2021 on Untrusted Network

SANS ISC Diary - Do you want your Agent Tesla in the 300 MB or 8 kB package?

Jan Kopriva — Fri, 31 Dec 2021 13:15:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na největší i nejmenší škodlivé PE soubory, které jsem v průběhu roku 2021 našel v e-mailové karanténě…

SecurityCast Ep#90 - Cybersecurity FAILY roku 2021

Jan Kopriva — Mon, 27 Dec 2021 16:40:00 +0100

Poslední letošní epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Tentokrát se podíváme na výběr z toho, co v roce 2021 nedopadlo v oblasti kybernetické bezpečnosti úplně nejlépe…

SANS ISC Diary - PowerPoint attachments, Agent Tesla and code reuse in malware

Jan Kopriva — Mon, 20 Dec 2021 17:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na malspamovou zprávu, která nesla v příloze PowerPoint dokument s makry, z něhož se vyklubala první fáze infekčního řetězce nové verze Agentu Tesla…

SecurityCast Ep#89 - TOP 6 událostí roku 2021

Jan Kopriva — Mon, 20 Dec 2021 14:40:00 +0100

Speciální vánoční epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na výběr toho nejzajímavějšího, co nás v oblasti kybernetické bezpečnosti letos potkalo…

SecurityCast Ep#88 - Nový zero-day exploit pro Log4j Java knihovnu

Jan Kopriva — Mon, 13 Dec 2021 15:30:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na útoky využívající kompromitované WordPress instance, závažnou zranitelnost v Java knihovně Log4j a nejen to…

SecurityCast Ep#87 - Microsoft Defender vyděsil administrátory chybným označením škodlivých procesů

Jan Kopriva — Mon, 06 Dec 2021 13:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na ransomware útok na základní školu v Přerově, mnoho false-positive detekcí ze strany Microsoft Defenderu a nejen to…

SecurityCast Ep#86 - Přes 1000 lidí koordinovaně zadrženo za kybernetické zločiny

Jan Kopriva — Mon, 29 Nov 2021 15:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na úspěšný zátah Interpolu na kybernetické zločince, žalobu Applu na NSO Group a mnoho dalšího…

SANS ISC Diary - Phishing page hiding itself using dynamically adjusted IP-based allow list

Jan Kopriva — Wed, 24 Nov 2021 12:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý ochranný mechanismus, který umožnil phishingové stránce zabránit v přístupu k falešnému přihlašovacímu portálu všem kromě původní oběti, která kliknula na podvodný odkaz v e-mailové zprávě…

SecurityCast Ep#85 - Emotet je zpátky a detekování skrytých kamer aplikací

Jan Kopriva — Mon, 22 Nov 2021 15:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na zmrtvýchvstání malwaru Emotet, novou variantu útoku Rowhammer a nejen to…

SecurityCast Ep#83 - Facebook ruší funkci rozpoznávání obličejů

Jan Kopriva — Mon, 08 Nov 2021 13:45:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na odměnu za informace o ransomwarové skupině DarkSide nabízenou ze strany USA, publikaci seznamu aktivně využívaných zranitelností ze strany CISA a mnoho dalšího…

SecurityCast Ep#82 - 60 let vězení hrozí vývojáři malwaru TrickBot

Jan Kopriva — Mon, 01 Nov 2021 13:45:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na vydání jednoho z údajných vývojářů malwaru TrickBot do USA, nový ENISA Threat Landscape Report a nejen to…

TriOp update - verze 1.4 (a Shodan Trends)

Jan Kopriva — Thu, 28 Oct 2021 14:00:00 +0200

Dnes jsem publikoval verzi 1.4 nástroje TriOp. Jedinou změnou je tentokrát doplnění CVE-2021-31206 (zranitelnost užívaná při ProxyShell útoku) do relevantního vyhledávacího seznamu.

Zmínku rovněž zaslouží skutečnost, že Shodan nedávno zpřístupnil novou službu Shodan Trends, která umožňuje uživatelům jednoduše generovat grafy pro (pravděpodobně) libovolné dotazy do databáze Shodanu. Přestože tyto grafy jsou založeny pouze na měsíčních průměrech zájmových hodnot a nejsou tedy tak přesné jako grafy, které je možné vygenerovat na základě dat získaných ze Shodanu s pomocí nástroje TriOp, mohou potenciálně poskytnout poměrně zajímavý pohled na vybrané dlouhodobé trendy. Pro získávání vstupů pro aktivity které nevyžadují detilní data o každodenních změnách tak může být tato nová služba potenciální alternativou k TriOp.

Jako vždy, aktuální verzi TriOp je možné stáhnout z GitHubu.

SecurityCast Ep#81 - Malware kampaň na YouTube a Zerodium nakupuje 0-day zranitelnosti VPN klientů

Jan Kopriva — Mon, 25 Oct 2021 13:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na využívání YouTube v rámci malwarových distribučních kampaní, novou verzi frameworku MITRE ATT&CK a nejen to…

SecurityCast Ep#80 - Česká republika součástí 31 zemí se společnou strategií boje proti ransomwaru

Jan Kopriva — Mon, 18 Oct 2021 15:05:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na participaci ČR v iniciativě Counter-Ransomware, nově publikovaný nástroj Sysmon for Linux a nejen to…

Prezentace z konference AFCEA Kybernetická bezpečnost IX

Jan Kopriva — Sat, 16 Oct 2021 12:00:00 +0200

Minulý týden proběhla v rámci mezinárodního veletrhu obranné a bezpečnostní techniky IDET také konference Kybernetická bezpečnost IX, jíž organizovala AFCEA a v rámci níž jsem měl možnost vystoupit s krátkým příspěvkem zaměřeným na problematiku neustále se zvyšujícího technologického dluhu, který si jako moderní společnost budujeme, a jeho dopadů na bezpečnost (nejen) globálního internetu. Slidy z většiny přednášek, včetně té mé, jsou v současnosti již k dispozici na tomto odkazu.
Domnívám se, že se mi podobně jako u nedávné přednášky připravené pro 64. TF-CSIRT meeting podařilo i tentokrát připravit prezentaci tak, aby dávala smysl i samostatně, bez průvodního výkladu, a pro případné zájemce o výše uvedenou problematiku tak může být její stažení potenciálně přínosné.

SecurityCast Ep#79 - Proč nefungoval Facebook a masivní únik dat z Twitche

Jan Kopriva — Mon, 11 Oct 2021 14:05:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na celosvětový výpadek služeb Facebooku, únik dat z platformy Twitch a nejen to…

SecurityCast Ep#78 - Útočník dokáže ze zamčeného iPhonu provádět nepovolené platby

Jan Kopriva — Mon, 04 Oct 2021 16:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na slabinu v Apple Pay, službu Emergency Mitigation v Microsoft Exchange a mnoho dalšího…

Otevřené porty v Q3 2021

Jan Kopriva — Fri, 01 Oct 2021 15:00:00 +0200

Do konce roku už zbývají jen tři měsíce a nastal tak čas podívat se, jak se za třetí čtvrtletí 2021 změnil český internet.

Jako vždy, i tentokrát byla veškerá data získána z platformy Shodan a nemusí tak být zcela přesná (viz první příspěvek s přehledem otevřených portů). Významnější změny a trendy zachycené v grafech by nicméně měly odpovídat skutečnosti.

Následující grafy se týkají České republiky, pokud by vás však zajímala data týkající se globálního internetu, můžete je nalézt zde.

Níže můžete nalézt grafy zachycující následující protokoly a porty:

Web

E-mail

SSL/TLS

Industrial Control Systems (ICS)

SSH (port 22)

Telnet (port 23)

DNS (port 53)

NTP (port 123)

SNMP (port 161)

SMB (port 445)

RDP (port 3389)

Web

HTTP (port 80)

HTTPS (port 443)

TLS 1.3 (port 443)

TLS 1.2 (port 443)

TLS 1.1 (port 443)

TLS 1.0 (port 443)

SSL 3.0 (port 443)

SSL 2.0 (port 443)

E-mail

SMTP (port 25)

SMTPS (port 465)

IMAP (port 143)

IMAPS (port 993)

POP3 (port 110)

POP3S (port 995)

SSL/TLS

TLS 1.3 (všechny porty)

TLS 1.2 (všechny porty)

TLS 1.1 (všechny porty)

TLS 1.0 (všechny porty)

SSL 3.0 (všechny porty)

SSL 2.0 (všechny porty)

Industrial Control Systems

Všechny průmyslové protokoly

Modbus (port 502)

EIBnet/IP (port 3671)

BACnet/IP (port 47808)

Interview - ECSC 2021

Jan Kopriva — Thu, 30 Sep 2021 21:10:00 +0200

V Praze již druhým dnem probíhá finále letošního ročníku European Cyber Security Challenge - mezinárodní bezpečnostní soutěže určené týmům mladých talentů z různých zemí Evropy. Vzhledem k tomu, že jsem pro finále vytvářel jednu ze soutěžních úloh a ALEF byl jedním z partnerů soutěže, byl jsem v rámci jejích příprav požádán i o krátké interview, jehož záznam byl dnes publikován na Youtube. V rámci přibližně deseti minut jsme s moderátorkou probrali mnoho zajímavých témat a myslím, že výsledné video se podařilo. Jeho kvality můžete nicméně zhotnotit sami…

SANS ISC Diary - TLS 1.3 and SSL - the current state of affairs

Jan Kopriva — Tue, 28 Sep 2021 11:20:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na aktuální stav adopce TLS 1.3 a situaci v používání SSL 2.0 a 3.0…

SecurityCast Ep#77 - Zranitelnost v Autodiscover protokolu umožnila získání přes 370 tisíc přihlašovacích údajů

Jan Kopriva — Mon, 27 Sep 2021 15:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na slabinu v Autodiscover protokolu užívaném Exchange servery, trh s falešnými očkovacími certifikáty na dark webu, a nejen to…

SANS ISC Diary - Phishing 101: why depend on one suspicious message subject when you can use many?

Jan Kopriva — Thu, 16 Sep 2021 09:10:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lehce netradiční phishing, jehož autoři se pokoušeli nalákat potenciální oběti na podvodnou stránku s pomocí většího počtu zjevně podezřelých textů v předmětech údajných nedoručených zpráv…

Prezentace ze setkání TF-CSIRT - How TLS 1.3 adoption (and disposal of SSL) is going

Jan Kopriva — Tue, 14 Sep 2021 19:00:00 +0200

Dnes proběhlo již 64. pravidelné setkání mezinárodní komunity bezpečnostních týmů TF-CSIRT. K jeho obsahu jsem měl možnost přispět i já, a to prezentací dat týkajících se adopce TLS 1.3 a aktuálního stavu užívání SSL protokolů ve světě a v EU. Většinou zde prezentace realizované v rámci TF-CSIRT meetingů nezmiňuji, ale tentokrát jsem se rozhodl udělat výjimku, neb se domnívám že tato by mohla případnému zájemci poskytnout hodnotné informace i bez souvisejícího výkladu. V případě zájmu tedy můžete najít zmíněnou prezentaci (spolu s několika dalšími, které dnes zazněly) na tomto odkazu.

SecurityCast Ep#75 - Téměř 500 000 Fortinet VPN účtů volně na internetu

Jan Kopriva — Tue, 14 Sep 2021 10:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na publikaci téměř půl milionu přístupových údajů k Fortinet VPN, novou kritickou (a prozatím nezáplatovanou) zranitelnost, umožňující spustit v Microsoft Office libovolný kód, a mnoho dalšího…

SecurityCast Ep#74 - Apple pod nátlakem pozastavil plán scanovat všechna svá zařízení

Jan Kopriva — Mon, 06 Sep 2021 10:55:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na změny plánů společnosti Apple, pokud jde o detekování závadného obsahu na zařízeních jejích zákazníků, novinky v oblasti ransomwaru a mnoho dalšího…

SecurityCast Ep#73 - Konec ransomwaru Ragnarok a nečekaně mnoho SPF záznamů v ČR

Jan Kopriva — Mon, 30 Aug 2021 10:55:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na publikování dekryptorů ze strany provozovatelů ransomwaru Ragrnarok, nečekaně velký počet SPF záznamů v doméně CZ a nejen to…

