17.9.2021
Ne Mirai, temveč Mēris!
Po krajšem zatišju na sceni DDoS se človek že boji slabih novic. Te prihajajo z vzhodne in zahodne poloble.
Junija letos je bila napadena finančna inštitucija v ZDA z zmogljivostjo 17,2 milijona zahtevkov na sekundo (RPS), 5. septembra infrastruktura podjetja Yandex v Rusiji z zmogljivostjo 21,8 milijona RPS. Cilj naj bi bila neka ruska banka.
Oba napada spadata med rekordne dosežke DDoS-industrije. Napadena je bila tudi spletna stran znanega raziskovalca kibernetskih nevarnosti Briana Krebsa,
https://krebsonsecurity.com/.
Zakaj so ti napadi posebni? Pri DDoS-napadih večinoma uporabljamo merilo bitov na sekundo (bps) ali število paketov na sekundo (pps), ki velja pretežno za volumetrične napade. V tokratnih napadih je bilo uporabljeno merilo RPS (requests per second), ker gre za na videz legitimen promet vzpostavljanja HTTP-povezav, kar napad uvršča med aplikativne DDoS-napade.
Sprva so pojavnost napadov povezovali z botnetom Mirai, vendar se je izkazalo, da gre za ločeno botnet družino, ki so jo poimenovali Mēris. Raziskovalci podjetja Qrator Labs so skupaj z Yandexom ugotovili, da to družino sestavljajo kompromitirane naprave proizvajalca MikroTik po vsem svetu. Takšnih naprav naj bi bilo več kot 200.000 in njihovo število se še povečuje. Največ jih je v ZDA (42 %) in na Kitajskem (19 %).
Napadi izkoriščajo mehanizem HTTP pipelining, ki pri regularni uporabi pospeši odzivnost spletnih strani, žal pa jih pri zlorabi v DDoS-napadih še dodatno ojača.
Spodnja slika prikazuje izjemen porast prometa na infrastrukturi Yandexa v času napada glede na običajno stanje (RPS).
Napad na Yandex je trajal le nekaj minut in zastavlja se vprašanje, komu je bil namenjen. Verjetno so napadalci testirali zmogljivost v produkcijskem okolju oziroma »kazali mišice«. Kaj se bo iz tega izcimilo, bo pokazal čas.
V Telekomu Slovenije imamo zmogljiv sistem zaščite DDoS v lastnem omrežju in pri zaščiti sodelujemo tudi s ponudniki višjega nivoja. Kljub temu je napad DDoS v takšnih dimenzijah vsakič znova svojevrsten izziv.
Viri:
Zaradi bogatije zaprto!
Ena zanimivejših novic zadnje dni je, da zapira svoja vrata največja trgovina z ukradenimi podatki o bančnih karticah na temnem spletu, po imenu Joker's Stash. Zainteresiranim kupcem je še do 15. februarja letos ponujala svojo bazo z na desetine milijonov zbranih kartičnih podatkov. Vrednost, ki jo je s prodajo ukradenih podatkov v vsem času delovanja od leta 2014 pridobila, je ocenjena na več kot milijardo dolarjev. Nič čudnega, da se je Joker's Stash odločil za upokojitev. Kaj je pravi razlog, pa nihče zares ne ve. Oktobra lani je lastnik trgovine precej resno zbolel za covidom-19 in svoje okrevanje v bolnici tudi opisal, kar ni značilno za kriminalce takšnega kova. Kmalu zatem je organom pregona uspelo onemogočiti nekatere njegove strežnike, vendar jih je hitro nadomestil, in kot se za pravo trgovino spodobi, ni utrpel večje škode.
Vrednost njegovega premoženja je s strmo rastjo vrednosti kriptovalute bitcoin strmo narasla, hkrati pa so se njegovi odjemalci začeli pritoževati nad kakovostjo podatkov. Kaže, da mu je z rastjo bogastva vnema za zadovoljstvo strank pojenjala, in zaprtje bi lahko bila logična posledica. Joker's Stash ima veliko tekmecev in posnemovalcev, zato se ni bati, da bi posel z ukradenimi kartičnimi podatki zamrl. V praksi se izkaže, da je vsak novi ponudnik v tem poslu še inovativnejši in agilnejši. Zato še naprej pazite, kako ravnate s svojimi bančnimi podatki in karticami.
Nenazadnje pa je Joker's Stash ob slovesu zapisal še to pomenljivo misel:
»Ne pozabite, da vas niti ves denar na svetu ne bo osrečil in da so vse resnično dragocene stvari v tem življenju brezplačne.«
Viri:
Z mednarodno akcijo onemogočen najnevarnejši botnet na svetu
Preiskovalci so z operacijo na globalni ravni, prevzeli nadzor nad infrastrukturo najnevarnejšega botneta v zadnjem desetletju, imenovanega Emotet. Pri operaciji, so sodelovali organi pregona na Nizozemskem, v Nemčiji, ZDA, Veliki Britaniji, Franciji, Litvi, Kanadi in Ukrajini, s pomočjo sodelovanja Europola in Eurojusta. Operacija v kateri so zasegli več tisoč računalnikov, je bila izvedena v okviru EMPACT-a (multidisciplinarna platforma proti kriminalnim grožnjam). V akciji, ki je potekala v Ukrajini, so aretirali dva skrbnika Emotet infrastrukture.
Infrastuktura Emoteta (Vir: europol.europa.eu)
O kakšni vrsti zlonamernega programa govorimo?
Emotet predstavlja eno izmed najbolj profesionalnih in dolgotrajnih oblik groženj kibernetske kriminalitete. Prvič so ga odkrili leta 2014 v Nemčiji in Avstriji, ko se je pojavil v obliki bančnega trojanskega virusa s ciljem, da pridobi dostop do prijavnih podatkov strank spletnega bančništva. Z leti se je razširil v zlonamerni virus, ki spletnim kriminalcem odpira vrata v računalniške sisteme. Kot tak, se je tudi uveljavil. Infrastruktura Emotet je omogočala dostope do računalniških sistemov, ti dostopi pa so se nato prodajali drugim skupinam kibernetskih kriminalcev, da so lahko izvajali svoje kriminalne aktivnosti (najpogosteje je šlo za krajo podatkov in za izsiljevalske programske viruse – angl.
Ransomware).
Glavna značilnost poznejših različic Emoteta je, da uporablja črvu podobne zmogljivosti, za pomoč pri repliciranju na druge, povezane računalnike. Ščiti se s funkcijo zakrivanja pred protivirusnimi programi, izkoristi pa se ga lahko tudi za nameščanje drugih zlonamernih programov. Zaradi tega je ameriški Urad za domovinsko varnost (angl. Department of Homeland Security) označil Emotet-a za enega najdražjih in najbolj uničujočih zlonamernih programov, ki prizadene državni in zasebni sektor, posameznike in organizacije. Odstranjevanje tega virusa pa lahko stane več kot milijon dolarjev na posamezni incident.
Emotet se je najpogosteje uporabljal za namestitev nekaterih, bolj znanih zlonamernih programov:
-
Trickster: bančni trojanski program (poznan tudi po imenu TrickLoader ali Trickbot), katerega cilj je, pridobiti dostop do podatkov za prijavo v bančne račune;
-
Ryuk: izsiljevalski virus, ki šifrira podatke in tako uporabniku prepreči dostop do posameznih podatkov ali celotnega sistema.
Cilj kibernetskih kriminalcev, ki so bili odgovorni za Emotet, je bil najpogosteje koristoljubje, saj so žrtve denarno izsiljevali v zameno za ne-objavo šifriranih podatkov. Prva različica Emotet-a z leta 2014, je bila zasnovana za krajo podatkov o bančnih računih, s pomočjo prestrezanja internetnega prometa. Kmalu za tem, je bila zaznana nova različica (verzija dva), ki je bila opremljena z več moduli, vključno s sistemom denarnih nakazil, z modulom za zlonamerno neželeno elektronsko pošto (angl. malspam) in bančnim modulom, namenjenim nemškim in avstrijskim bankam. Januarja 2015 se je pojavila nova oblika virusa. Verzija tri je vsebovala prikrite spremembe, ki pomagajo pri zakrivanju virusa pred obrambnimi sistemi, dodala pa je nove cilje – švicarske banke. Leta 2018 se je virus razvil tako, da s svojim delovanjem omogočal nameščanje druge programske opreme na okužene računalnike. Tako so leta 2019 izvedli napad na mesto Lake City (Florida) in zahtevali 460.000 dolarjev odkupnine. Pri tem napadu je Emotet služil kot začetni vektor okužbe, s pomočjo katerega, sta bila nameščena zgoraj omenjena Trickster in Ryuk. Septembra 2019 so z laboratorijev Malwarebytes poročali o neželeni spam kampanji, ki se je izvajala s pomočjo botnetov in je ciljala na nemške, poljske, italijanske in britanske žrtve, z domiselnimi zadevami v e-poštnem sporočilu, kot so »potrdilo o nakazilu« ali pa »zapadli račun«. Odprtje okuženega Microsoft dokumenta sproži makro, ki na računalniški sistem prenese Emotet. Tak model povečanega sodelovanja in medsebojne odvisnosti med kriminalnimi akterji, kot predstavlja Emotet, se imenuje »Malware-as-a-service« (zlonamerna programska oprema kot storitev op. p.).
O pojavu Emotet-a v Sloveniji, so poročali tudi s strani SI-CERT-a. Spodaj prikazujemo graf, ki so ga objavili na svoji spletni strani in prikazuje obravnavane primere Emotet-a med leti 2017 in 2020.
Obravnavani primeri Emotet (Vir: cert.si)
Delovanje zlonamerne programske opreme Emotet
Trojanski virus Emotet, se je najpogosteje širil preko e-pošte s pomočjo okuženih priponk in vdelanih URL naslovov. Pri analizi pošiljatelja se je zdelo, da gre za zaupanje vredni vir, saj Emotet prevzame e-poštne račune svojih žrtev. Na ta način so privabljali nove uporabnike k prenosu tega zlonamernega programa na svoj računalnik.
Ko si je Emotet zagotovil dostop do svojega omrežja, se je pričel širiti. V tej fazi je poizkušal razbiti uporabniška gesla (napad z grobo silo), ali pa je izkoriščal EternalBlue ter DoublePulsar ranljivosti v sistemu Windows, ki omogočata namestitev škodljive programske opreme, brez vednosti uporabnika. Tako je na primer izsiljevalski virus WannaCry izkoristil EternalBlue ranljivost za izvedbo kibernetskega napada, ki je po svetu povzročil uničujočo škodo.
V spodnjem seznamu so navedene datoteke, ki so indicirale na okužbo:
- HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\1A345B7
- HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\12C4567D
- (Gornyk) C:\Windows\SysWOW64\servicedcom.exe
- C:\WINDOWS\12345678.EXE
- C:\WINDOWS\SYSWOW64\SERVERNV.EXE
- C:\WINDOWS\SYSWOW64\NUMB3R2ANDL3373RS.EXE
- C:\WINDOWS\TEMP\1A2B.TMP
Sumljivi ključi registra:
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services{naključne heksadecimalne številke}
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run{naključna imena} z vrednostjo c:\users\admin\appdata\roaming\{naključno ime}{legitimno ime}.exe
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run{naključna imena} z vrednostjo c:\users\admin\appdata\roaming\{naključno ime}{legitimno ime}.exe
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
Operacijski sistem Windows omogoča namestitev skritih map za skupno rabo, ki so namenjene skrbniškemu dostopu do drugih naprav. Emotet je z napadom z grobo silo poizkušal ugotoviti administratorsko geslo. Ko mu je to uspelo, je poizkušal pridobiti seznam vseh končnih točk, na katere bi lahko razširil okužbo. Zato so bile ponavljajoče okužbe lahko znak, da je Emotet uspešno ugotovil skrbniško geslo. V tem primeru je priporočljivo spremeniti vsa lokalna gesla in domenska administratorska gesla.
Obramba pred tovrstnimi napadi
Če se želimo zavarovati pred škodljivo programsko opremo, kot je Emotet, uporaba zgolj protivirusne zaščite ne zadostuje. Kot smo pisali v prispevku o grožnji ADrozek, gre tudi pri Emotet-u za polimorfni virus, kar pomeni da se programska koda virusa nenehno spreminja in se na ta način izogiba zaznavi. Zato moramo redno posodabljati programske različice opreme, ter paziti pri odpiranju sumljivih spletnih povezav in priponk. Pri prejemu e-poštnih sporočil, pa moramo vedno preveriti tudi naslov spletne pošte pošiljatelja, saj grožnje kot so Emotet, uporabljajo legitimna imena pošiljateljev (vaših znancev), sporočila pa se od legitimnih razlikujejo po e-poštnem naslovu, ki je izmišljen.
Več o grožnji:
22. 12. 2020
V porastu zlonamerna programska oprema, ki okuži spletne brskalnike
Škodljiva programska oprema, ki spreminja nastavitve brskalnika ni novost. Gre za enega izmed najstarejših tipov spletnih groženj, ki se ga poslužujejo kibernetski kriminalci. Že od maja 2020 na spletu kroži vztrajna kampanja za zlonamerno programsko opremo, ki se aktivno širi in spreminja brskalnik. Na njenem vrhuncu (avgusta 2020) je bilo okuženih več kot 30.000 naprav dnevno.
