"Enquanto multiplica-se as formas de invasão, roubo de informações, é necessário criar e renovar as formas de proteção na mesma intensidade!!"

     O Avast anunciou que dados de uma parte de seus usuários foram roubados dos bancos de dados após um ataque ao fórum oficial de suporte. Com o golpe, cerca de 400 mil foram afetados e tiveram seus nomes de usuário, apelidos, endereço de e-mail e senhas criptografadas.
O alerta é de que mesmo com a encriptação das senhas, um “ladrão sofisticado”, como diz a própria empresa, pode ter acesso a muitas das palavras-chave.
A recomendação do Avast é que, se o usuário usava o mesmo login e senha em outros serviços, ele deve trocá-la imediatamente. Como endereços de e-mail reais foram vazados, também é uma boa ideia ficar ligado contra possíveis ataques de phishing.
Apenas usuários do fórum de suporte foram afetados, diz a empresa. O montante representa 0,2% da comunidade total de usuários do Avast e nenhum dado de pagamento ou informações bancárias foi afetado.
Enquanto os problemas do fórum são solucionados, o serviço está fora do ar. Assim que houver o retorno, todos serão obrigados a cadastrar uma nova senha para segurança.

Fonte: OlharDigital

Ransomware - Sequestrando seus dados - Parte 2

Dando continuidade do primeiro post sobre ransomware, vamos fazer a análise desse malware.

Atualmente existe duas versões do ransomware, a primeira versão contém algumas falhas de programação, assim foi possível a geração de ferramentas para a decriptação dos arquivos. A segunda versão é bem mais complexa e não terá nenhuma solução (apenas se for encontrada alguma falha no código do malware).

Ambas versões fazem um scan na máquina para encriptar os arquivos com as seguintes extensões:

    .jpeg ; .docx ; .xlsx ; .db ; .pdf ; .olk ; .dat ; .zip ; .rar ; .qbw ; .jpg ; .doc ; .bmp ; .png ; .xls ; .txt 

    .rtf ; .tif ; xml ; .php ; .sxg ; .ods ; .sql ; .cdb ; .crd ; .daf ; .db2 ; .db3 ; .dbc ; .dbs ; .dbf ; .dbv

    .edb ; .gdb ; .mdb ; .mdf ; .odb ; .ora ; .owg.

E renomeia os arquivos encriptados para "nome_arquivo.aes"

Vamos analise do malware versão 1: 

1. Antes de executar um arquivo malicioso no Windows sempre roda o regshot para verificar quais arquivos ele criar/alterar no sistema operacional. Esse criou os seguintes:     

 C:\ProgramData\local\aescrypter.exe -> Linha de comando WinRar
 C:\ProgramData\local\svchost.exe -> Responsável pelo bloqueio da tela
 C:\ProgramData\local\vpkswnhisp.dll
 C:\Windows\System32\csrsstub.exe
 C:\Windows\System32\dcomcnfgui.exe -> Responsavel pela encriptação e instalação de serviços
 C:\Windows\System32\tcpsvcss.exe -> Ferramenta de decriptação
 C:\Windows\System32\tracerpts.exe
 C:\Windows\System32\ucsvcsh.exe
 C:\Windows\System32\wcmtstcsys.sss -> Lista dos arquivos encriptados
 C:\decrypt\decrypt.exe -> Ferramenta de decriptação
 C:\how to decrypt aes files.lnk

Considerei esses os principais arquivos do malware. Fizemos um vídeo do processo de encriptação e decriptação manualmente para mostrar como essa "infecção" pode ser danosa ao nosso ambiente. Existem outras formas, porem essa realizada é mais fácil para assimilação !!!

Como evitar ?

 

• Mantenha seu sistema sempre atualizado. Principalmente aqueles publicados na internet.
• Tenha uma boa ferramenta anti-malware.
• Aumente a segurança de senhas.
• Políticas de firewall e IDS/IPS podem ajudar nunca possível intrusão.
• A liberação da porta 3389 para internet é chamado para os hackers. Tente mascarar a porta.

