Tag: atak

Kolejna kampania ataków na routery klienckie

Data publikacji: 11/03/2015, alex

Badając incydenty zgłoszone przez użytkowników, odkryliśmy kolejną kampanię ataków na bankowość internetową prowadzoną poprzez przejmowanie routerów klienckich.

Metoda ta znana jest od ponad roku, polega na przejęciu kontroli nad domowym routerem ofiary i zmianie ustawień serwerów DNS. Router przydzielający adresy w domowej sieci komputerom i urządzeniom przenośnym, podaje też ustawienia serwerów DNS, i w ten sposób użytkownicy lokalnej sieci zaczynają używać serwerów DNS kontrolowanych przez przestępców. Serwery te działają tak jak serwery legalne, z jednym wyjątkiem – kiedy użytkownik otwiera stronę banku, zamiast niej kierowany jest na serwer pośredniczący, udający stronę banku. Strona ta nie jest prawdziwą stroną banku i użytkownik loguje się do banku pozostając pod kontrolą przestępców, którzy wykorzystują jego dostęp do wyprowadzenia pieniędzy z konta.
Czytaj więcej

Ruch klientów banków jest przechwytywany i modyfikowany na skutek luk w routerach

Data publikacji: 06/02/2014, przemek

malware-mitr

Pod koniec 2013 roku do zespołu CERT Polska dotarły potwierdzone informacje o pojawianiu się komunikatów sugerujących modyfikację stron bankowych przez złośliwe oprogramowanie na… urządzeniach iPhone. Użytkownicy takich urządzeń oglądali komunikat o zmianie numeru konta bankowego, która powinna zostać potwierdzona kodem jednorazowym. Sam scenariusz był nam dobrze znany jako jedna z wersji injectów wykorzystywanych przez trojany bankowe. Skąd jednak taki trojan na iPhonie? Ponieważ byłby to pierwszy przypadek tego typu ataku na tę platformę, w dodatku ukierunkowany na polskich klientów systemów bankowych, zwrócił on naszą szczególną uwagę. W wyniku analizy zostało ustalone wiele możliwych scenariuszy przeprowadzenia ataku, włącznie z metodami infekcji urządzenia z systemem iOS. Niestety, z powodu braku wystarczających szczegółów dotyczących infekcji nie byliśmy w stanie jednoznacznie określić metody przeprowadzenia ataku.Czytaj więcej

Otwarte serwery DNS – najlepszy przyjaciel ataków DDoS

Data publikacji: 28/03/2013, CERT Polska

OpenResolver

DDoS via DNS?

Ataki DoS (denial-of-service) znane są od dawna. Jedynym ich celem jest sparaliżowanie infrastruktury teleinformatycznej ofiary – a co za tym idzie uniemożliwienie świadczenia usługi w sieci. Jedną z najbardziej popularnych form tego ataku jest wersja rozproszona – DDoS (distributed denial-of-service).

Od kilku dni trwa jeden z największych znanych do tej pory ataków DDoS. Jak donoszą media (np. BBC NEWS, The New York Times) wielkość ataku dochodzi do 300 Gbps (gigabitów na sekundę!). Co ciekawe do przeprowadzenia tego ataku zostały użyte otwarte serwery DNS. W jaki sposób?

Czytaj więcej

Coraz bardziej wyrafinowane ataki spyware na klientów bankowości internetowej

Data publikacji: 25/09/2012, CERT Polska

javascrip inject

Wakacje się skończyły, młodzież ruszyła do szkół, studenci na poprawki egzaminów, a przestępcy komputerowi do pracy. Od początku września monitorujemy pojawiające się w plikach konfiguracyjnych oprogramowania szpiegowskiego wpisy dotyczące systemów transakcyjnych polskich banków. Atakuje ono komputery użytkowników systemu Windows, a po zainstalowaniu podsłuchuje wszystkie przesyłane informacje (w tym głównie loginy i hasła), oraz – jeżeli posiada dodatkowe instrukcje w pliku konfiguracyjnym – dokonuje podmiany treści wybranych stron internetowych tuż przed ich wyświetleniem. To złośliwe oprogramowanie to najnowsze odmiany ZeuS-a: Citadel oraz Zeus-p2p (malware oparty na kodzie ZeuS 2.0.8.9, który wyciekł wiosną 2011 roku).

Czytaj więcej

UWAGA! SpyEye w PDF atakuje polskich internautów!

Data publikacji: 06/04/2011, CERT Polska

SpyEye PDF

Dzięki współpracy polskich zespołów bezpieczeństwa, związanych inicjatywą Abuse-Forum, udało się wykryć oraz przeanalizować nowe zagrożenie. Od 03.04.2011 do polskich internautów trafia wiadomość e-mail zawierająca w załączniku złośliwy dokument PDF. Z analiz przeprowadzonych przez CERT Polska wynika, że po otwarciu załączonego pliku komputer zostaje zainfekowany złośliwym oprogramowaniem SpyEye. Oprogramowanie to wykrada poufne informacje wprowadzane przez użytkownika na stronach internetowych (w tym systemach bankowości elektronicznej).

POD ŻADNYM POZOREM NIE NALEŻY OTWIERAĆ ZAŁĄCZNIKA!
Wiadomość taką dla bezpieczeństwa należy skasować. Można ją przekazać do laboratorium CERT Polska wysyłając na adres cert@cert.pl.

Jak rozpoznać złośliwą wiadomość ?

Czytaj więcej

Złośliwe pliki Flash

Data publikacji: 08/02/2011, CERT Polska

Pliki Flash, pomimo zbieżności nazwy, nie mają nic wspólnego z przenośnymi pamięciami USB. Flash to zwyczajowe określenie na pliki o rozszerzeniu .swf, przenoszące animacje oraz zapewniające pewien poziom interaktywności. SWF, z angielskiego wymawiane swiff, początkowo przenosiły wyłącznie grafiki wektorowe, lecz szybko okazało się, że jest zapotrzebowanie na coś więcej. Kiedy w 1996 roku firma Macromedia zaprezentowała FutureSplash Animator, program do tworzenia animacji wektorowych, nikt nie spodziewał się, że efekt pracy kilkunastu osób zwróci uwagę takiego giganta jak Microsoft. Niewątpliwie, wykorzystanie technologii Flash do realizacji stron MSN czy Disneya, wpłynęło bardzo pozytywnie na dalszy rozwój tego nieformalnego standardu animacji internetowych.

Czytaj więcej

Nowe techniki przełamywania zabezpieczeń Windows 7

Data publikacji: 27/12/2010, CERT Polska


Zabezpieczenia typu ASLR (ang. Address Space Layout Randomization) oraz DEP (ang. Data Execution Prevention) to techniki mające na celu zabezpieczenie systemu operacyjnego przed włamaniami przez wykorzystanie błędów w oprogramowaniu użytkowym. W systemie Windows funkcjonują one począwszy od wersji XP SP 2, jednak pod koniec roku 2010 w sieci pojawiły się exploity omijające oba te zabezpieczenia nawet w jego w najnowszych wersjach (np.: exploity w dokumentach PDF). W artykule „Nowe techniki przełamywania zabezpieczeń Windows 7 w malware” prezentujemy wyniki badań nad tymi exploitami. Szczegółowo omówiony został proces przejmowania kontroli nad wykonywanym w podatnych aplikacjach kodem oraz przedstawione zostały sposoby zabezpieczenia systemu przed atakami tego rodzaju. Zapraszamy do lektury!

Wykorzystanie luki w ProFTPd

Data publikacji: 18/11/2010, CERT Polska


ARAKIS

Niedawno (5 listopada) pisaliśmy o błędzie przepełnienia bufora w aplikacji ProFTPd. System ARAKIS zarejestrował próby włamania z wykorzystaniem exploitów na tę lukę. Jako źródło ataku określiliśmy sieć znajdującą się na terenie Stanów Zjednoczonych, a zastosowany do ataku exploit to prawdopodobnie skrypt Perl opublikowany na liście full-disclosure kilka dni po ujawnieniu luki. W najbliższym czasie należy się spodziewać zwiększonej częstotliwości skanowań usług FTP oraz ślepych prób ich wykorzystania.

Exploit