Zlonamerna programska oprema se širi preko okuženih spletnih strani (škodljiva koda je injicirana v legitimne spletne strani). Ko se naprava okuži, okužba prizadene več brskalnikov hkrati – Microsoft Edge, Google Chrome, Yandex Browser, Safari in Mozilla Firefox.
Grožnja se imenuje Adrozek. Če grožnja s strani protivirusnega programa ni zaznana, Adrozek doda razširitve v brskalnik, spremeni .dll datoteke in nastavitve brskalnika tako, da v spletne strani vstavi dodatne, nepooblaščene oglase, pogosto poleg legitimnih oglasov. Cilj zlonamerne programske opreme je, da uporabniki, ki iščejo naključne besede, namenoma kliknejo na zlonamerne oglase. Napadalci služijo s partnerskimi oglaševalskimi programi, ki plačujejo po količini prometa, ki se generira s klikom na njihovo spletno stran.
Posebnost Adrozek škodljive programske opreme je, da vpliva na več brskalnikov hkrati in je zelo vztrajna – ni nujno, da jo antivirusni program izbriše v celoti, saj se programska koda nenehno spreminja in se s tem izogiba zaznavanju. Tudi ko jo najdemo, jo je težko povsem odstraniti – saj brskalniku namešča različne skripte, glede na tip brskalnika, ki ga okužena naprava uporablja. Največja ranljivost pa je, da v brskalniku Firefox išče posebne ključne besede (na primer encryptedUsername ter encryptedPassword), ki poiščejo šifrirane podatke. Nato podatke dešifrira s pomočjo funkcije PK11SDR_Decrypt (), ki jo najde v Firefox-ovi knjižnici in jih pošlje napadalcem. Na tak način napadalci z okuženih naprav pridobijo prijavne podatke (uporabniška imena in gesla). Do septembra 2020 je bilo okuženih več sto tisoč spletnih strani po vsem svetu, predvsem v Evropi ter južni in jugovzhodni Aziji.
Namestitev škodljive programske opreme:
Verižni Adrozek napad (vir: microsoft.com)
Kot smo že omenili, je ključna lastnost Adrozek programske opreme ravno polimorfizem. Zgornji diagram predstavlja Adrozek verižni napad. Napadalci izkoriščajo razprostrto infrastrukturo za distribucijo več sto tisoč edinstvenih vzorcev namestitvenega programa virusa. Vsaka datoteka je močno zakrita in uporablja edinstveno ime datoteke, ki sledi obliki zapisa: setup__<številke>.exe. Pri zagonu, namestitveni program v začasno datoteko %temp% shrani škodljivo datoteko z naključnim imenom. Ta program nato v Programske datoteke dostavi novo datoteko, ki po imenu spominja na legitimno avdio programsko opremo (Audiolava.exe, QuickAudio.exe, Converter.exe ipd.).
Ko je naprava okužena, zlonamerna programska spreminja nekatere razširitve v brskalniku. V Google Chrome-u običajno spremeni »Chrome Media Router« (eno izmed privzetih razširitev brskalnika), vendar lahko v določenih primerih vpliva tudi na katero drugo. Vsaka razširitev v Chrome brskalniku, temelji na edinstvenem 32-mestnem ID-ju, ki ga lahko uporabniki uporabljajo za iskanje razširitev v računalniku ali v spletni trgovini Chrome. V brskalnikih Microsoft Edge ter Yandex, zlonamerna programska oprema uporablja ID legitimnih razširitev, na primer »Radioplayer« in se tako maskira in predstavlja kot legitimna. Nato v napravi ustvari novo mapo s tem ID-jem razširitve in vanjo shrani zlonamerne komponente. V Firefoxu k razširitvi pripne mapo z globalnim enoličnim identifikatorjem (GUID). V spodnji tabeli so prikazane poti in ID-ji razširitev, ki jih zlonamerna programska oprema uporablja:
| Brskalnik | Primer poti razširitve: |
|---|
| Microsoft Edge | %localappdata%\Microsoft\Edge\User Data\Default\Extensions\fcppdfelojakeahklfgkjegnpbgndoch |
|---|
| Google Chrome | %localappdata%\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm (ni nujno vedno enaka) |
|---|
| Mozilla Firefox | %appdata%\Roaming\Mozilla\Firefox\Profiles\\Extensions\{14553439-2741-4e9d-b474-784f336f58c9} |
|---|
| Yandex Browser | %localappdata%\Yandex\YandexBrowser\User Data\Default\Extensions\fcppdfelojakeahklfgkjegnpbgndoch |
|---|
Kljub različnim razširitvam, je na koncu nameščena enaka zlonamerna skripta. V nekaterih primerih zlonamerna programska oprema privzeto priponko spremeni tako, da na pot ciljne datoteke doda sedem JavaScript datotek in eno datoteko manifest.json. V drugih primerih ustvari novo mapo z enakimi komponentami. Te skripte se povežejo z napadalčevim strežnikom, preko katerega pridobijo dodatne skripte, ki so zadolžene za injiciranje oglasov v rezultate iskanja, strežnik pa pridobi podatke o napravi. Ime domene oddaljenega strežnika je določeno v skriptah razširitve.
Dodatna skripta za injiciranje oglasov (vir: microsoft.com)
Zlonamerna programska oprema poseže tudi v nekatere .dll datoteke brskalnika. Na primer v Microsoft Edge brskalniku spremeni MsEdge.dll, da izklopi varnostne kontrole, ki so ključne pri zaznavanju sprememb v datoteki Secure preferences. V spodnji tabeli predstavljamo spremenjene .dll datoteke, glede na tip brskalnika.
| Brskalnik | Primer poti razširitve: |
|---|
| Microsoft Edge | %PROGRAMFILES%\Microsoft\Edge\Application\\msedge.dll %localappdata%\Microsoft\Edge\User Data\Default\Secure Preferences %localappdata%\Microsoft\Edge\User Data\Default\Preferences |
|---|
| Google Chrome | %PROGRAMFILES%\Google\Chrome\Application\\chrome.dll %localappdata%\Google\Chrome\User Data\Default\Secure Preferences %localappdata%\Google\Chrome\User Data\Default\Preferences |
|---|
| Mozilla Firefox | %PROGRAMFILES%\Yandex\YandexBrowser\\browser.dll %localappdata%\Yandex\YandexBrowser\User Data\Default\Secure Preferences %localappdata%\Yandex\YandexBrowser\User Data\Default\Preferences |
|---|
| Yandex Browser | %PROGRAMFILES%\Mozilla Firefox\omni.ja %appdata%\Mozilla\Firefox\Profiles\\extensions.json %appdata%\Mozilla\Firefox\Profiles\\prefs.js |
|---|
Čeprav imajo brskalniki varnostne nastavitve, ki ščitijo pred posegi z zlonamerno programsko opremo, Adrozek to zaobide tako, da popravi funkcijo v nastavitvah, ki preverja integriteto. S tem postane brskalnik ranljiv za nepooblaščene posege. Istočasno izklopi še funkcijo samodejnih posodobitev, da si zagotovi nenehno prisotnost v brskalniku. Spremeni še nekaj sistemskih nastavitev, da si omogoči nadzor nad ogroženo napravo. Konfiguracijske parametre shrani v ključ registra HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\. Vnosa 'tag' in 'did' (novejše različine Adrozek-a pa naključne znake) vsebujeta argumente ukazne vrstice, ki jih uporablja za zagon zlonamerne vsebine. Da si zlonamerna programska oprema zagotovi obstojnost, ustvari storitev z imenom »Main Service«.
Ko je zlonamerna programska oprema nameščena, lahko napadalci vstavljajo nelegitimne spletne oglase. Zaenkrat ni bilo beleženo, da bi tudi povezava oglasov vodila na zlonamerne spletne strani, vendar se lahko to kadarkoli spremeni.
Kraja poverilnic
Mozilla Firefox je pred zlonamerno programsko opremo Adrozek še posebej ranljiva, saj prenese dodatno naključno poimenovano datoteko .exe, ki zbira podatke o napravi in trenutno aktivno uporabniško ime. Te podatke pošlje na napadalčev oddaljeni strežnik, nato pa prične locirati določene datoteke, ki vključujejo tudi login.json (v Firefoxu se nahaja na %AppData%\Roaming\Mozilla\Firefox\Profiles\\logins.json), ki shranjuje šifrirane uporabniške poverilnice in zgodovino brskanja. Adrozek išče specifične ključne besede, kot sta encryptedUsername in ecryptedPassword, da najde specifične šifrirane podatke. Nato jih dešifrira s pomočjo funkcije PK11SDR_Decrypt () (s Firefoxove knjižnice) in podatke pošlje napadalcem.