   

Brasileiro ganha recompensa por reportar bug no Facebook

O Facebook anunciou hoje que deu sua maior recompensa por achado de bug desde o início de seu programa de segurança, em 2011. A rede social revelou que o engenheiro de computação brasileiro Reginaldo Silva alertou a empresa sobre uma vulnerabilidade de entidades externas XML que, se não fosse controlada, poderia ter permitido a alguém ler “arquivos arbitrários” no servidor web da rede. Como resultado, o Facebook recompensou Reginaldo com US$ 33.500,00.
Em um post no Facebook, a empresa disse que recebeu um relatório de bug de Silva em novembro e que, ao verificar o problema, implementou uma solução que iria cuidar de uma parte da situação. Depois que o bug se foi, a equipe de engenharia teve que descobrir como distribuí-la a todos os servidores web do Facebook. Para realizar essa tarefa, a equipe utilizou uma ferramenta chamada Takedown, que ajudou a priorizar a linha de códigos necessários para reparar os danos.
Claro, todo o esforço até agora foi para corrigir o problema – agora o Facebook precisa investigar para entender o que deu errado e se havia outras partes do código que também eram ou são vulneráveis​​.
Antes do brasileiro, em junho, um pesquisador britânico recebeu US$ 20.000 pela descoberta de uma falha de segurança no Facebook e foi pago por meio do programa de recompensas, que foi criado como uma forma de permitir que hackers divulguem vulnerabilidades achadas na rede social para que os dados de usuários não sejam comprometidos.

Embora o Facebook tenha afirmado que o pagamento para Silva foi o seu maior até à data, não há realmente nenhuma recompensa máxima.

Fonte: Codigo Fonte

Ransomware - Sequestrando seus dados

Ransomware é um malware que quando executado na maquina, encripta todos o quase todos os arquivos possíveis. E não é apenas os arquivos da maquina invadida, ele também pode encriptar arquivos da rede e de unidades externas. Essa encriptação é feita com algoritmos RSA-1024 ou AES-256 e "não é possível" fazer acesso a maquina infectada.
Os maiores incidentes aconteceram em maquinas com vulnerabilidades no protocolo RDP publicadas na internet, mais especifico na vulnerabilidade MS12-020. Em alguns casos a infecção ocorre por anexos maliciosos recebidos por e-mail.
A maioria dos ransomwares utilizam a forma de criptografia assimétrica, ou seja, necessita de uma chave publica e privada. A chave publica é usada para encriptar e a privada para fazer o reverso. Abaixo uma demonstração da Microsoft explicando como funciona essa técnica.

E agora, se meus arquivos estão encriptados, como faço para recupera-los ? Simples, PAGA ! Essa é a ideia do ransomware e o principal motivo pela qual temos report de vários incidentes de toda parte do mundo. O preço sugerido pelos atacantes variam, mais está entre 100 e 500 dólares. Agora, se você mandar um e-mail para o hacker implorando pelos dados, ele não ira cobrar 100 ou 500 dólares, ira cobrar duas ou três vezes mais !!!

Segue um link no site TechNet de reports de usuários brasileiros que estão enfrentando esse problema: http://social.technet.microsoft.com/Forums/pt-BR/a046c963-3fb0-4d62-90e9-7691808159f1/vrus-compacta-arquivo-para-rar-com-senha

http://blogs.technet.com/b/firehose/archive/2013/12/12/top-2014-threats-include-sneakier-social-engineering-ransomware-and-world-cup-related-cybercrime.aspx

Anúncios maliciosos no site Yahoo !

A empresa norte-americana Yahoo, notificou em seu site que durante os dias 27/12/2013 à 03/01/2014 enfrentou problemas com anúncios maliciosos em seu site. Segundo a empresa, boa parte dos usuários expostos estão localizados na Europa e a origem da infecção foi uma conta comprometida.

Os malwares encontrados exploravam falhas do Java, como a CVE-2012-0507 e CVE-2012-4681, ambas já foram corrigidas pelo fabricante em fevereiro e agosto de 2012.

Isso nos mostra o quanto é importante termos as ultimas atualizações de segurança aplicadas em nossos sistema !

Referência: http://help.yahoo.com/kb/index?locale=en_US&page=content&id=SLN22569

BackDoor em equipamentos Cisco

A fabricante Cisco, uma das maiores empresas de tecnologia da informação divulgou em seu site alguns produtos que contem BackDoor não "documentado".
Os equipamentos vulneráveis são: Cisco WAP4410N Wireless-N Access Point, Cisco WRVS4400N Wireless-N Gigabit Security Router e Cisco RVS4000 4-port Gigabit Security Router.


This vulnerability is due to an undocumented test interface in the TCP service listening on port 32764 of the affected device. An attacker could exploit this vulnerability by accessing the affected device from the LAN-side interface and issuing arbitrary commands in the underlying operating system. An exploit could allow the attacker to access user credentials for the administrator account of the device, and read the device configuration. The exploit can also allow the attacker to issue arbitrary commands on the device with escalated privileges

Divulgação: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140110-sbd

Exploit: https://github.com/elvanderb/TCP-32764

Esteganografia

Esteganografia basicamente é uma técnica de esconder um arquivo dentro de outro arquivo, podendo ser uma imagem, documentos de texto só que de uma forma "criptografada".

É importante frisar a diferença entre criptografia e esteganografia. Enquanto a primeira oculta o significado da mensagem, a segunda oculta a existência da mensagem.

Digamos que você e seu amigo estão trabalhando em um projeto importante e desejam tomar todas as precauções possíveis. Ele então anexa suas informações em uma imagem (jpeg , gif) e envia a seu amigo. Lógico que seu amigo conhece o método que foi utilizado e através de um programa de esteganografia ele conseguirá ver o que esta oculto naquela imagem.

Se quiserem conhecer um pouco mais, segue um projeto muito bom: http://embeddedsw.net/OpenPuff_Steganography_Home.html

Referencias: Invasao e Wiki.

Pode arrumar o notebook da tia?

Olá pessoal!

Primeiramente feliz 2014, um pouco atraso mais o que vale é a intenção não é ?!

Esse final de ano minha tia me pegou para "consertar sua internet lenta", para minha alegria coletei um Banker rodando em seu notebook. Vamos a analise J

1 – Logo de início me deparei com esse executável no inicializar do sistema:

Obs.: Podem ver que apesar de ser um executável, sua “extensão” está como .PDF. Leigo caí fácil.

2 – Depois de tomar toda a ação necessário no notebook e as devidas orientações coletei o malware e comecei a análise estática.

      

·         Primeira rodei o comando “FILE” no Linux para descobrir o Magic Number do arquivo e logo sua extensão. Abaixo confirmamos que se trata de um executável.

 

·         Agora quero saber qual o compilador usado, utilizarei o PESTR da ferramenta PEV para analisar as strings do arquivo.

 ·         Legal, já sabemos a extensão real do arquivo e seu compilador. Tentarei ir em busca de mais informações relevantes com o PESCAN – PEV.

Obs.: O programador do malware não se importou em criar barreiras para dificultar a análise do arquivo. Vamos para o próximo passo...

·         Localizando o EntryPoint do arquivo. EntryPoint indica o endereço relativo da primeira instrução a ser executada pelo aplicativo, assim que carregado na memória. Muito importante para fazer o disassembler do malware.

·         Já temos bastante informações sobre o arquivo, poderia ser feito o disassembler no EntryPoint acima e verificarmos todas as chamadas do malware em nosso sistema, como não é esse o proposito deixaremos para a próxima! Para última analise utilizo novamente o PESTR – PEV, agora quero saber quais os domínios que o malware “monitora”.

Bom, paramos por aqui. Espero que tenham entendido essa análise estática e o quanto ela é importante. Submeti o arquivo no VírusTotal e numa sandbox online. O legal que a sandbox não detectou a comunicação com os domínios acima.

https://www.virustotal.com/pt/file/fbc5bd8ed60c9b6e9517e200e40f73eefd81b7f5497448f349f135db4225d376/analysis/

https://malwr.com/analysis/ZmY2OTFmYzY2MTU1NDFkYTg1OGI0YWY2N2M5NjNmZGM/