Národní soutěž ČR v kybernetické bezpečnosti (a soutěž o vstupenky na bezpečnostní konference)

Jan Kopriva — Mon, 30 Aug 2021 08:40:00 +0200

Na YouTube jsem dnes publikoval propagační video k nadcházejícímu 6. ročníku národní soutěže ČR v kybernetické bezpečnosti pro mladé lidi ve věku 9 až 25 let. Pokud jste o této akci ještě nikdy neslyšeli, myslím, že video může stát za zhlédnutí. V rámci podpory Kybersoutěže jsem se navíc rozhodl v souvislosti zorganizovat soutěž (nejen) o vstupenky na několik nadcházejících bezpečnostních konferencí, jak si můžete ve videu poslechnout…

Jak je ve videu zmíněno, soutěž běžela do 24. 9. 2021 a pro účast v ní bylo nutné pouze:

přihlásit se k odběru kanálu Untrusted Network CZ na YouTube,
začít na Twitteru sledovat účty @KyberSoutez a @UntrustedNet a
re-tweetnout tento tweet.

Ceny v soutěži byly následující:
1. místo – vstup na konferenci Cyb3r Days + účet na službě Shodan
2. a 3. místo – vstup na konferenci AFCEA KB9 + účet na službě Shodan
4. – 10. místo – účet na službě Shodan

SANS ISC Diary - There may be (many) more SPF records than we might expect

Jan Kopriva — Wed, 25 Aug 2021 11:55:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na překvapivě vysoký počet SPF DNS záznamů v doméně CZ…

SecurityCast Ep#72 - Pokračující ProxyShell útoky a největší L7 DDoS

Jan Kopriva — Mon, 23 Aug 2021 11:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na pokračující ProxyShell útoky, nejsilnější zaznamenaný L7 DDoS a mnoho dalšího…

SecurityCast Ep#71 - Aktivní využívání útoku ProxyShell

Jan Kopriva — Mon, 16 Aug 2021 12:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na útok ProxyShell a jeho využívání útočníky, ukončení provozu ransomwaru SynAck a nejen to…

TriOp update - verze 1.3

Jan Kopriva — Thu, 12 Aug 2021 17:25:00 +0200

Dnes jsem publikoval verzi 1.3 nástroje TriOp. Jedinou změnou je tentokrát doplnění zranitelností užívaných při ProxyShell útoku (CVE-2021-31207, CVE-2021-34473 and CVE-2021-34523) do relevantního vyhledávacího seznamu.

Vzhledem k tomu, že zřetězení zmíněných zranitelností může vést až k plnému neautentizovanému RCE a média věnovala jmenovanému útoku v posledních týdnech značnou pozornost, bylo by na místě předpokládat, že většina organizací bude zranitelnosti urychleně záplatovat. Každodenní přírůstky v počtech jimi postižených systémů na Shodanu však prozatím vzbuzují spíše méně optimistický dojem…

Jako vždy, aktuální verzi TriOp je možné stáhnout z GitHubu.

SecurityCast Ep#70 - Apple bude scanovat fotky ve všech zařízeních

Jan Kopriva — Mon, 09 Aug 2021 14:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na plán Applu vyhledávat mezi fotografiemi škodlivý obsah, únik nástrojů a dokumentů užívaných provozovateli ransomwaru Conti a nejen to…

SANS ISC Diary - ProxyShell - how many Exchange servers are affected and where are they?

Jan Kopriva — Mon, 09 Aug 2021 12:25:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na počty Exchange serverů, proti nimž lze potenciálně realizovat ProxyShell útok.

Seznam zdarma dostupných online sandboxů pro analýzu malware v1.7

Jan Kopriva — Wed, 04 Aug 2021 08:55:00 +0200

Vzhledem k tomu, že v oblasti online sandboxů pro analýzu škodlivého kódu došlo za posledních šest měsíců k několika významným změnám, rozhodl jsem se publikovat novou verzi seznamu analytických platforem, které v současnosti považuji za nejzajímavější/nejužitečnější.
Ze změn si zvláštní zmínku zaslouží zejména doplnění značného počtu podporovaných opearačních systémů do platformy Hatching Triage…

Aktuální verzi seznamu můžete, jako vždy, najít zde.

SecurityCast Ep#69 - Ransomware skupina DarkSide je zpět, tentokrát pod jménem BlackMatter

Jan Kopriva — Mon, 02 Aug 2021 14:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na přejmenování skupiny za DarkSide ransomwarem, další vývoj v aféře Kaseya a mnoho dalšího…

SANS ISC Diary - A sextortion e-mail from...IT support?!

Jan Kopriva — Wed, 28 Jul 2021 08:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lehce netradiční vyděračský “sextortion” e-mail, jehož autor se vydával za pracovníka IT firmy najaté organizací poskytující příjemci e-mailovou schránku…

SecurityCast Ep#68 - Nový PetitPotam NTLM Relay útok umožňuje převzít kontrolu nad Windows doménou

Jan Kopriva — Mon, 26 Jul 2021 15:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na PetitPotam - nástroj využívající slabinu protokolu MS-EFSRPC k iniciaci NTLM autentizace, což může vést až k získání oprávnění doménového administrátora, novinky v aféře Kaseya a mnoho dalšího…

SecurityCast Ep#67 - REvil zmizel, odměna 10 milionů a naléhavé varování od SonicWall

Jan Kopriva — Mon, 19 Jul 2021 14:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na pokračující vývoj okolo nedávného masivního útoku skupiny REvil na stovky organizací po celém světě, sílící tlak na Rusko ze strany USA v oblasti řešení ransomwaru a nejen to…

SANS ISC Diary - One way to fail at malspam - give recipients the wrong password for an encrypted attachment

Jan Kopriva — Wed, 14 Jul 2021 13:10:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na e-mailovou kampaň šířící škodlivé soubory v zašifrovaném archivu bez uvedení správného hesla k němu…

Otevřené porty v Q2 2021

Jan Kopriva — Wed, 30 Jun 2021 21:15:00 +0200

První polovina roku 2021 je za námi a nastal tak čas podívat se, jak se za tři uplynulé měsíce změnil internet.

Následující grafy se týkají České republiky, pokud by vás však zajímala data týkající se globálního internetu, můžete je nalézt zde.

Níže můžete nalézt grafy zachycující následující protokoly a porty:

Web

E-mail

SSL/TLS

Industrial Control Systems (ICS)

SSH (port 22)

Telnet (port 23)

DNS (port 53)

NTP (port 123)

SNMP (port 161)

SMB (port 445)

RDP (port 3389)

Web

HTTP (port 80)

HTTPS (port 443)

TLS 1.3 (port 443)

TLS 1.2 (port 443)

TLS 1.1 (port 443)

TLS 1.0 (port 443)

SSL 3.0 (port 443)

SSL 2.0 (port 443)

E-mail

SMTP (port 25)

SMTPS (port 465)

IMAP (port 143)

IMAPS (port 993)

POP3 (port 110)

POP3S (port 995)

SSL/TLS

TLS 1.3 (všechny porty)

TLS 1.2 (všechny porty)

TLS 1.1 (všechny porty)

TLS 1.0 (všechny porty)

SSL 3.0 (všechny porty)

SSL 2.0 (všechny porty)

Industrial Control Systems

Všechny průmyslové protokoly

Modbus (port 502)

EIBnet/IP (port 3671)

BACnet/IP (port 47808)

SANS ISC Diary - Phishing asking recipients not to report abuse

Jan Kopriva — Tue, 22 Jun 2021 15:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň, jejíž autor zřejmě nedopatřením uzavřel zprávu netradičním požadavkem…

SecurityCast Ep#64 - Joe Biden a Vladimir Putin řešili otázky kybernetické bezpečnosti

Jan Kopriva — Mon, 21 Jun 2021 13:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na výstupy ze setkání prezidentů USA a Ruska, v rámci něhož diskutovali mj. kybernetickou bezpečnost, zajímavý anti-pirátský malware a nejen to…

SecurityCast Ep#63 - EA přišlo o zdrojový kód ke hře FIFA21, UK věří v hack back bez varování

Jan Kopriva — Mon, 14 Jun 2021 13:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na únik zdrojových kódů ze systémů firmy EA, zajímavý malware cílící na Kubernetes clustery, a nejen to…

SANS ISC Diary - Architecture, compilers and black magic, or 'what else affects the ability of AVs to detect malicious files'

Jan Kopriva — Wed, 09 Jun 2021 13:25:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na to, jak může volba kompilátoru ovlivnit schopnost anti-malware nástrojů detekovat škodlivý kód…

SecurityCast Ep#62 - Závažná zranitelnost ve VMware vCenter je aktivně zneužívána útočníky

Jan Kopriva — Mon, 07 Jun 2021 14:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na ransomwarový incident u největšího producenta masa na světě, aktivní využívání zranitelnosti ve VMware vCenter, a nejen to…

SecurityCast Ep#61 - Japonská vláda v problémech po hacku platformy ProjectWEB od Fujitsu

Jan Kopriva — Mon, 31 May 2021 14:40:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na pár zajímavých informací o darkwebovovém tržišti Hydra, průnik útočníků do systému Fujitsu ProjectWEB, který využívají mimo jiné i japonská ministerstva, a nejen to…

Webinář - Analýza malware

Jan Kopriva — Fri, 28 May 2021 08:25:00 +0200

Příští pátek (4. června) povedu pro studenty Fakulty informatiky a informačných technológií Slovenské technické univerzity v Bratislavě webinář zaměřený na vybrané aspekty analýzy škodlivého kódu. Webinář bude zdarma přístupný i pro širokou veřejnost a pokud byste se tak chtěli zúčastnit, bližší informace i odkaz k registraci můžete nalézt zde.

SANS ISC Diary - All your Base are...nearly equal when it comes to AV evasion, but 64-bit executables are not

Jan Kopriva — Thu, 27 May 2021 11:30:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na dopady různých kódování na schopnosti anti-malware systémů detekovat škodlivý kód…

SecurityCast Ep#60 - Národní knihovna kvůli kybernetickému útoku týden neposkytovala své služby

Jan Kopriva — Mon, 24 May 2021 13:40:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na ransomwarové útoky doma i v zahraničí, novinky ohledně zranitelnosti CVE-2021-31166, která postihuje http.sys komponentu operačních systémů Windows, a mnoho dalšího…

SecurityCast Ep#59 - Dozvuky ransomware útoku na Colonial Pipeline a FragAttacks

Jan Kopriva — Mon, 17 May 2021 13:55:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na pokračující dopady ransomwarového útoku na společnost Colonial Pipeline, zranitelnosti ve Wi-Fi standardu a nejen to…

SANS ISC Diary - Number of industrial control systems on the internet is lower then in 2020...but still far from zero

Jan Kopriva — Wed, 12 May 2021 13:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na počet průmyslových řídících systémů dostupných z internetu…

SecurityCast Ep#58 - Ransomware způsobil uzavření největšího palivového potrubí v USA

Jan Kopriva — Mon, 10 May 2021 13:55:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na úspěšný ransomwarový útok na systémy provozovatele produktovodů v USA, závažné zranitelnosti v Exim serverech a nejen to…

Shodan (a bug bounty programy) - Praktické základy kybernetické bezpečnosti

Jan Kopriva — Sun, 09 May 2021 15:55:00 +0200

Na YouTube kanálu Untrusted Network CZ jsem dnes publikoval další ze série vzdělávacích videí zaměřených na základní nástroje a koncepty užívané v rámci každodenní bezpečnostní praxe. V tomto videu se společně podíváme na platformu Shodan a na problematiku vyhledávání zranitelností na internetu a s ní spojené bug bounty programy.

Za zmínku stojí, že provozovatelé Shodanu nabízí možnost získání plnohodnotného účtu zdarma vysokoškolským studentům, ale nikoli studentům středoškolským. Vzhledem k tomu, že by však bylo určitě i pro středoškoláky, kteří se na videa z cyklu Praktických základů kybernetické bezpečnosti dívají zajímavé si Shodan vyzkoušet, požádal jsem jeho provozovatele o drobnou pomoc. Velmi laskavě mi pro středoškoláky poskytnuli celkem 100 gift kódů, s pomocí nichž je možné získat plnohodnotný účet zdarma.