Odstranitev škodljive programske opreme Adrozek
V Windowsih naprej sledimo: Control Panel > Uninstall a program > Main service > Uninstall/Remove)
Nato pa ga odstranimo še iz brskalnika:
- Google Chrome: Menu>More tools>Extensions - poiščemo vse nedavno nameščene sumljive razširitve in jih izbrišemo, ali pa brskalnik ponastavimo na privzete vrednosti (Menu>Settings>Advanced>Reset – restore settings to their original defaults).
- Mozilla Firefox: Menu>Add-ons>Extensions - poiščemo vse nedavno nameščene sumljive razširitve in jih izbrišemo. Če to ne pomaga, kliknemo Menu>Help > Troubleshooting Information > Refresh Firefox.
- Safari: Safari menu > Clear History and Website Data… > All history > Clear history.
- Microsoft Edge: Menu > Extensions - poiščemo vse nedavno nameščene sumljive razširitve in jih izbrišemo. Če to ne pomaga, izberemo Menu > Settings > Reset settings > Restore settings to their default values > Reset.
- Internet Explorer: Settings > Manage add-ons - poiščemo vse nedavno nameščene sumljive razširitve in jih izbrišemo. Če to ne pomaga, na starejših Windows operacijskih sistemih sledimo naslednjim korakom: Start > Run > napišemo inetcpl.cpl > Advanced zavihek > Reset. Windows 8 ali novejši odpremo Internet Explorer in sledimo korakom: Settings > Internet options > Advanced > Reset > potrdimo izbiro.
Obramba pred sofisticiranimi modifikatorji brskalnikov
Adrozek nakazuje, da so tudi ne-kritične in ne-nujne grožnje čedalje bolj sofisticirane. Kljub temu, da je glavni cilj te grožnje vbrizgati oglase in usmerjati promet na določena spletna mesta, lahko opazimo nekatere bolj prefinjene tehnike, ki napadalcem omogočajo močno prisotnost na okuženi napravi. Polimorfno vedenje in dodajanje možnosti kraje poverilnic pa nakazuje, da lahko napadalci razširijo svoje cilje in v prihodnosti izkoristijo nelegitimno pridobljene dostope. Pri takšnih sofisticiranih okužbah je nujna uporaba zaupanje vrednega protivirusnega programa, ki temelji na strojnem učenju in tako zaznava in blokira grožnje kot so Adrozek.
Da preprečimo okužbo z zlonamerno grožnjo, pa moramo biti pozorni pri nameščanju programske opreme iz nezaupnih virov ter pri klikih na oglase in povezave do sumljivih spletnih mest. Poleg tega, je priporočljiva uporaba rešitev filtriranja URL prometa ter redno posodabljanje programske opreme in operacijskega sistema.
Več o grožnji:
Widespread malware campaign seeks to silently inject ads into search results, affects multiple browsersAdrozek Malware Delivers Fake Ads to 30K Devices a Day'Adrozek' Malware Is Infecting Thousands of PCs to Insert Ads, Microsoft WarnsHow to remove the Adrozek browser-modifying adware?
Avtor: Sara Tomše
Sončev veter prešel v orkan
Novica, ki se te dni prebija na naslovnice spletnih strani s področja tehnologije in kibernetske varnosti, zajema vrsto vdorov v mnoga podjetja in državne institucije s t. i. vdorom prek dobavitelja (supply-chain attack). Kaj se je zgodilo tokrat? Najprej je svetovno znano podjetje za kibernetsko varnost FireEye v torek, 8. 12., objavilo, da je bilo samo žrtev sofisticiranega napada, s katerim so napadalci pridobili dostop do orodij, ki jih FireEye uporablja pri varnostnih in penetracijskih testiranjih. FireEye trdi, da med temi orodji ni bilo novih in še neznanih, t. i. orodij za izvajanje vdorov »zero day«. Kako se je vdor zgodil, v podjetju FireEye niso pojasnjevali, trdijo pa, da je to delo visoko usposobljene in državno podprte hekerske skupine. V nedeljo, 13. 12., je podjetje SolarWinds, ki ponuja sisteme za nadzor IT-infrastrukture, objavilo, da se je med marcem in junijem letos po vsej verjetnosti zgodil vdor v njihovo programsko opremo SolarWinds Orion ter da so napadalci v programsko opremo vrinili škodljivo kodo, ki napadalcu omogoča dostop do sistemov. Dokaj kmalu so raziskovalci povezali ta dva dogodka in v podjetju FireEye so potrdili, da so bili sami napadeni ravno prek te programske opreme. Po poročanju portala bleepingcomputer.com si je okuženo verzijo programa naložilo približno 18.000 organizacij po vsem svetu. Za kampanjo sumijo ruske hekerje, kar pa ruski državni govorci kategorično zanikajo.
