8 cze 2017

Malware Zusy, które może infekować komputer przez najechanie myszką na link w PowerPoint

0

Odkryto nowy ciekawy sposób na instalację złośliwego oprogramowania poprzez pliki prezentacji Microsoft PowerPoint, bez wykorzystania mechanizmów makr, JavaScript i VBA. Dzięki zmodyfikowanej wersji malware Zusy, teraz wystarczy otworzyć zainfekowany plik PowerPoint i najechać myszką na link lub odpowiednio ukryty na slajdzie tekst (np. hiperłącze w kolorze tła). W analizowanym przez portal sentinel.com złośliwym pliku PowerPoint, po otwarciu wyświetla się biały slajd z niebieskim napisem, który jest hiperłączem. Po najechaniu wskaźnikiem myszki na napis Loading... Please wait, aby sprawdzić adres linku, automatycznie uruchamiany jest złośliwy kod xml. Co więcej, kod ten uruchamiany jest bez kliknięcia przez użytkownika w hiperłącze! 

Cyberprzestępcy efekt ten osiągnęli poprzez wykorzystanie kodu PowerShell podczas definicji akcji dla elementu hover. Akcja ta została skonfigurowana do wykonania programu w PowerPoint zawsze gdy tylko użytkownik najedzie myszką na link. Na szczęście w nowszych wersjach Microsoft PowerPoint: 2010 oraz 2013, przed wykonaniem złośliwego kodu domyślnie wyświetlany jest taki oto monit, informujący o potencjalnym niebezpieczeństwie:
Złośliwy slajd z widocznym komunikatem po najechaniu myszką na link
(źródło: www.sentinel.com)

Niemniej jednak przez pośpiech, nieczytanie wyświetlanych komunikatów, lenistwo itp. użytkownicy mogą włączyć złośliwy kod (ważną kwestią tutaj będzie na pewno odpowiedni element socjotechniczny). Uruchomiony poprzez najechanie na hiperłącze (bez kliknięcia) złośliwy kod napisany w xml łączy się z serwerem C&C:
  • http://cccn.nl/c.php
  • http://cccn.nl/2.2
  • 46.21.169.110
  • http://basisinkomen.nl/a.php 
Pozostałe rekordy DNS powiązane z powyższym adresem IP: LINK.

Uwaga!
Zaobserwowano rozsyłanie wiadomości e-mail ze szkodliwym plikiem z adresów w domenie .pl

Złośliwy kod xml, umieszczony w elemencie rId2 i ppt/slides/_rels/slide1.xml.rels wygląda tak:
Złośliwy kod xml z widocznym fragmentem wywołującym Powershell
(źródło: www.sentinel.com)
Fragment kodu z akcją wywołującą złośliwy kod
(źródło: www.dodgethissecurity.com)


Następnie, po połączeniu wykonywany jest kod z pliku c.php umieszczonego na serwerze i pobierany jest do folderu tymczasowego stacji roboczej złośliwy plik o nazwie ii.jse (JScript Encoded File), który jest wykonywany przez WScript. Jak się okazało złośliwy kod został napisany w czystym C i może być z sukcesem wykonany również na urządzeniach Mac. Ostatecznie tworzony jest złośliwy program z rozszerzeniem .exe.

Warto również dodać, iż na złośliwy kod tego typu odporny jest PowerPoint Viewer, ponieważ nie obsługuje on uruchamiania zewnętrznych programów.
 
Analiza VirusTotal złośliwego pliku:
 
Na obecną chwilę złośliwy plik wykrywa mniej niż połowa oprogramowania antywirusowego na rynku. Złośliwa prezentacja występuje w formie pliku z rozszerzeniem .ppsx

Więcej informacji w języku angielskim na temat tego ataku możecie przeczytać pod tym adresem:

Źródło:
https://www.sentinel.com 
https://www.dodgethissecurity.com
https://virustotal.com

Czytaj więcej...

6 cze 2017

Ewidencja operacyjna Służby Bezpieczeństwa / MSW

1

Służba Bezpieczeństwa powstała po przekształceniu Urzędu Bezpieczeństwa, tuż po odwilży 1956 roku, gdzie znalazła się w strukturze Ministerstwa Spraw Wewnętrznych (MSW) jako jeden z pionów. W rzeczywistości państwo masowego terroru zostało zastąpione państwem rozległej kontroli i prewencji oraz selektywnych represji. Oprócz zmian personalnych, które otworzyły młodej kadrze drogę awansu nastąpiły zmiany organizacyjne, opracowano i wprowadzono nowe instrukcje i przepisy dotyczące działań "nowej" służby. Prowadzenie ewidencji operacyjnej było ważną kwestią związaną z pracą funkcjonariusza SB. 

Czytaj więcej...

1 cze 2017

28 GB wrażliwych danych Departamentu Obrony USA udostępnione w... chmurze Amazon

0

Analityk ds. ryzyka cybernetycznego firmy UpGuard, Chris Vickery odkrył 22 maja 2017 r. ok. 60 000 plików z amerykańskiego projektu wojskowego dla National Geospatial-Intelligence Agency (NGA) udostępnionych na serwerze w publicznej chmurze S3 Bucket Amazon. Dane zawierały hasła do systemu rządowego Stanów Zjednoczonych zawierającego niejawne informacje oraz dane uwierzytelniające pracowników firmy... Booz Allen Hamilton, jednego z największych kontrahentów w dziedzinie obronności w USA - tej w której m.in. pracował Edward Snowden. Choć Chris Vickery nie znalazł żadnego pliku niejawnego, to dane zawierały m.in. poświadczenia logowania się do zasobów, które mogły takie informacje zawierać.

Czytaj więcej...

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift