Tag: złośliwe strony

Ataki na użytkowników sklepów osCommerce – analiza

Data publikacji: 29/07/2011, CERT Polska

osCommerce infection

Firma Armorize poinformowała na swoim blogu o odkryciu infekcji na witrynach zasilanych przez popularny framework osCommerce. Do tej pory ilość infekcji szacuje się na ponad 300.000 (w domenie .pl: 19.000) a liczba ta stale rośnie (w porównaniu do odpowiednio: 90.000 i 400 infekcji w dniu 25.07). Hakerzy na atakowanych witrynach wstrzykują zapisy przekierowujące przeglądarkę na strony z exploitami. Jeśli przeglądarka i system użytkownika jest podatna na któryś z exploitów, dochodzi do infekcji jego komputera. W systemie operacyjnym tworzone są nowe procesy, które pobierają z Internetu resztę złośliwego oprogramowania – boty spamujące. W efekcie komputer użytkownika zamienia się w rozsyłającą spam maszynę-zombie.

Czytaj więcej

CERT Polska w Dubaju

Data publikacji: 13/10/2010, CERT Polska

CERT Polska in DubaiNa przełomie września i października działający w ramach NASK zespół CERT Polska przeprowadził na zaproszenie rządowego zespołu CERT Zjednoczonych Emiratów Arabskich (aeCERT) wdrożenie systemu HoneySpider Network w Dubaju.

Dzięki zastosowaniu systemu HSN aeCERT zyskał możliwość proaktywnego wykrywania i monitorowania złośliwych stron WWW, zarówno na terenie Zjednoczonych Emiratów Arabskich, jak i na świecie. Poza wdrożeniem systemu członkowie CERT Polska przeprowadzili szkolenia z zakresu jego obsługi, utrzymania oraz tworzenia raportów. Zorganizowano także trzydniowe warsztaty dotyczące ataków na aplikacje klienckie, w szczególności na przeglądarki internetowe i wtyczki do nich. Na potrzeby szkoleń stworzono wirtualne laboratorium zawierające spreparowane złośliwe strony WWW do analizy.

Techniki wykrywania złośliwych stron WWW

Data publikacji: 25/03/2010, CERT Polska

Techniki wykrywania złośliwych stron WWWWraz ze wzrostem zainfekowanych stron internetowych pojawiają się również narzędzia służące do identyfikacji oraz analizy złośliwego kodu. Potrafią one wydobywać kod (głównie JavaScript, ale także VBScript) z dokumentów HTML i PDF oraz z animacji Flash. Następnie, w badanym kodzie, wyszukiwane są exploity. Mogą to być standardowe przepełnienia bufora jak i pływające ramki pobierające szkodliwy program, czy automatyczne przekierowania do złośliwych stron. Do takich narzędzi należą min. PhoneyC, jsunpack oraz wepawet.

Czytaj więcej

Nowa luka w Internet Explorer – zalecenia CERT Polska

Data publikacji: 19/01/2010, CERT Polska

IE-0day

W związku z ostatnimi doniesieniami na temat zidentyfikowania nowej luki typu 0day, która pozwala na uruchomienie złośliwego kodu na komputerze użytkownika, zespół CERT Polska zaleca :

  1. Zrezygnować z używania przeglądarki Internet Explorer 6
  2. W przypadku używania przeglądarki Internet Explorer – korzystać  z wersji 7 lub 8 z WŁĄCZONYM trybem „Protected Mode” [1] oraz aktywować funkcję DEP (Data Execution Prevention) [2]
  3. W przypadku konieczności korzystania z funkcjonalności ograniczonej uruchominiem „Protected Mode” lub DEP wykorzystywanie alternatywnych przeglądarek (np: Mozilla Firefox, Opera, Chrome, itp.)

Aktualizacji łatającej lukę można spodziewać się nie wcześniej, jak 9 lutego.

Jak podaje blogs.technet.com aktualizacji możemy spodziewać się juz 21 stycznia 2010

Więcej informacji na temat luki oraz przeglądarek podatnych na atak można znaleźć na stronie blogs.technet.com. Można tam znaleźć również opis jak zabezpieczyć się przed opisaną luką.

Swoją opinią w sprawie omawianej luki podzielił się z nami Polski oddział firmy Microsoft Corporation.

Stanowisko Microsoft przesłane do CERT Polska :

Microsoft jest zaniepokojony faktem, że został opublikowany kod wykorzystujący lukę bezpieczeństwa, która dotyka klientów używających przeglądarki Internet Explorer 6. Pragniemy podkreślić, że dzięki zaawansowanym narzędziom bezpieczeństwa w Internet Explorer 8, do tej pory nie zaobserwowano podobnych ataków na komputery użytkowników korzystających z tej wersji przeglądarki. Nie stwierdziliśmy także żadnych ataków na użytkowników korzystających z Internet Explorer 7.

W celu ochrony naszych konsumentów, zalecamy wszystkim klientom natychmiastowy upgrade przeglądarki do wersji Internet Explorer 8.

Konsumenci powinni także rozważyć zastosowanie się do tymczasowych rozwiązań dostarczonych w Biuletynie Bezpieczeństwa.