Pokud tedy aktuálně studujete nějakou střední školu nebo gymnázium a ještě nemáte “plný” účet na Shodanu, ale měli byste o něj zájem, ozvěte se mi na Twitteru nebo mě kontaktujte e-mailem - rád vám jeden z gift kódů věnuji…

Twitter a Slack Untrusted Network

Jan Kopriva — Sun, 09 May 2021 15:40:00 +0200

V návaznosti na nedávnou publikaci prvních dílů osvětové série videí věnovaných praktickým základům kybernetické bezpečnosti na portálu YouTube mě nezávisle na sobě oslovilo několik zájemců o rady ohledně získání práce v oblasti kybernetické bezpečnosti a možnostech dalšího budování kariéry v ní. Vzhledem k tomu, že diskuze o těchto a dalších příbuzných tématech by byla bezpochyby zajímavá i pro širší skupinu (zejména) studentů a juniorních bezpečnostních specialistů, založil jsem na Slacku prostor Untrusted Network, kde budeme moci výše uvedená témata probírat v širším plénu.

Pokud byste měli zájem se k tomuto kanálu připojit, ozvěte se mi na Twitteru nebo mě kontaktujte e-mailem - rád vám pošlu pozvánku.

Pro ty, kteří nepoužívají RSS/Atom čtečku pro sledování tohoto webu, ale chtěli by být upozornění na případné nové příspěvky doplním, že jsem nedávno rovněž začal na Twitterovém účtu @UntrustedNet publikovat informace o novém obsahu, který se zde objeví. V případě zájmu je tedy možné jej pro informace o novinkách začít sledovat.

SecurityCast Ep#57 - Nizozemsko deaktivovalo svou verzi aplikace eRouška, doporučení pro tento týden

Jan Kopriva — Mon, 03 May 2021 13:55:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na problémy s nizozemskou obdobou aplikace eRouška, sadu krizických zranitelností v různých RTOS, SDK a standardních knihovnách užívaných v rámci IoT a OT a mnoho dalšího…

SecurityCast Ep#56 - Ransomware s dopadem na Apple, novinky v komunikaci malwaru a konec Emotetu

Jan Kopriva — Mon, 26 Apr 2021 13:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na ransomwarový útok v jehož důsledku údajně došlo ke zcizení citlivých dokumentů společnosti Apple, novinky v komunikačních technikách užívaných malwarem a mnoho dalšího…

SecurityCast Ep#55 – USA a UK formálně přisoudily útok Solarwinds Ruské SVR, nárůst NFT podvodů

Jan Kopriva — Mon, 19 Apr 2021 12:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na uvalení sankcí na ruské organizace a občany v souvislosti s útokem na Solar Winds, zranitelnosti, bezprecedentní reakci USA na nedávné útoky na Exchange servery a nejen to…

SANS ISC Diary - Hunting phishing websites with favicon hashes

Jan Kopriva — Mon, 19 Apr 2021 11:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na možnosti použití hashí ikon webových stránek pro identifikaci IP adres hostujících phishingové portály…

ALEF Security Report 2021

Jan Kopriva — Fri, 16 Apr 2021 08:00:00 +0200

Tak jako každý rok, i letos jsme s kolegy z Alefu přípravili náš pravidelný report zaměřený na vybrané aspekty kybernetické bezpečnosti nejen v České republice v průběhu loňského roku. Pokud vás zajímají trendy v útocích nebo v bezpečnostním testování, postup adopce TLS pro ochranu e-mailů při přenosu nebo kolik phishing kitů bylo vloni volně nabízených na clear webu, můžete si nově publikovaný report stáhnout zde - najdete v něm i monoho jiných zajímavostí…

SecurityCast Ep#54 – Muž chtěl zničit 70% internetu, databáze 500 mil. účtů z LinkedInu k prodeji

Jan Kopriva — Mon, 12 Apr 2021 17:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zatčení muže, který chtěl “zničit 70 % internetu”, bezpečnostní incident, který postihnul elektrickou rozvodnou síť areálu v Natanzu, v němž Írán obohacuje uran, a mnoho dalšího…

SANS ISC Diary - Malspam with Lokibot vs. Outlook and RFCs

Jan Kopriva — Tue, 06 Apr 2021 18:30:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý škodlivý e-mail nesoucí vzorek malwaru Lokibot, který díky chybě v adrese odesilatele způsobil na straně aplikace Outlook velmi netradiční chování…

SecurityCast Ep#53 – Informace o skoro 1,4 milionech českých Facebook účtů jsou volně na internetu

Jan Kopriva — Mon, 05 Apr 2021 14:50:00 +0200

První epizoda pomyslného druhého ročníku Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na volně dostupná data zcizená ze sociální sítě Facebook, pokus o vložení backdooru do kódu PHP a mnoho dalšího…

Otevřené porty v Q1 2021

Jan Kopriva — Mon, 05 Apr 2021 11:30:00 +0200

První kvartál roku 2021 je za námi a nastal tak čas podívat se na změny v počtech veřejných IP adres s různými otevřenými porty. Tentokrát se podíváme nejen na to, jak se za tři uplynulé měsíce internet změnil z pohledu jednotlivých používaných portů, ale také na změny v podpoře různých verzí protokolů TLS a SSL.

Následující grafy se týkají České republiky, pokud by vás však zajímala data týksjící se globálního internetu, můžete je nalézt zde.

Níže můžete nalézt grafy zachycující následující protokoly a porty:

Web

E-mail

SSL/TLS

Industrial Control Systems (ICS)

SSH (port 22)

Telnet (port 23)

DNS (port 53)

NTP (port 123)

SNMP (port 161)

SMB (port 445)

RDP (port 3389)

Web

HTTP (port 80)

HTTPS (port 443)

TLS 1.3 (port 443)

TLS 1.2 (port 443)

TLS 1.1 (port 443)

TLS 1.0 (port 443)

SSL 3.0 (port 443)

SSL 2.0 (port 443)

E-mail

SMTP (port 25)

SMTPS (port 465)

IMAP (port 143)

IMAPS (port 993)

POP3 (port 110)

POP3S (port 995)

SSL/TLS

TLS 1.3 (všechny porty)

TLS 1.2 (všechny porty)

TLS 1.1 (všechny porty)

TLS 1.0 (všechny porty)

SSL 3.0 (všechny porty)

SSL 2.0 (všechny porty)

Industrial Control Systems

Všechny průmyslové protokoly

Modbus (port 502)

EIBnet/IP (port 3671)

BACnet/IP (port 47808)

Ve volně dostupném balíku dat uniklých z Facebooku jsou informace o více než milionu českých účtů

Jan Kopriva — Sat, 03 Apr 2021 23:30:00 +0200

Dnes se na internetu objevil balík dat obsahující informace o přibližně 533 milionech účtů ze sociální sítě Facebook. Nejde podle všeho o nová data, ale o informace uniklé již v roce 2019. Stejný balík byl historicky již nabízen k prodeji, ale dnes byl publikován zcela volně.

