Aktualności

GMBot: nowe sposoby na wyłudzanie danych z przeglądarek mobilnych

Data publikacji: 16/05/2016, Malgorzata Debska

Złośliwe oprogramowanie na system Android o nazwie GMBot (inna nazwa slempo) było już przez nas opisywane w październiku ubiegłego roku. Aplikacja do wyłudzania danych logowania do banku używała tzw. metody przesłonięcia aplikacji (ang. application overlay). Jest to nic innego jak zwykły atak phishingowy, w działaniu dosyć podobny do znanej metody używania webinjectów w systemach z rodziny Windows. Zgodnie z naszymi przewidywaniami, używanie przesłonięcia aplikacji stało się dosyć popularne w złośliwych aplikacjach androidowych. W ciągu ostatniego półrocza powstało wiele wersji oprogramowania swoim działaniem przypominających GMBota. W każdym przypadku przesłonięcie dotyczyło wyłącznie aplikacji zainstalowanych na telefonie (aplikacje bankowe, komunikatory, e-mail). W zeszłym tygodniu, do naszego laboratorium trafiła jednak próbka, która oprócz przesłonięcia aplikacji bankowej stara się także wyłudzić dane dostępowe do banku z mobilnej przeglądarki internetowej.

Czytaj więcej

SECURE 2016 – Call for Speakers

Data publikacji: 26/04/2016, przemek

SECURE, odbywający się w dn. 25 oraz 26 października w Warszawie, jest konferencją poświęconą w całości bezpieczeństwu teleinformatycznemu i adresowaną do administratorów, członków zespołów bezpieczeństwa oraz praktyków z tej dziedziny. Cechą wyróżniającą SECURE spośród innych konferencji jest przede wszystkim chęć dostarczania rzetelnych i merytorycznych informacji o tym, co naprawdę istotne i aktualne, przede wszystkim z pierwszej ręki – od najlepszych ekspertów i praktyków. Zapewnia to swoim wieloletnim doświadczeniem organizator konferencji: działający w ramach NASK zespół CERT Polska. Wśród tematów szczególny nacisk kładziemy na praktyczne rozwiązania, najnowsze trendy w przeciwdziałaniu zagrożeniom oraz istotne zagadnienia prawne. Uczestnicy mają dostęp do najnowszej wiedzy, a przez to zyskują możliwość podnoszenia swoich kwalifikacji oraz cennej wymiany doświadczeń.

Ataki z wykorzystaniem sieci teleinformatycznych stają się coraz bardziej groźne w skutkach. Oprócz zwykłej przestępczości, z którą coraz skuteczniej radzą sobie organy ściągania, mamy do czynienia choćby z wyłudzeniami na kwoty mierzone w milionach euro, ukierunkowanym oprogramowaniem ransomware, które szyfruje zasoby np. kancelarii prawniczych czy instytucji służby zdrowia. Byliśmy także świadkami kolejnych ataków na systemy przemysłowe, choćby w przypadku sieci energetycznych na Ukrainie. Jednocześnie, sieci teleinformatyczne coraz bardziej przenikają wszystkie sfery życia, wraz z tendencją do czynienia wszystkich urządzeń „inteligentnymi”. Wiąże się to nierozerwalnie ze zwiększeniem płaszczyzny ataków. Wyzwaniem w zwalczaniu poważnych ataków staje się między innymi atrybucja, a więc jak najbardziej rzetelne przypisanie aktorów do konkretnych działań. Większość mechanizmów umożliwiających rozliczalność działań w Internecie napotyka na opór wynikający z potrzeby ochrony prywatności użytkowników. Czy interesy te zawsze będą pozostawały w konflikcie?

Jeśli chciałbyś podzielić się z innymi wiedzą z tych tematów, lub czujesz się ekspertem w jednej z dziedzin wymienionych poniżej, niniejsze zaproszenie jest właśnie do Ciebie.

SECURE 2016 odbędzie się w dniach 25-26 października, w centrum konferencyjnym Airport Hotel Okęcie w Warszawie. Tematykę konferencji wyznaczają trzy główne nurty:

  • techniczny – ze szczególnym uwzględnieniem nowatorskich i praktycznych rozwiązań
  • organizacyjny – ze szczególnym naciskiem na dostrzeganie nowych trendów w zagrożeniach
  • prawny – ze szczególnym naciskiem na rzeczywiste możliwości ścigania sprawców przestępstw

Prezentacje

Poszukujemy osób gotowych do wygłoszenia prezentacji, która porusza przynajmniej jeden z poniższych tematów

  • ewolucja i analiza złośliwego oprogramowania (wirusy, trojany, robaki, botnety itp)
  • wykrywanie włamań
  • nowatorskie zastosowania systemów honeypot i systemów sandbox
  • ataki APT
  • monitorowanie bezpieczeństwa w sieci
  • bezpieczeństwo smartfonów i aplikacji mobilnych
  • techniki wizualizacji zdarzeń bezpieczeństwa
  • bezpieczeństwo systemów SCADA i ataki na sieci przemysłowe
  • wczesne ostrzeganie o zagrożeniach w sieciach teleinformatycznych
  • obsługa incydentów bezpieczeństwa
  • standardy wymiany informacji dotyczących bezpieczeństwa
  • ataki DDoS i techniki obrony
  • skuteczność narzędzi w zwalczaniu nowych technik ataków
  • narzędzia open source w bezpieczeństwie
  • ochrona tożsamości w sieci
  • prywatność, poufność i anonimowość w sieci
  • steganografia w sieciach teleinformatycznych
  • czynnik ludzki w bezpieczeństwie
  • prawo polskie i europejskie w odniesieniu do bezpieczeństwa teleinformatycznego
  • działania organów ścigania w zakresie zwalczania przestępczości teleinformatycznej
  • projekty naukowe z dziedziny bezpieczeństwa teleinformatycznego

Ważne informacje o prezentacjach

  • zgłoszenia należy przesyłać wyłącznie poprzez stronę https://easychair.org/conferences/?conf=secure2016
  • do zgłoszenia wymagane jest przygotowanie tytułu prezentacji, krótkiego abstraktu oraz informacji o autorze
  • pytania dotyczące procesu zgłaszania i selekcji prezentacji należy zgłaszać na adres [email protected]
  • przewidywany czas na prezentację to 45 minut, w tym czas na pytania i odpowiedzi
  • prezentacja nie może mieć charakteru reklamowego
  • materiały należy nadsyłać w formatach OpenOffice, Microsoft Office lub PDF
  • prezentacje zostaną udostępnione uczestnikom konferencji w formie elektronicznej
  • organizatorzy zapewniają bezpłatny pełny udział w całej konferencji (nie dotyczy warsztatów) oraz imprezie wieczornej w dn. 25 października 2016 r.; organizatorzy nie pokrywają kosztów podróży i zakwaterowania

Ważne terminy

  • nadsyłanie zgłoszeń – do 4 lipca 2016 r.
  • wybór prezentacji – do 2 sierpnia 2016 r.
  • nadsyłanie prezentacji – do 10 października 2016 r.

Krótkie wystąpienia

Zapraszamy uczestników konferencji SECURE do dzielenia się na gorąco swoimi ideami, pytaniami oraz problemami. Podczas jednego z bloków konferencji zaprosimy do przedstawiania krótkich wystąpień, dotyczących dowolnego tematu związanego z bezpieczeństwem teleinformatycznym.

Ważne informacje o krótkich wystąpieniach

  • maksymalny czas jednego wystąpienia to 5 minut. Łączny czas na wszystkie wystąpienia będzie ograniczony.
  • zgłoszenia chęci krótkiego wystąpienia można dokonać w dowolnym momencie po zarejestrowaniu się jako uczestnik konferencji, także w trakcie jej trwania.
  • organizatorzy zastrzegają sobie prawo ostatecznej decyzji o dopuszczeniu do wystąpienia

Krajobraz bezpieczeństwa polskiego Internetu w 2015 – raport roczny z naszej działalności

Data publikacji: 22/04/2016, alex

Okładka raportu 2015
Przedkładamy Państwo raport o bezpieczeństwie polskiego Internetu i działalności CERT Polska w roku 2015.

Raport podzieliliśmy na kalendarium, opisujące najważniejsze naszym zdaniem wydarzenia z bezpieczeństwa sieciowego jakie miały miejsce w zeszłym roku, opis naszych działań, krajobraz zagrożeń i opracowane na podstawie naszych danych statystyki.

Zapraszamy Państwa do lektury naszego raportu. Zachęcamy do współpracy i uczestnictwa w podejmowanych przez nas projektach i inicjatywach. Bezpieczeństwo w sieci zależy od nas wszystkich – żaden podmiot działając samodzielnie nie sprawi, że sieć w Polsce będzie wolna od zagrożeń.

Do przeczytania raportu zapraszamy tutaj.

Złośliwy iBanking – stary sposób infekcji, nowe pomysły utrudniające odinstalowanie

Data publikacji: 16/03/2016, Malgorzata Debska

W ostatnim czasie do CERT-owego laboratorium trafiła próbka złośliwego oprogramowania typu iBanking podszywającego się pod mobilną aplikację skanera antymalware’owego Trusteer Rapport. Scenariusz ataku nie jest niczym nowym, był wielokrotnie wykorzystywany w przeszłości, jednak w ostatnim czasie zauważamy wzrost ataków tego typu wymierzonych w Polskich użytkowników bankowości elektronicznej. Analizowana aplikacja okazała się dużo trudniejsza w usunięciu, a jej kod o wiele lepiej zaciemniony niż wcześniejsze programy tego typu.

Czytaj więcej

MadProtect, not that mad

Data publikacji: 03/02/2016, mak

Some weeks ago we stumbled on a packer that our tools could not break. Surprisingly, this is actually not that common since most of the malware in the wild uses some sort of RunPE technique which is relatively trivial to break using simple memory tracing.

MadProtect is not any different, it looks like a “HackingForums-grade” packer – nevertheless our tools failed to handle it properly. At first we did not look into the original binary, which was a mistake that could have saved us a lot of unnecessary effort into debugging our code. Instead, it turned out to be enough to look at the logs from tracer and binaries it produced.

The dumped binaries looked somewhat weird with a bunch of nops and other junk code which seems to do nothing. What struck us as odd was the regularity of nop-blocs: all of them seemed to be 0×10 bytes long (yes, we know we cannot count  ), and we can see a lot of 0×10 bytes writes in tracer logs: coincidence?
Czytaj więcej

Następca Banatrixa: dodatek do przeglądarki

Data publikacji: 21/01/2016, Malgorzata Debska

zorro_foxW ostatnim czasie do laboratorium naszego zespołu trafiła próbka złośliwego oprogramowania atakująca polskich użytkowników bankowości elektronicznej. Analiza tego zagrożenia daje nam podstawy twierdzić, że jest to kolejne oprogramowanie napisane przez tego samego autora (albo grupę autorów) co wcześniej opisywany przez nas Banatrix, kampania mailowa, rzekomo od Poczty Polskiej czy zeszłoroczny Slave .
Czytaj więcej

Praca w CERT

Data publikacji: 17/12/2015, piotrk

Czy chciał(a)byś pracować w CERT Polska? Jesteśmy dynamicznie rozwijającym się zespołem, który jest jednym z wiodących polskich podmiotów zajmujących się bezpieczeństwem w sieci Internet. Jesteśmy zawsze na bieżąco z wydarzeniami, współpracując ściśle z czołowymi instytucjami, firmami i organami ścigania z Polski i całego świata. Często jesteśmy na pierwszej linii analizując nowe zagrożenia, od najnowszych exploitów po analizę malware’u czy botnetu.
Czytaj więcej

Unieszkodliwienie botnetów Dorkbot

Data publikacji: 04/12/2015, piotrk

Wspólnie z firmami Microsoft oraz ESET i we współpracy z US-CERT/DHS, FBI, Interpolem i Europolem wzięliśmy udział w działaniach mających na celu unieszkodliwienie grupy botnetów Dorkbot. Kulminacja tych działań – destabilizacja botnetów – miała miejsce 3 grudnia. Dorkbot to złośliwe oprogramowanie, funkcjonujące w sieci od 2011, którego głównym celem jest kradzież danych (w tym danych uwierzytelniających), wyłączenie aplikacji bezpieczeństwa (np. programów antywirusowych) i dystrybucja innego złośliwego oprogramowania. Według wstępnych danych szacunkowych w ostatnim roku Dorkbot zainfekował co najmniej milion komputerów z systemem Windows na całym świecie, a średnia miesięczna infekcji wynosiła około 100 tysięcy maszyn. Wśród celów byli również internauci z Polski.
Czytaj więcej

...23456...1020...