V ameriških državnih agencijah in podjetjih je to povzročilo velik alarm. V mnogih so ugotovili, da so bili hekerji v njihovih sistemih prisotni že dlje časa, in zato so sprožili takojšnjo in obsežno akcijo odkrivanja in zaustavitve aktivnosti vdiralcev. Napadi pa, čeprav so bili ciljani na določen krog organizacij, niso omejeni samo na ZDA, ampak o njih poročajo tudi iz drugih držav.
Vsem, ki uporabljate programsko opremo SolarWinds (in takih je tudi v Sloveniji kar nekaj), priporočamo takojšnjo nadgradnjo na verzijo, ki jo priporoča proizvajalec, ter izvedbo drugih zaščitnih in preprečevalnih ukrepov. Več informacij najdete na spodnjih spletnih straneh:
Sončev veter prešel v orkan
Novica, ki se te dni prebija na naslovnice spletnih strani s področja tehnologije in kibernetske varnosti, zajema vrsto vdorov v mnoga podjetja in državne institucije s t. i. vdorom prek dobavitelja (supply-chain attack). Kaj se je zgodilo tokrat? Najprej je svetovno znano podjetje za kibernetsko varnost FireEye v torek, 8. 12., objavilo, da je bilo samo žrtev sofisticiranega napada, s katerim so napadalci pridobili dostop do orodij, ki jih FireEye uporablja pri varnostnih in penetracijskih testiranjih. FireEye trdi, da med temi orodji ni bilo novih in še neznanih, t. i. orodij za izvajanje vdorov »zero day«. Kako se je vdor zgodil, v podjetju FireEye niso pojasnjevali, trdijo pa, da je to delo visoko usposobljene in državno podprte hekerske skupine. V nedeljo, 13. 12., je podjetje SolarWinds, ki ponuja sisteme za nadzor IT-infrastrukture, objavilo, da se je med marcem in junijem letos po vsej verjetnosti zgodil vdor v njihovo programsko opremo SolarWinds Orion ter da so napadalci v programsko opremo vrinili škodljivo kodo, ki napadalcu omogoča dostop do sistemov. Dokaj kmalu so raziskovalci povezali ta dva dogodka in v podjetju FireEye so potrdili, da so bili sami napadeni ravno prek te programske opreme. Po poročanju portala bleepingcomputer.com si je okuženo verzijo programa naložilo približno 18.000 organizacij po vsem svetu. Za kampanjo sumijo ruske hekerje, kar pa ruski državni govorci kategorično zanikajo.
V ameriških državnih agencijah in podjetjih je to povzročilo velik alarm. V mnogih so ugotovili, da so bili hekerji v njihovih sistemih prisotni že dlje časa, in zato so sprožili takojšnjo in obsežno akcijo odkrivanja in zaustavitve aktivnosti vdiralcev. Napadi pa, čeprav so bili ciljani na določen krog organizacij, niso omejeni samo na ZDA, ampak o njih poročajo tudi iz drugih držav.
Vsem, ki uporabljate programsko opremo SolarWinds (in takih je tudi v Sloveniji kar nekaj), priporočamo takojšnjo nadgradnjo na verzijo, ki jo priporoča proizvajalec, ter izvedbo drugih zaščitnih in preprečevalnih ukrepov. Več informacij najdete na spodnjih spletnih straneh:
Lažna e-sporočila, ki zahtevajo posredovanje uporabniškega imena in gesla
Uporabnike opozarjamo, da po spletu ponovno kroži lažno elektronsko sporočilo, ki uporabnike e-pošte Telekoma Slovenije nagovarja, naj zaradi spremenjenih pogojev poslovanja v roku 72 ur potrdijo svoj uporabniški račun, in sicer prek povezave, ki je priložena sporočilu. V Telekomu Slovenije nismo pošiljatelj tega e-sporočila, od uporabnikov tudi nikoli ne zahtevamo vpisovanja uporabniškega imena in gesla.
V navedenem primeru gre za zlorabo naše blagovne znamke. Čeprav je spletna stran, ki se pri tem uporabnikom odpre, vizualno podobna spletni strani za prijavo v e-pošto Telekoma Slovenije, je kar nekaj znakov, ki kažejo na to, da je stran lažna. Najočitnejši je ta, da se stran ne nahaja na naslovu
https://prijava.siol.net/posta/, kot podpisnik e-sporočila pa je naveden »Servis Spletna Pošta«
To ni naš podpis in ni naš način komuniciranja z uporabniki. Uporabnike, ki so e-sporočilo prejeli, pozivamo, da
ne sledijo povezavi, ki je navedena v sporočilu, predvsem pa, da v nobenem primeru nikomur ne posredujejo svojih osebnih podatkov, uporabniških imen ali gesel. E-sporočilo naj izbrišejo in ga ne posredujejo drugim uporabnikom.
Za dodatne informacije in pomoč smo uporabnikom 24 ur na dan na voljo na brezplačni številki 080 1000.
Bad Neighbor
Razkrita je nova kritična ranljivost RCE (Remote Code Execution) poimenovane »Bad Neighbor«. Ta omogoča dostop do odjemalca, kadar Windows TCP/IP- sklad nepravilno obravnava ICMPv6 pakete. Napadalec, ki bi uspešno izkoristil ranljivost, bi pridobil možnost za izvajanje poljubne kode v ciljnem strežniku ali kateremkoli drugem odjemalcu.
Za odpravo ranljivosti je že pripravljena nova posodobitev, zato priporočamo takojšnjo namestitev. Več o ranljivosti najdete na tej
povezavi.
Grožnje z DDoS-napadi so še vedno prisotne
Tako s strani naših strank, kot s strani partnerja Netscout (prej Arbor Networks) prejemamo obvestila o grožnjah z DDoS-napadi na večje organizacije v regiji in globalno. Napadalci trdijo, da so sposobni sprožiti napad velikosti 2Tb/s, vendar pa takšen napad še ni bil zaznan. Zabeležene velikosti napadov te skupine so do 300Gb/s. Kot smo zapisali v prejšnji objavi, je značilnost te serije napadov, da se napadalci nanj zelo dobro pripravijo, skrbno izberejo tarče napadov, tako na samo podjetje, kot na ostalo infrastrukturo (npr. DNS-strežnike), tako da kar najbolj prizadenejo storitve podjetja. Prav tako zelo dobro vedo komu poslati izsiljevalsko sporočilo, kar pomeni da so dobro raziskali kdo je kdo v podjetju. Zanimivo je, da se je število DDoS-napadov v Sloveniji v pomladanskih »korona« mesecih precej povečalo in se od marca do maja gibalo okoli 3.500 na mesec. Potem pa se je število jeseni spustilo na okoli 1.000. Obratno statistiko pa beležimo pri moči napadov, ki je septembra in oktobra močno poskočila pri posameznih napadih do 60-80Gb/s. Na slovenske tarče je bil, po nam dostopni statistiki, zabeležen največji napad velikosti okoli 75Gb/s, kar je v resnici zelo velik in resen napad.
Priložena sta grafa:
prvi prikazuje število napadov dnevno in
drugi največje dnevno zabeležene napade v mesecu septembru, letos.
DDos napadi
V zadnjem času smo prejeli obvestila iz več virov, da se aktivnost napadov onemogočanja ali DDoS napadov močno povečuje. O tem poročajo tudi nekateri tuji spletni mediji (primer:
https://portswigger.net/daily-swig/ddos-extortionists-posing-as-cyberspies-to-run-blackmail-scam). Tarča napadov so predvsem organizacije iz finančne in turistične industrije, pa tudi drugi. Napadalci delujejo tako, da sprožijo opozorilni napad, nakar žrtvi pošljejo zahtevo za plačilo določene vsote v bitcoin valuti sicer grozijo z novim še hujšim napadom. V večini primerov se ponovni napad ne zgodi čeprav žrtev ni plačala zahtevanega zneska, v nekaterih primerih pa so napad ponovili. Napadalci običajno sebe poimenujejo z imeni zvenečih hekerskih skupin kot so ‘Fancy Bear,’ ‘Lazarus Group', ‘Armada Collective’, kar pa ne pomeni da so dejansko del teh skupin ali so z njimi povezani.
Napadi dosegajo kapaciteto do nekaj sto Gbps in so tipa DNS, ntp, ARMS, WS-DD, SSDP in CLDAP odboj in ojačitev, spoofed SYN-poplava, GRE in ESP poplava, TCP ACK-poplava, TCP odboj in ojačitev. Način izvedbe, ciljane skupine organizacij in tudi izbira e-mail naslovov kamor napadalci pošljejo izsiljevalsko pošto, po oceni virov, kaže na dobro pripravo napada.
Več o naši zaščiti pred DDoS napadi lahko izveste
tukaj.