To je přinejmenším nešťastné, neboť, ačkoli nejde o data nová, lze předpokládat, že z většiny budou stále aktuální – jde totiž o seznam telefonních čísel svázaných s jednotlivými účty, spolu s vybranými dalšími informacemi.

UPDATE 6. 4. 2021: Jak se ukázalo, nakonec balík obsahoval “pouze” necelých 500 milionů záznamů, nikoli 533 milionů záznamů. Původně v něm byly obsaženy 2 regionální balíky (Africa a South Africa), které byly duplicitní a započítání obou tak způsobilo výše uvedenou nepřesnost.

Neb se data z výše zmíněného balíku dostala i ke mně, chtěl bych se s vámi podělit o několik zajímavostí které se jich týkají a mají vazbu na české uživatele výše zmíněné sociální sítě.

Účtů s českými telefonními čísly bylo v balíku téměř 1,38 milionu.
Vedle telefonního kontaktu a času posledního updatu (zřejmě) bylo u každého záznamu unikátní ID účtu a jméno a příjmení jeho vlastníka. Výjimku tvořily pouze dva záznamy, kde příjmení chyběla.
Informace o pohlaví uživatele byla uvedena u 93,1 % záznamů.
Adresa a místo narození byly uvedeny u 49,8 %, resp. 44,5 % záznamů.
Informace o zaměstnání byly uvedeny u 30,8 % záznamů.
Rodinný stav byl uveden u 25 % záznamů.
Datum narození bylo uvedeno u 4,4 % záznamů.
E-mailový kontakt byl uveden u 1,3 % záznamů.

Přestože nejde o nově uniklá data, lze předpokládat, že díky jejich snadné (a nově i bezplatné) dostupnosti je začnou citelně více využívat podvodníci. Pokud jste tedy před rokem 2019 využívali sociální síť Facebook, počítejte s tím, že minimálně vaše telefonní číslo (a potenciálně i další zmíněné kategorie informací) má potenciálně k dispozici kdokoli s přístupem k internetu a v případě neočekávaných telefonických hovorů se tak mějte na pozoru…

SANS ISC Diary - Old TLS versions - gone, but not forgotten... well, not really 'gone' either

Jan Kopriva — Tue, 30 Mar 2021 10:20:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na vývoj podpory TLS 1.0 a TLS 1.1 na webových serverech přístupných z internetu…

SecurityCast Ep#52 – Ransomware na vzestupu, ProxyLogon update a záplaty Cisco zranitelností

Jan Kopriva — Mon, 29 Mar 2021 15:05:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zajímavé statistiky týkající se ransomwarových útoků, nově záplatované zranitlenosti v OpenSSL a produktech firmy Cisco a nejen to…

SecurityCast Ep#51 – Teenager dostal 3 roky natvrdo, polikliniky v Praze zasáhl kybernetický útok

Jan Kopriva — Mon, 22 Mar 2021 13:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na odsouzení jednoho z útočníků stojících za loňskou kompromitací high profile Twitter účtů, další vývoj okolo aféry SolarWinds a nejen to…

SANS ISC Diary - 50 years of malware? Not really. 50 years of computer worms? That's a different story...

Jan Kopriva — Tue, 16 Mar 2021 08:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na Creeper, první počítačový červ, který byl kdy vytvořen. Došlo k tomu již před 50 lety - dle některých zdrojů na den přesně…

SecurityCast Ep#50 – Datacentrum OVH hořelo, reaktivní opatření NÚKIB a vyhlášení výherců soutěže

Jan Kopriva — Mon, 15 Mar 2021 15:55:00 +0100

Jubilejní 50. epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na 150000 kompromitovaných bezpečnostních kamer, další vývoj v oblasti využívání nedávno publikovaných zranitelností v MS Exchange a mnoho dalšího…

TriOp update - verze 1.2

Jan Kopriva — Sun, 14 Mar 2021 14:00:00 +0100

Dnes jsem publikoval verzi 1.2 nástroje TriOp. Ve verzi 1.1 existovala chyba v “add” módu, která způsobovala nekorektní zpracování parametrů v souborech s dotazy. Nově publikovaný update tuto chybu opravuje.
Při použití “add” módu je nyní možné speficikovat filtr (–filter), který určí parametr obsažený v původním souboru s dotazy, který má být připojen ke všem nově přidávaným dotazům.

Jako vždy, aktuální verzi TriOp je možné stáhnout z GitHubu.

SecurityCast Ep#49 - závažné zranitelnosti v Microsoft Exchange a nárůst počtu ransomware útoků

Jan Kopriva — Mon, 08 Mar 2021 15:30:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na aktuální útočné kampaně cílené na on-premise Exchange servery, únik dat z darkwebového fóra Maza, doplnění podpory pro skenování maker typu Excel 4 do AMSI a nejen to…

TriOp update - verze 1.1

Jan Kopriva — Mon, 08 Mar 2021 11:00:00 +0100

Dnes jsem publikoval update nástroje TriOp. Nová verze obsahuje detekce pro nedávno publikované zranitlenosti v Microsoft Exchange v seznamu vyhledávaných CVE a take možnost použití parametrizovaných dotazů s využitím libovolných filtrů, které Shodan podporuje.

Bližší popis nových funkcionalit najdete zde a novou verzi je možné stáhnout z GitHubu.

SecurityCast Ep#48 – Kryptoměnový podvod, nový typ útoku využívá rozšíření prohlížeče

Jan Kopriva — Mon, 01 Mar 2021 12:55:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na využívání kompromitovaných Twitterových účtů pro podvodné získávání kryptoměn, APT kampaň užívající škodlivá rozšíření do prohlížečů a mnoho dalšího.

SANS ISC Diary - Qakbot in a response to Full Disclosure post

Jan Kopriva — Tue, 23 Feb 2021 11:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý e-mail, který působil jako reakce na historický příspěvek na Full Disclosure mailing list a nesl v příloze downloader pro malware Qakbot…

SecurityCast Ep#47 – LinkedIn phishing a SolarWinds update od Microsoftu

Jan Kopriva — Mon, 22 Feb 2021 14:55:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na novou phishingovou kampaň využívající LinkedIn, dopad aféry Solar Winds na firmu Microsoft a mnoho dalšího.

Záznamy z webinářů 'Ransomware' a 'Lookalike domény'

Jan Kopriva — Thu, 18 Feb 2021 18:45:00 +0100

V posledních týdnech proběhlo několik osvětových webinářů organizovaných pracovní skupinou kybernetické bezpečnosti české pobočky AFCEA. Byly mezi nimi také dva, na nichž jsem měl možnost se svými vystoupeními podílet. První byl věnovaný problematice ransomwaru, druhý pak problematice lookalike domén.
Pokud jste se neměli možnost webinářů zúčastnit, ale jejich obsah by vás zajímal, slidy i videozáznam z webináře věnovaného ransomwaru najdete zde (můj velmi rychlý vstup začíná na 31:15) a slidy se záznamem z webináře věnovaného lookalike doménám zde (má přednáška začíná na 04:25).

Wireshark (a modely TCP/IP a ISO/OSI) - Praktické základy kybernetické bezpečnosti

Jan Kopriva — Tue, 16 Feb 2021 10:00:00 +0100

Na YouTube kanálu Untrusted Network CZ jsem dnes publikoval další ze série vzdělávacích videí zaměřených na základní nástroje a koncepty užívané v rámci každodenní bezpečnostní praxe. V tomto videu se společně podíváme na nástroj Wireshark a popíšeme si základní principy architektonických síťových modelů TCP/IP a ISO/OSI.

SecurityCast Ep#46 – Útočník se pokusil otrávit vodu z čističky, únik dat studia CD PROJEKT RED

Jan Kopriva — Mon, 15 Feb 2021 15:25:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na úspěšný průnik do systémů čističky odpadních vod v USA, zajímavý vektor útoku s pomocí standardních balíčkovacích systémů a nejen to.

SANS ISC Diary - Agent Tesla hidden in a historical anti-malware tool

Jan Kopriva — Thu, 11 Feb 2021 08:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou verzi malwaru Agent Tesla, která byla skrytá v kódu legitimní historické bezpečnostní aplikace…

SecurityCast Ep#45 – Aféra SolarWinds a soudy v USA, falešný WhatsApp a výzkum 0-day zranitelností

Jan Kopriva — Mon, 08 Feb 2021 15:55:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na dopady aféry SolarWinds na federální soudy v USA, malware maskovaný za aplikaci WhatsApp a mnoho dalšího.

Sandboxy pro analýzu malware (a hashe) - Praktické základy kybernetické bezpečnosti

Jan Kopriva — Tue, 02 Feb 2021 10:00:00 +0100

Na YouTube kanálu Untrusted Network CZ jsem dnes publikoval další ze série vzdělávacích videí zaměřených na základní nástroje a koncepty užívané v rámci každodenní bezpečnostní praxe. V tomto videu se společně podíváme na problematiku cloudových sandboxů pro analýzu škodlivého kódu a popíšeme si základní principy kryptografických hashí.

SecurityCast Ep#44 - Notoricky známý malware Emotet byl zneškodněn v globální operaci 8 států

Jan Kopriva — Mon, 01 Feb 2021 13:25:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zneškodnění C2 infrastruktury botnetu Emotet v koordinované akci policejních složek z celého světa, závažnou zranitelnost v utilitě sudo a nejen to.

SANS ISC Diary - TriOp - tool for gathering (not just) security-related data from Shodan.io

Jan Kopriva — Wed, 27 Jan 2021 11:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na schopnosti mého nově publikovaného nástroje TriOp, který umožňuje periodicky získávat zajímavá data ze služby Shodan.

SecurityCast Ep#43 – Kvůli konci Adobe Flash nejely v Číně vlaky, USA vs Rusko v kauze SolarWinds

Jan Kopriva — Mon, 25 Jan 2021 14:30:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na další vývoj okolo kompromitace Solar Winds, dopady nedávného vypnutí Flash Playeru ze strany firmy Adobe a mnoho dalšího.

Nmap (a transportní protokoly) - Praktické základy kybernetické bezpečnosti

Jan Kopriva — Tue, 19 Jan 2021 10:45:00 +0100

Na YouTube kanálu Untrusted Network CZ jsem dnes publikoval první z plánované série vzdělávacích videí zaměřených na základní nástroje a koncepty užívané v rámci každodenní bezpečnostní praxe. V tomto úvodním videu se společně podíváme na nástoj Nmap a popíšeme si základy fungování dvou nejčastějších transportních síťových protokolů.

SecurityCast Ep#42 – Horažďovický ransomware, WhatsApp update a konec Adobe Flash

Jan Kopriva — Mon, 18 Jan 2021 13:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na další nemocnici infikovanou ransomwarem, ukončení funkčnosti Adobe Flash Playeru a nejen to.

SecurityCast Ep#41 - SolarWinds, WhatsApp, Kyberútok na systém pro rezervaci očkování proti COVID-19

Jan Kopriva — Mon, 11 Jan 2021 14:40:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na dopady vysoce závažného útoku s pomocí dodavatelského řetězce začínajícího u firmy SolarWinds, DoS útok na německý systém pro registraci na očkování proti Covid-19 a mnoho dalšího.

SANS ISC Diary - From a small BAT file to Mass Logger infostealer

Jan Kopriva — Mon, 04 Jan 2021 15:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý BAT soubor ze září 2020, z něhož se vyklubal downloader pro trojan Mass Logger.

Lookalike domény nemusí nutně vést jen na tradiční phishingové stránky

Jan Kopriva — Sat, 02 Jan 2021 17:15:00 +0100

Při základních školeních informační bezpečnosti mají zpravidla lektoři (mne nevyjímaje) tendenci akcentovat u „lookalike“ domén, tedy doménových jmen, která jsou variací na doménová jména legitimních služeb, zejména nebezpečí spojené s phishingovými stránkami požadujícími zadání přihlašovacích údajů. Je samozřejmě pravdou, že riziko spojené právě s tímto typem podvodných stránek je pro koncové uživatele i organizace v kontextu lookalike domén zpravidla nejvýznamnější, neznamená to však, že bychom měli (nejen při bezpečnostních školeních) zapomínat na existenci dalších typů podvodných webů, které mohou překlepy v zadávání domén využívat.

Velmi dobrou ukázku nebezpečí, které mohou weby dostupné právě přes nekorektně napsané domény představovat, poskytuje například již dlouhou probíhající kampaň dobu (viz zprávy z konce roku 2019) využívající falešné stránky iPrima.cz se smyšleným rozhovorem s Petrem Kellnerem, v rámci něhož je propagována určitá investiční kryptoměnová platforma, „o které je prokázané, že z kohokoliv udělá za 3 až 4 měsíce milionáře“. Podvodné stránky využívané při této kampani jsou v současnosti dostupné například na URL hxxps[:]//finance[.]iprima[.]cz-clanky[.]investing-fund[.]com/petr-kellner-investuje-15-milionu-eur-do-startupu-a-rika-ze-zde-se-nachazi-budoucnost/.

Vzhledem k podobě stránek i na ně navázaných portálů lze usuzovat, že za nimi stojí skupina FizzCore, jejímž dílem byla i loňská podvodná kampaň využívající falešné stránky ČT24.

Výše vyobrazené stránky zaslouží v kontextu lookalike domén zmínku právě proto, že vedle podvodných reklam na sociálních sítích, které byly v rámci článků v různých médiích v souvislosti s nimi široce zmiňovány, je možné se na ně v současnosti dostat také přes řetězec přesměrování z určitých zajímavých domén. Konkrétně takových, které mohou vzniknout mj. jednoduchým překlepem při zadávání legitimního doménového jména.

Lookalike domény pro Amazon (amazon.com)
amagon[.]com
amagzon[.]com
amaźon[.]com (xn–amaon-7hb[.]com)
apmazon[.]com

Lookalike domény pro Audible (audible.com)
aujdible[.]com
audiblel[.]com

Lookalike domény pro Google (google.com)
goozgle[.]com
goowle[.]com
googlen[.]com
googlpe[.]com
googvle[.]com
goơgle[.]com (xn–gogle-vob[.]com)

Lookalike domény pro Humble Bundle (humblebundle.com)
hublebundle[.]com
humbblebundle[.]com
humbleebundle[.]com
humblbundle[.]com
humblebunndle[.]com
humblebundlle[.]com
humblebunddle[.]com
humblebundlee[.]com
humblebundke[.]com
humblebunfle[.]com
humblebbundle[.]com
huumblebundle[.]com

Všechny výše uvedené domény jsou aktuálně nasměrovány na IP adresy z rozsahů spadajících do AS 133618 (TRELLIAN-AS-AP Trellian Pty. Limited), odkud jsou návštěvníci přesměrováváni na službu bidr[.]trellian[.]com, která pak přes doménu protected-clicker[.]com zajišťuje přesměrování na samotné podvodné stránky. Z těch pak všechny odkazy vedou na web btcbillionaire-app[.]com vyobrazený níže.

Za zmínku stojí, že k přesměrování na falešné stránky slibující možnost rychlého zbohatnutí dochází pouze v případech, kdy IP adresa návštěvníka svou geolokací spadá do České republiky. Přestože na doméně investing-fund[.]com jsou hostovány i stránky s podobným obsahem v jiných jazycích (viz ukázka níže), nepodařilo se mi ani při přístupu k výše zmíněným doménám z IP adres z jiných geografických umístění (testoval jsem přístup z cca 20 různých států z celého světa) dosáhnout přesměrování na žádnou jinou jazykovou variantu stejné kampaně.

Přesměrování návštěvníků na různý obsah v návaznosti na geolokaci jejich IP adres je při podobných kampaních relativně časté (viz např. analýza podvodných kampaní z loňského února), většinou je však jeho cílem poskytnout uživateli odpovídající jazykovou mutaci podvodných stránek. V tomto případě se však zdá, že aktuální verze kampaně byla tímto způsobem zacílena výhradně na návštěvníky z České republiky. Při přístupu z jiných států totiž většinou dojde pouze ke zobrazení generické stránky podobné té vyobrazené níže.

Vzhledem k výše uvedenému (zdaleka ne vyčerpávajícímu) výčtu domén používaných v rámci diskutované kampaně je zjevné, proč může být v rámci bezpečnostních školení vhodné zmínit nebezpečí lookalike domén i v jiném kontextu, než jsou klasické phishingové stránky.

Zmíněné seznamy domén rovněž ukazují na nezbytnost kontinuálního monitorování a kontroly nově registrovaných domén podobných těm, které jsou organizacemi registrované a používané, ze strany jejich interních bezpečnostních týmů. Optimálně by tuto činnost měly do jisté míry zajišťovat automatizované nástroje využívané v rámci bezpečnostního dohledu, ale ani v případech, kdy podobné nástroje nejsou v organizacích implementované, nemusí být zajištění podobného „light-weight brand protection“ monitoringu nutně přehnaně komplikované. Pro menší počet domén je možné jej realizovat i manuálně. Jak pro automatizované, tak ruční ověřování mohou pomoci například nástroje dnstwist nebo dnstwister.

Výše popsaná kampaň také vhodně dokládá, proč by se členové bezpečnostních týmů při analýze lookalike domén neměli omezovat na přístup k nim pouze z jednoho regionu. V případě kampaní s geograficky omezeným cílením, jako je tato, by totiž nemuseli být schopní případné zneužívání daných domén identifikovat. Vždy je tedy na místě testovat přístup minimálně z těch států, v nichž daná organizace působí, nebo z nichž pocházejí její zákazníci/uživatelé jejích služeb.