowych w ostatnim roku Dorkbot zainfekował co najmniej milion komputerów z systemem Windows na całym świecie, a średnia miesięczna infekcji wynosiła około 100 tysięcy maszyn. Wśród celów byli również internauci z Polski.
Czytaj więcej

System bezpieczeństwa cyberprzestrzeni RP

Data publikacji: 12/11/2015, piotrk

Ministerstwo Administracji i Cyfryzacji opublikowało zleconą NASK (w tym zespołowi CERT Polska) ekspertyzę pt. „System bezpieczeństwa cyberprzestrzeni RP”. Blisko 200 stronicowy dokument jest opracowaniem kompleksowym, poruszającym się w wielu warstwach problematyki. Stanowi opis aktualnej sytuacji w Polsce w dziedzinie ochrony cyberprzestrzeni na poziomie krajowym. Przyjmując stan obecny za punkt wyjścia, dokument zawiera propozycje organizacji przyszłego systemu bezpieczeństwa, zarówno w warstwie strategicznej jak i operacyjnej.Czytaj więcej

Hackme ECSM 2015 [AKTUALIZACJA 05.11]

Data publikacji: 21/10/2015, Łukasz Siewierski

PL_ECSM_logo_2014

Październik został wybrany przez Komisję Europejską oraz ENISA jako miesiąc poświęcony bezpieczeństwu teleinformatycznemu. Podobnie jak w zeszłym roku, chcąc zachęcić studentów do badania aspektów bezpieczeństwa informatycznego, przygotowaliśmy proste zadanie. W ramach tej akcji mamy do rozdania książkę: „Podręcznik pentestera” oraz komplet obu części: „The Hacker Playbook” oraz „The Hacker Playbook 2”. Książkę, wraz z gadżetami, otrzyma 5 pierwszych osób, które prawidłowo odpowiedzą na postanowione poniżej dwa pytania. Pierwsze 3 osoby otrzymają komplet obu części „The Hacker Playbook”, a następne dwie otrzymają po egzemplarzu „Podręcznika pentestera”. Zapraszamy do udziału w zabawie!
Czytaj więcej

Grupa Pocztowa

Data publikacji: 14/10/2015, Łukasz Siewierski

Podczas konferencji SECURE zaprezentowaliśmy nasze ustalenia dotyczące działalności grupy przestępczej, którą nazwaliśmy „Grupą Pocztową” ze względu na ich modus operandi. Szczegółowe ustalenia dotyczące tej grupy zebraliśmy również w formie raportu dostępnego pod poniższym linkiem.Czytaj więcej

GMBot: Androidowa uboższa wersja webinjectów

Data publikacji: 02/10/2015, Łukasz Siewierski

maldroidOstatnio do laboratorium CERT Polska trafiła próbka nowego złośliwego oprogramowania na systemy Android o nazwie GMBot. Oprogramowanie to stara się ulepszyć obecną technikę trojanów bankowych, która składa się z dwóch części: jednej na systemy Windows i jednej na systemy Android. Zamiast tego używana jest technika o nazwie application overlay (po polsku będziemy to nazywać przesłonięciem aplikacji), która ma służyć uzyskaniu danych do logowania do konta bankowego ofiary za pomocą ataku phishingowego. Znaleźliśmy także wcześniejszy kod źródłowy tego złośliwego oprogramowania na jednej z rosyjskich stron służących do dzielenia się plikami. Przesłonięcie aplikacji w GMBot jest bardzo podobne do metody używania webinjectów w systemach z rodziny Windows. Gdy pojawił się Zeus, webinjecty szybko stały się standardem. Czy podobnie będzie z GMBotem?
Czytaj więcej

Jak nieistniejące nazwy domenowe mogą pomóc w wykryciu botnetów DGA?

Data publikacji: 01/10/2015, piotrb

dga_icon

Algorytmy generowania domen (ang. Domain Generation Algorithm) używane są w botnetach do utrudnienia blokowania połączeń do serwerów Command and Control, a także do zapobiegania przejęciu infrastruktury danego botnetu. Ich głównym celem jest stworzenie dużej liczby nazw domenowych, które zwykle wyglądają jak pseudolosowe ciągi znaków, np. pkjdgjwzcr.pl. Tylko niektóre z wygenerowanych domen są rejestrowane przez botmastera, niemniej zainfekowane maszyny wysyłają zapytania DNS o wszystkie z nich. Z tego powodu boty mogą otrzymywać dużą liczbą odpowiedzi o nieistnieniu domeny (non-existent domain – NXDomain). W tym wpisie pokażemy na przykładzie różnych metod detekcji jak takie zachowanie może być wykorzystane do wykrycia botnetów DGA.
Czytaj więcej

...23456...1020...