7 lip 2017

Gyrfalcon i BothanSpy - implanty CIA do wykradania poświadczeń SSH

0


W dniu wczorajszym, tj. 06.07.2017 r. portal WikiLeaks opublikował kolejną, piętnastą już serię wycieku oznaczonego jako Vault 7, prezentując materiały z 2013 i 2015 roku dotyczące dwóch narzędzi (implantów) CIA, które umożliwiają tej amerykańskiej agencji skuteczne przechwytywanie poświadczeń SSH (Secure Shell) - sieciowy protokół kryptograficzny używany do zdalnego logowania przez niezabezpieczoną sieć. CIA wykorzystuje różne wektory ataków, a docelowymi systemami operacyjnymi są te z rodziny Windows oraz Linux.

Czytaj więcej...

25 cze 2017

Emisja ujawniająca i przechwycenie klucza AES-256 w kilkanaście sekund

0

Każde urządzenie i obwód w którym płynie prąd staje się źródłem występowania zjawiska promieniowania elektromagnetycznego i ujawnia pewne informacje, które można odczytywać za pomocą odpowiedniej technologii i narzędzi. Odbiór, rejestracja i analiza promieniowania elektromagnetycznego, które generują możliwość odtworzenia informacji nazywamy zjawiskiem emisji ujawniającej (nazywanej także ulotem). Związek pomiędzy przepływem prądu a polem magnetycznym umożliwia odczytywanie sygnałów pola elektromagnetycznego, składających się z informacji takich jak bity i piksele, które są przesyłane jako ciąg impulsów o określonej częstotliwości. Warto wspomnieć, że zjawisko emisji ujawniającej i wykorzystanie jej do celów przechwycenia informacji zostało wykorzystane po raz pierwszy ponad 100 lat temu. W 1914 roku niemiecka armia zaczęła wykorzystywać wzmacniacze lampowe połączone z elektrodami sondującymi do podsłuchiwania sygnałów z telefonów polowych zza linii frontu. Obecnie promieniowanie z urządzeń komputerowych jest na tyle silne, że za pomocą specjalistycznego sprzętu sygnał może zostać odebrany w niektórych warunkach z odległości kilkuset metrów, nawet 1 kilometra. Urządzenia tego typu nie są ogólnodostępne, stosowane są natomiast m.in. przez szpiegów i są na tyle niewielkie, że mieszczą się w samochodzie osobowym.

Czytaj więcej...

8 cze 2017

Malware Zusy, które może infekować komputer przez najechanie myszką na link w PowerPoint

0

Odkryto nowy ciekawy sposób na instalację złośliwego oprogramowania poprzez pliki prezentacji Microsoft PowerPoint, bez wykorzystania mechanizmów makr, JavaScript i VBA. Dzięki zmodyfikowanej wersji malware Zusy, teraz wystarczy otworzyć zainfekowany plik PowerPoint i najechać myszką na link lub odpowiednio ukryty na slajdzie tekst (np. hiperłącze w kolorze tła). W analizowanym przez portal sentinel.com złośliwym pliku PowerPoint, po otwarciu wyświetla się biały slajd z niebieskim napisem, który jest hiperłączem. Po najechaniu wskaźnikiem myszki na napis Loading... Please wait, aby sprawdzić adres linku, automatycznie uruchamiany jest złośliwy kod xml. Co więcej, kod ten uruchamiany jest bez kliknięcia przez użytkownika w hiperłącze! 

Cyberprzestępcy efekt ten osiągnęli poprzez wykorzystanie kodu PowerShell podczas definicji akcji dla elementu hover. Akcja ta została skonfigurowana do wykonania programu w PowerPoint zawsze gdy tylko użytkownik najedzie myszką na link. Na szczęście w nowszych wersjach Microsoft PowerPoint: 2010 oraz 2013, przed wykonaniem złośliwego kodu domyślnie wyświetlany jest taki oto monit, informujący o potencjalnym niebezpieczeństwie:
Złośliwy slajd z widocznym komunikatem po najechaniu myszką na link
(źródło: www.sentinel.com)

Niemniej jednak przez pośpiech, nieczytanie wyświetlanych komunikatów, lenistwo itp. użytkownicy mogą włączyć złośliwy kod (ważną kwestią tutaj będzie na pewno odpowiedni element socjotechniczny). Uruchomiony poprzez najechanie na hiperłącze (bez kliknięcia) złośliwy kod napisany w xml łączy się z serwerem C&C:
  • http://cccn.nl/c.php
  • http://cccn.nl/2.2
  • 46.21.169.110
  • http://basisinkomen.nl/a.php 
Pozostałe rekordy DNS powiązane z powyższym adresem IP: LINK.

Uwaga!
Zaobserwowano rozsyłanie wiadomości e-mail ze szkodliwym plikiem z adresów w domenie .pl

Złośliwy kod xml, umieszczony w elemencie rId2 i ppt/slides/_rels/slide1.xml.rels wygląda tak:
Złośliwy kod xml z widocznym fragmentem wywołującym Powershell
(źródło: www.sentinel.com)
Fragment kodu z akcją wywołującą złośliwy kod
(źródło: www.dodgethissecurity.com)


Następnie, po połączeniu wykonywany jest kod z pliku c.php umieszczonego na serwerze i pobierany jest do folderu tymczasowego stacji roboczej złośliwy plik o nazwie ii.jse (JScript Encoded File), który jest wykonywany przez WScript. Jak się okazało złośliwy kod został napisany w czystym C i może być z sukcesem wykonany również na urządzeniach Mac. Ostatecznie tworzony jest złośliwy program z rozszerzeniem .exe.

Warto również dodać, iż na złośliwy kod tego typu odporny jest PowerPoint Viewer, ponieważ nie obsługuje on uruchamiania zewnętrznych programów.
 
Analiza VirusTotal złośliwego pliku:
 
Na obecną chwilę złośliwy plik wykrywa mniej niż połowa oprogramowania antywirusowego na rynku. Złośliwa prezentacja występuje w formie pliku z rozszerzeniem .ppsx

Więcej informacji w języku angielskim na temat tego ataku możecie przeczytać pod tym adresem:

Źródło:
https://www.sentinel.com 
https://www.dodgethissecurity.com
https://virustotal.com

Czytaj więcej...

6 cze 2017

Ewidencja operacyjna Służby Bezpieczeństwa / MSW

1

Służba Bezpieczeństwa powstała po przekształceniu Urzędu Bezpieczeństwa, tuż po odwilży 1956 roku, gdzie znalazła się w strukturze Ministerstwa Spraw Wewnętrznych (MSW) jako jeden z pionów. W rzeczywistości państwo masowego terroru zostało zastąpione państwem rozległej kontroli i prewencji oraz selektywnych represji. Oprócz zmian personalnych, które otworzyły młodej kadrze drogę awansu nastąpiły zmiany organizacyjne, opracowano i wprowadzono nowe instrukcje i przepisy dotyczące działań "nowej" służby. Prowadzenie ewidencji operacyjnej było ważną kwestią związaną z pracą funkcjonariusza SB. 

Czytaj więcej...

1 cze 2017

28 GB wrażliwych danych Departamentu Obrony USA udostępnione w... chmurze Amazon

0

Analityk ds. ryzyka cybernetycznego firmy UpGuard, Chris Vickery odkrył 22 maja 2017 r. ok. 60 000 plików z amerykańskiego projektu wojskowego dla National Geospatial-Intelligence Agency (NGA) udostępnionych na serwerze w publicznej chmurze S3 Bucket Amazon. Dane zawierały hasła do systemu rządowego Stanów Zjednoczonych zawierającego niejawne informacje oraz dane uwierzytelniające pracowników firmy... Booz Allen Hamilton, jednego z największych kontrahentów w dziedzinie obronności w USA - tej w której m.in. pracował Edward Snowden. Choć Chris Vickery nie znalazł żadnego pliku niejawnego, to dane zawierały m.in. poświadczenia logowania się do zasobów, które mogły takie informacje zawierać.

Czytaj więcej...

8 mar 2017

CIA i MI5 stworzyły narzędzie streamujące i nagrywające dźwięk ze Smart TV nawet jeśli jest on wyłączony

0

W dniu wczorajszym, tj. 07.03.2017 r. portal WikiLeaks upublicznił materiały amerykańskiej agencji wywiadowczej CIA (w tym niejawne dokumenty, narzędzia i kody źródłowe) w ramach akcji nazwanej "Vault 7". Wśród opublikowanych materiałów znaleźć można dokumenty i narzędzia wykorzystywane w sekcji podlegającej pod Center for Cyber Intelligence CIA (CCI CIA). Jednym z ciekawych narzędzi jest to zaprojektowane przez brytyjski kontrwywiad MI5 i stworzone przy współudziale z CIA. 

Czytaj więcej...

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift