SANS ISC Diary on Untrusted Network

SANS ISC Diary - Simple bypass of the link preview function in Outlook Junk folder

Jan Kopriva — Thu, 14 May 2026 08:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na jednoduchou možnost obcházení mechanismu pro zobrazování cílů odkazů ve složce Nevyžádaná pošta (Junk) v nástroji Outlook…

SANS ISC Diary - How often are redirects used in phishing in 2026?

Jan Kopriva — Mon, 06 Apr 2026 10:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na rozsah zneužívání mechanismů pro otevřené přesměrování ve phishingových zprávách v prvním kvartálu roku 2026…

SANS ISC Diary - A React-based phishing page with credential exfiltration via EmailJS

Jan Kopriva — Fri, 13 Mar 2026 08:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingový portál implementovaný formou zajímavé jednostránkové aplikace vytvořené s pomocí frameworku React…

SANS ISC Diary - Another day, another malicious JPEG

Jan Kopriva — Mon, 23 Feb 2026 15:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na nedávnou e-mailovou kampaň šířící Remcos RAT s pomocí vícefázového infekčního řetězce zahrnujícího JScript downloader, PowerShell spouštěný s pomocí WMI a .NET assembly načtenou z JPEG souboru…

SANS ISC Diary - A phishing campaign with QR codes rendered using an HTML table

Jan Kopriva — Wed, 07 Jan 2026 10:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň v níž byly QR kódy obsažené v e-mailových zprávách vytvořené s pomocí HTML tabulek namísto obrázků…

SANS ISC Diary - Positive trends related to public IP ranges from the year 2025

Jan Kopriva — Thu, 18 Dec 2025 09:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na pár pozitivních trendů, které jsme v uplynulých dvanácti měsících viděli v oblasti veřejných IP adresních rozsahů…

SANS ISC Diary - Use of CSS stuffing as an obfuscation technique?

Jan Kopriva — Fri, 21 Nov 2025 10:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou stránku, v níž bylo - zřejmě v zájmu obfuskce - využito velké množství zbytného CSS kódu…

SANS ISC Diary - A phishing with invisible characters in the subject line

Jan Kopriva — Tue, 28 Oct 2025 10:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na netradiční phishingovou zprávu, která obsahovala “neviditelné” znaky ve svém předmětu…

SANS ISC Diary - A quick look at sextortion at scale: 1,900 messages and 205 Bitcoin addresses spanning four years

Jan Kopriva — Tue, 02 Sep 2025 10:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Text příspěvku je věnovaný analýze přibližně 1.900 sextortion zpráv z let 2021-2025 a zajímavým statistickým údajům, které z této analýzy vyplývají…

SANS ISC Diary - Do sextortion scams still work in 2025?

Jan Kopriva — Wed, 06 Aug 2025 11:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm, zda jsou sociotechnické útoky typu “sextortion” stále efektivní i v roce 2025…

SANS ISC Diary - How quickly do we patch? A quick look from the global viewpoint

Jan Kopriva — Mon, 21 Jul 2025 13:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na to, jak rychle jsme jako globální společnost schopní záplatovat aktivně zneužívané zranitelnosti systémů dostupných z internetu…

SANS ISC Diary - Phishing e-mail that hides malicious link from Outlook users

Jan Kopriva — Wed, 04 Jun 2025 12:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý phishingový e-mail, který při otevření v nástroji outlook skrývá odkaz na podvodnou stránku…

SANS ISC Diary - Another day, another phishing campaign abusing google.com open redirects

Jan Kopriva — Wed, 14 May 2025 12:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na aktivně zneužívanou zranitelnost ve službě Google Travel, která umožňuje škodlivým aktérům vytvářet odkazy směřující na www.google.com, po jejichž otevření bude uživatel přesměrován na libovolné URL…

SANS ISC Diary - It's 2025... so why are obviously malicious advertising URLs still going strong?

Jan Kopriva — Mon, 21 Apr 2025 10:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň využívající reklamní služby společnosti Google pro přesměrování obětí na podvodné stránky a také na všeobecné bezpečnostní nedostatky internetových reklamních mechanismů…

SANS ISC Diary - A Tale of Two Phishing Sites

Jan Kopriva — Fri, 28 Mar 2025 13:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na dvě phishingové stránky vycházející ze stejného phishing kitu, které se významně lišily (nejen) mírou obfuskce…

SANS ISC Diary - SSL 2.0 turns 30 this Sunday... Perhaps the time has come to let it die?

Jan Kopriva — Fri, 07 Feb 2025 11:45:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na třicetileté výročí zveřejnění protokolu SSL 2.0 a počty systémů připojených k internetu, které jej stále podporují…

SANS ISC Diary - An unusual 'shy z-wasp' phishing

Jan Kopriva — Mon, 27 Jan 2025 12:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na netradiční phishingovou zprávu, v níž byly použity dvě různé techniky pro obcházení bezpečnostních filtrů, spočívající v dělení textu s pomocí netištěných znaků…

SANS ISC Diary - Changes in SSL and TLS support in 2024

Jan Kopriva — Mon, 30 Dec 2024 12:25:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na změny v podpoře SSL/TLS protokolů na webových a e-mailových serverech v průběhu roku 2024…

SANS ISC Diary - The strange case of disappearing Russian servers

Jan Kopriva — Mon, 25 Nov 2024 08:14:15 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na nedávné citelné snížené počtu serverů, které Shodan detekuje na území Ruska…

SANS ISC Diary - Self-contained HTML phishing attachment using Telegram to exfiltrate stolen credentials

Jan Kopriva — Mon, 28 Oct 2024 08:15:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na HTML stránku, která byla přiložena k phishingovému e-mailu a která zasílala zadané přihlašovací údaje útočníkovi s pomocí Telegramu…

SANS ISC Diary - Phishing links with @ sign and the need for effective security awareness building

Jan Kopriva — Mon, 23 Sep 2024 08:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na zneužívání “user information” řetězců v URL a na problematiku efektivního budování bezpečnostního povědomí o phishingu…

SANS ISC Diary - Script obfuscation using multiple instances of the same function

Jan Kopriva — Mon, 05 Aug 2024 08:15:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na zajímavý způsob obfuskace skriptů…

SANS ISC Diary - 'Reply-chain phishing' with a twist

Jan Kopriva — Tue, 16 Jul 2024 11:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na relativně neobvyklou techniku spojenou s “reply-chain” phishing útoky…

SANS ISC Diary - Support of SSL 2.0 on web servers in 2024

Jan Kopriva — Fri, 28 Jun 2024 12:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na počty webových serverů, které v současnosti stále podporují protokol SSL v2.0…

SANS ISC Diary - Files with TXZ extension used as malspam attachments

Jan Kopriva — Mon, 27 May 2024 08:45:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na škodlivé e-mailové kampaně s přiloženými soubory s příponami TXZ…

SANS ISC Diary - It appears that the number of industrial devices accessible from the internet has risen by 30 thousand over the past three years

Jan Kopriva — Mon, 22 Apr 2024 12:25:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na počty průmyslových řídicích systémů dostupných z internetu…

SANS ISC Diary - The xz-utils backdoor in security advisories by national CSIRTs

Jan Kopriva — Mon, 01 Apr 2024 13:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na publikaci varování ohledně backdooru v balíčku xz-utils ze strany vládních a národních CSIRTů…

SANS ISC Diary - Increase in the number of phishing messages pointing to IPFS and to R2 buckets

Jan Kopriva — Thu, 14 Mar 2024 09:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na nedávný nárůst počtu phishingových zpráv odkazujících na IPFS a úložiště R2…

SANS ISC Diary - Phishing pages hosted on archive.org

Jan Kopriva — Wed, 21 Feb 2024 08:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na zneužívání portálu archive.org pro hostování phishingových stránek…

SANS ISC Diary - Computer viruses are celebrating their 40th birthday (well, 54th, really)

Jan Kopriva — Tue, 06 Feb 2024 10:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na zajímavé výročí spojené s počítačovými viry…

SANS ISC Diary - Interesting large and small malspam attachments from 2023

Jan Kopriva — Wed, 03 Jan 2024 15:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na největší a nejmenší vzorek škodlivého kódu, který mi průběhu loňského roku přišel e-mailem…

SANS ISC Diary - Whose packet is it anyway: a new RFC for attribution of internet probes

Jan Kopriva — Wed, 06 Dec 2023 11:45:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na nedávno publikované RFC, které popisuje možný postup pro atribuci síťových skenů v prostředí internetu…

SANS ISC Diary - Phishing page with trivial anti-analysis features

Jan Kopriva — Fri, 17 Nov 2023 11:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v rámci něhož se podíváme na falešnou přihlašovací stránku s triviálními mechanismy komplikujícími její případnou analalýzu…

SANS ISC Diary - Are typos still relevant as an indicator of phishing?

Jan Kopriva — Mon, 16 Oct 2023 09:45:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v rámci něhož probereme, zda jsou překlepy stále využitelné jako indikátor phishingu…

SANS ISC Diary - A new spin on the ZeroFont phishing technique

Jan Kopriva — Tue, 26 Sep 2023 11:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou phishingovou techniku využívající text s nulovou velikostí fontu pro zvýšení důvěryhodnosti zpráv…

SANS ISC Diary - The low, low cost of (committing) cybercrime

Jan Kopriva — Thu, 31 Aug 2023 12:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na velmi jednoduchý phishing, který vhodně ukazuje, že náklady nezbytné k realizaci kyberkriminálních aktivit mohou být bohužel extrémně nízké…

SANS ISC Diary - From small LNK to large malicious BAT file with zero VT score

Jan Kopriva — Thu, 03 Aug 2023 18:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na škodlivý BAT soubor, který byl využit v rámci phishingové kampaně v uplynulém týdnu a stále jej dle služby VirusTotal žádný jí využívaný anti-virus neoznačuje za malware…

SANS ISC Diary - Kazakhstan - the world's last SSLv2 superpower... and a country with potentially vulnerable last-mile internet infrastructure

Jan Kopriva — Wed, 28 Jun 2023 08:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na překvapivě vysoký počet zastaralých síťových zařízení v Kazachstánu, která stále podporují protokol SSL verze 2.0…

SANS ISC Diary - After 28 years, SSLv2 is still not gone from the internet... but we're getting there

Jan Kopriva — Thu, 01 Jun 2023 10:40:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na ustupující podporu SSLv2 na webových serverech připojených k internetu…

SANS ISC Diary - Ongoing Facebook phishing campaign without a sender and (almost) without links

Jan Kopriva — Mon, 15 May 2023 09:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou dlouhodobou phishingovou kampaň cílenou na uživatele služby Facebook…

SANS ISC Diary - 'Passive' analysis of a phishing attachment

Jan Kopriva — Mon, 01 May 2023 12:40:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na analýzu HTML příloh phishingových e-mailů bez interakce s externí infrastrukturou…

SANS ISC Diary - The strange case of Great honeypot of China

Jan Kopriva — Mon, 17 Apr 2023 10:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na vysoký nárůst počtu honeypotů, které Shodan detekuje v Číně…

SANS ISC Diary - Use of X-Frame-Options and CSP frame-ancestors security headers on 1 million most popular domains

Jan Kopriva — Fri, 31 Mar 2023 14:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na využívání bezpečnostních HTTP hlaviček bránících “framing” útokům na milionu nejvýznamnějších domén světa…

SANS ISC Diary - IPFS phishing and the need for correctly set HTTP security headers

Jan Kopriva — Wed, 15 Mar 2023 12:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingové stránky hostované v distribuovaném souborovém systému IPFS a možnosti použití bezpečnostních HTTP hlaviček jako opatření proti phishingu…

SANS ISC Diary - HTML phishing attachment with browser-in-the-browser technique

Jan Kopriva — Thu, 16 Feb 2023 12:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na využívání techniky “browser-in-the-browser” v rámci generické phishingové kampaně…

SANS ISC Diary - SPF and DMARC use on 100k most popular domains

Jan Kopriva — Thu, 19 Jan 2023 12:40:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na úroveň využívání SPF a DMARC na nejpopulárnějších doménách světa…

SANS ISC Diary - Passive detection of internet-connected systems affected by vulnerabilities from the CISA KEV catalog

Jan Kopriva — Wed, 11 Jan 2023 12:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na využití nové funkce nástroje TriOp pro pasivní identifikaci systémů postižených zranitelnostmi z katalogu CISA KEV (nejen) v rámci minimalistického přístupu k vulnerability managementu…

SANS ISC Diary - SPF and DMARC use on GOV domains in different ccTLDs

Jan Kopriva — Fri, 30 Dec 2022 16:45:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na úroveň podpory SPF a DMARC u GOV domén druhého řádu v různých ccTLD…

SANS ISC Diary - Traffic Light Protocol (TLP) 2.0 is here

Jan Kopriva — Thu, 04 Aug 2022 10:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na novou verzi standardu Traffic Light Protocol, která byla publikována počátkem tohoto týdne…

SANS ISC Diary - EternalBlue 5 years after WannaCry and NotPetya

Jan Kopriva — Tue, 05 Jul 2022 10:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na počet z internetu dostupných systémů, které jsou stále zranitelné exploitem EternalBlue…

SANS ISC Diary - HTML phishing attachments - now with anti-analysis features

Jan Kopriva — Wed, 01 Jun 2022 12:05:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na netradiční využití anti-debugging/anti-analysis technik v rámci phishingové stránky…

SANS ISC Diary - Do you want 30 BTC? Nothing is easier (or cheaper) in this phishing campaign...

Jan Kopriva — Wed, 18 May 2022 07:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na sofistikovanou phishingovou kampaň v níž bylo jako návnada užito 30 BTC (na cizím účtu)…

SANS ISC Diary - What is the simplest malware in the world?

Jan Kopriva — Fri, 06 May 2022 09:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na potenciálně nejjednodušší malware na světě…

SANS ISC Diary - MITRE ATT&CK v11 - a small update that can help (not just) with detection engineering

Jan Kopriva — Wed, 27 Apr 2022 11:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na novou verzi frameworku MITRE ATT&CK, která byla publikována počátkem tohoto týdne…

SANS ISC Diary - How is Ukrainian internet holding up during the Russian invasion?

Jan Kopriva — Wed, 13 Apr 2022 11:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na dopady aktuální války na Ukrajině na dostupnost webových serverů na Ukrajině a v Rusku…

SANS ISC Diary - Over 20 thousand servers have their iLO interfaces exposed to the internet, many with outdated and vulnerable versions of FW

Jan Kopriva — Wed, 26 Jan 2022 12:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na nečekaně velký počet serverů HP, které mají vypublikované své out-of-band konfigurační rozhraní do internetu…

SANS ISC Diary - Phishing e-mail with...an advertisement?

Jan Kopriva — Tue, 18 Jan 2022 10:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lehce netradiční phishingovou zprávu, která krom jiného obsahovala i text připomínající reklamu na produkty firmy Xerox…

SANS ISC Diary - Do you want your Agent Tesla in the 300 MB or 8 kB package?

Jan Kopriva — Fri, 31 Dec 2021 13:15:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na největší i nejmenší škodlivé PE soubory, které jsem v průběhu roku 2021 našel v e-mailové karanténě…

SANS ISC Diary - PowerPoint attachments, Agent Tesla and code reuse in malware

Jan Kopriva — Mon, 20 Dec 2021 17:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na malspamovou zprávu, která nesla v příloze PowerPoint dokument s makry, z něhož se vyklubala první fáze infekčního řetězce nové verze Agentu Tesla…

SANS ISC Diary - Phishing page hiding itself using dynamically adjusted IP-based allow list

Jan Kopriva — Wed, 24 Nov 2021 12:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý ochranný mechanismus, který umožnil phishingové stránce zabránit v přístupu k falešnému přihlašovacímu portálu všem kromě původní oběti, která kliknula na podvodný odkaz v e-mailové zprávě…

SANS ISC Diary - TLS 1.3 and SSL - the current state of affairs

Jan Kopriva — Tue, 28 Sep 2021 11:20:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na aktuální stav adopce TLS 1.3 a situaci v používání SSL 2.0 a 3.0…

SANS ISC Diary - Phishing 101: why depend on one suspicious message subject when you can use many?

Jan Kopriva — Thu, 16 Sep 2021 09:10:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lehce netradiční phishing, jehož autoři se pokoušeli nalákat potenciální oběti na podvodnou stránku s pomocí většího počtu zjevně podezřelých textů v předmětech údajných nedoručených zpráv…

SANS ISC Diary - There may be (many) more SPF records than we might expect

Jan Kopriva — Wed, 25 Aug 2021 11:55:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na překvapivě vysoký počet SPF DNS záznamů v doméně CZ…

SANS ISC Diary - ProxyShell - how many Exchange servers are affected and where are they?

Jan Kopriva — Mon, 09 Aug 2021 12:25:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na počty Exchange serverů, proti nimž lze potenciálně realizovat ProxyShell útok.

SANS ISC Diary - A sextortion e-mail from...IT support?!

Jan Kopriva — Wed, 28 Jul 2021 08:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lehce netradiční vyděračský “sextortion” e-mail, jehož autor se vydával za pracovníka IT firmy najaté organizací poskytující příjemci e-mailovou schránku…

SANS ISC Diary - One way to fail at malspam - give recipients the wrong password for an encrypted attachment

Jan Kopriva — Wed, 14 Jul 2021 13:10:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na e-mailovou kampaň šířící škodlivé soubory v zašifrovaném archivu bez uvedení správného hesla k němu…

SANS ISC Diary - Phishing asking recipients not to report abuse

Jan Kopriva — Tue, 22 Jun 2021 15:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň, jejíž autor zřejmě nedopatřením uzavřel zprávu netradičním požadavkem…

SANS ISC Diary - Architecture, compilers and black magic, or 'what else affects the ability of AVs to detect malicious files'

Jan Kopriva — Wed, 09 Jun 2021 13:25:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na to, jak může volba kompilátoru ovlivnit schopnost anti-malware nástrojů detekovat škodlivý kód…

SANS ISC Diary - All your Base are...nearly equal when it comes to AV evasion, but 64-bit executables are not

Jan Kopriva — Thu, 27 May 2021 11:30:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na dopady různých kódování na schopnosti anti-malware systémů detekovat škodlivý kód…

SANS ISC Diary - Number of industrial control systems on the internet is lower then in 2020...but still far from zero

Jan Kopriva — Wed, 12 May 2021 13:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na počet průmyslových řídících systémů dostupných z internetu…

SANS ISC Diary - Hunting phishing websites with favicon hashes

Jan Kopriva — Mon, 19 Apr 2021 11:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na možnosti použití hashí ikon webových stránek pro identifikaci IP adres hostujících phishingové portály…

SANS ISC Diary - Malspam with Lokibot vs. Outlook and RFCs

Jan Kopriva — Tue, 06 Apr 2021 18:30:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý škodlivý e-mail nesoucí vzorek malwaru Lokibot, který díky chybě v adrese odesilatele způsobil na straně aplikace Outlook velmi netradiční chování…

SANS ISC Diary - Old TLS versions - gone, but not forgotten... well, not really 'gone' either

Jan Kopriva — Tue, 30 Mar 2021 10:20:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na vývoj podpory TLS 1.0 a TLS 1.1 na webových serverech přístupných z internetu…

SANS ISC Diary - 50 years of malware? Not really. 50 years of computer worms? That's a different story...

Jan Kopriva — Tue, 16 Mar 2021 08:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na Creeper, první počítačový červ, který byl kdy vytvořen. Došlo k tomu již před 50 lety - dle některých zdrojů na den přesně…

SANS ISC Diary - Qakbot in a response to Full Disclosure post

Jan Kopriva — Tue, 23 Feb 2021 11:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý e-mail, který působil jako reakce na historický příspěvek na Full Disclosure mailing list a nesl v příloze downloader pro malware Qakbot…

SANS ISC Diary - Agent Tesla hidden in a historical anti-malware tool

Jan Kopriva — Thu, 11 Feb 2021 08:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou verzi malwaru Agent Tesla, která byla skrytá v kódu legitimní historické bezpečnostní aplikace…

SANS ISC Diary - TriOp - tool for gathering (not just) security-related data from Shodan.io

Jan Kopriva — Wed, 27 Jan 2021 11:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na schopnosti mého nově publikovaného nástroje TriOp, který umožňuje periodicky získávat zajímavá data ze služby Shodan.

SANS ISC Diary - From a small BAT file to Mass Logger infostealer

Jan Kopriva — Mon, 04 Jan 2021 15:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý BAT soubor ze září 2020, z něhož se vyklubal downloader pro trojan Mass Logger.

SANS ISC Diary - TLS 1.3 is now supported by about 1 in every 5 HTTPS servers

Jan Kopriva — Wed, 30 Dec 2020 12:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zvyšující se počet webových serverů podporujících TLS 1.3 a stále se snižující počet serverů podporujících SSL 2.0.

SANS ISC Diary - Want to know what's in a folder you don't have a permission to access? Try asking your AV solution...

Jan Kopriva — Tue, 29 Dec 2020 15:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na slabinu přítomnou v mnoha anti-malware řešeních, která umožňuje obcházet (absenci) oprávnění pro vyčítání obsahu adresářů na úrovni souborového systému.

SANS ISC Diary - A slightly optimistic tale of how patching went for CVE-2019-19781

Jan Kopriva — Fri, 18 Dec 2020 10:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na počet Citrix ADC systémů, které stále obsahují nezáplatovanou zranitelnost CVE-2019-19781, známou také jako Shitrix.

SANS ISC Diary - Vulnerabilities don’t disappear just because we don’t talk about them anymore

Jan Kopriva — Mon, 16 Nov 2020 11:08:20 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na několik závažných zranitelností publikovaných před rokem 2020, které stále postihují překvapivě vysoké počty z internetu dostupných systémů.

Pro zajímavost níže připojuji tabulku s počty systémů v ČR, které jsou jednotlivými zranitelnostmi postižené.

CVE	Počet veřejných IP adres se zranitelnými systémy	CVSSv3
CVE-2019-0211	30396	7.8
CVE-2019-12525	1648	9.8
CVE-2015-1635	443	N/A, CVSSv2 10.0
CVE-2019-13917	98	9.8
CVE-2019-10149	93	9.8
CVE-2019-0708	941	9.8
CVE-2014-0160	2062	7.5
CVE-2019-9787	299	8.8
CVE-2019-12815	977	9.8
CVE-2018-6789	515	9.8

SANS ISC Diary - SMBGhost - the critical vulnerability many seem to have forgotten to patch

Jan Kopriva — Wed, 28 Oct 2020 11:00:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na překvapivě velký počet počítačů připojených k internetu, na nichž stále není aplikovaná záplata na kritickou zranitlenost SMBGhost.

SANS ISC Diary - BazarLoader phishing lures: plan a Halloween party, get a bonus and be fired in the same afternoon

Jan Kopriva — Thu, 22 Oct 2020 11:00:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingové kampaně šířící BazarLoader a v nich užité “návnady”.

SANS ISC Diary - Phishing kits as far as the eye can see

Jan Kopriva — Fri, 09 Oct 2020 07:40:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishing kity, které jsou nabízené na indexované části webu.

SANS ISC Diary - Slightly broken overlay phishing

Jan Kopriva — Mon, 21 Sep 2020 12:50:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou (a drobně “rozbitou”) phishingovou kampaň, v níž škodliví aktéři překrývali legitimní stránky falešnými přihlašovacími okny.

SANS ISC Diary - A blast from the past - XXEncoded VB6.0 Trojan

Jan Kopriva — Fri, 04 Sep 2020 09:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou škodlivou kampaň, v níž se útočníci rozhodli použít dva velmi staré souborové formáty.

SANS ISC Diary - Security.txt - one small file for an admin, one giant help to a security researcher

Jan Kopriva — Thu, 27 Aug 2020 09:20:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na návrh standardu nazvaného “A File Format to Aid in Security Vulnerability Disclosure”, který je známější pod názvem “security.txt”.

SANS ISC Diary - Definition of 'overkill' - using 130 MB executable to hide 24 kB malware

Jan Kopriva — Fri, 14 Aug 2020 14:20:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na na 130 MB velký EXE soubor, který v sobě nese 24 kB velký škodlivý payload.

SANS ISC Diary - What pages do bad bots look for?

Jan Kopriva — Sat, 01 Aug 2020 16:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na stránky, které jsou na webových serverech nejčastěji zkoumané “špatnými” boty.

SANS ISC Diary - Couple of interesting Covid-19 related stats

Jan Kopriva — Tue, 21 Jul 2020 10:55:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na vztah mezi regionálními restrikcemi spojenými s Covid-19 a počty IP adres s protokoly pro vzdálený přístup otevřenými do internetu.

SANS ISC Diary - Using Shell Links as zero-touch downloaders and to initiate network connections

Jan Kopriva — Wed, 24 Jun 2020 09:45:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na slabinu ve Windows, díky níž je možné přimět operační systém ke stažení libovolného souboru ze vzdáleného serveru kdykoli je zobrazen speciálně vytvořený zástupce.

SANS ISC Diary - Broken phishing accidentally exploiting Outlook zero-day

Jan Kopriva — Thu, 18 Jun 2020 11:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingový e-mail, který díky chybě v HTML kódu využíval 0-day zranitelnost v Outlooku, umožňující vytvářet nebo měnit odkazy v těle e-mailu ve chvíli, kdy je zpráva přeposílána.

SANS ISC Diary - Frankenstein's phishing using Google Cloud Storage

Jan Kopriva — Wed, 27 May 2020 10:40:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na podivně nesourodou phishingovou kampaň, která díky kombinace technicky sofistikovaných a extrémně amatérských prvků připomínala výsledek práce Dr. Frankensteina.

SANS ISC Diary - Agent Tesla delivered by the same phishing campaign for over a year

Jan Kopriva — Tue, 28 Apr 2020 08:45:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň, kterou útočníci používali více než rok v téměř nezměněné podobě pro šíření malwaru Agent Tesla.

SANS ISC Diary - Look at the same phishing campaign 3 months apart

Jan Kopriva — Mon, 13 Apr 2020 11:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zranitelnost ve Windows, která umožňuje způsobit pád procesu explorer.exe při otevření speciálně připraveného souboru URL, nebo při otevření adresáře obsahujícího speciálně připravený soubor LNK.

SANS ISC Diary - Crashing explorer.exe with(out) a click

Jan Kopriva — Mon, 30 Mar 2020 07:55:00 +0100

SANS ISC Diary - Desktop.ini as a post-exploitation tool

Jan Kopriva — Mon, 16 Mar 2020 07:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zranitelnost ve Windows, která umožňuje využívat soubory desktop.ini jako zajímavý nástroj pro post-exploitaci.

UPDATE 27. 5. 2020: V rámci přípravy podkladů pro SANSFIRE 2020 jsem vytvořil také video demonstrující zranitelnost popsanou ve výše uvedeném příspěvku. Můžete jej najít zde.

SANS ISC Diary - Secure vs. cleartext protocols – couple of interesting stats

Jan Kopriva — Mon, 02 Mar 2020 06:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na podporu HTTP a HTTPS na webových serverech na internetu v minulých šesti měsících, stejně jako na podporu protokolů Telnet a SSH.

SANS ISC Diary - Quick look at a couple of current online scam campaigns

Jan Kopriva — Tue, 25 Feb 2020 06:57:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na několik podvodných online kampaní z poslední doby.
Detailnější pohled na jednu ze stránek, užívaných v rámci jedné z těchto kampaní, za níž s velmi vysokou pravděpodobností stojí skupina FizzCore, můžete nalézt zde.

SANS ISC Diary - Discovering contents of folders in Windows without permissions

Jan Kopriva — Tue, 18 Feb 2020 07:18:21 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou zranitlenost ve Windows, která umožňuje s pomocí útoku hrubou silou odhalovat obsah lokálních adresářů, k nimž uživatel nemá oprávnění přistupovat.

UPDATE 20. 5. 2020: V rámci přípravy podkladů pro SANSFIRE 2020 jsem vytvořil také video demonstrující zranitelnost popsanou ve výše uvedeném příspěvku. Můžete jej najít zde.

SANS ISC Diary - Current PayPal phishing campaign or 'give me all your personal information'

Jan Kopriva — Mon, 10 Feb 2020 09:37:58 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na aktuální phishingovou kampaň cílenou na zákazníky PayPalu, která velmi hezky demonstruje aktuální snahy útočníků o získání maximálního množství osobních a finančních dat od “chycených” uživatelů.

SANS ISC Diary - Analysis of a triple-encrypted AZORult downloader

Jan Kopriva — Mon, 03 Feb 2020 07:45:10 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze zajímavého škodlivého dokumentu, z něhož se vyklubal downloader pro trojan AZROult. Zajímavé na něm bylo mimo jiné to, že používal tři úrovně šifrování.

SANS ISC Diary - Picks of 2019 malware - the large, the small and the one full of null bytes

Jan Kopriva — Thu, 16 Jan 2020 07:52:08 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na malware, který byl v loňském roce distribuován e-mailem. Konkrétně na největší a nejmenší vzorek malware, které jsem v zablokovaných e-mailech z loňského roku objevil.

SANS ISC Diary - Internet banking sites and their use of TLS... and SSLv3... and SSLv2?!

Jan Kopriva — Fri, 13 Dec 2019 08:22:37 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný konfiguraci TLS (a SSL) na portálech internetového bankovnictví z celého světa.

SANS ISC Diary - Phishing with a self-contained credential-stealing webpage

Jan Kopriva — Fri, 06 Dec 2019 07:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou phishingovou zprávu, která nesla celou podvodnou stránku jako soubor v příloze e-mailu.

SANS ISC Diary - E-mail from Agent Tesla

Jan Kopriva — Thu, 05 Dec 2019 07:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze komplexního downloaderu pro Agent Tesla.

SANS ISC Diary - Analysis of a strangely poetic malware

Jan Kopriva — Wed, 04 Dec 2019 08:14:33 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze downloaderu založeného na makrech, který do Internet Storm Center zaslala jedna z našich čtenářek.

SANS ISC Diary - Lessons learned from playing a willing phish

Jan Kopriva — Tue, 26 Nov 2019 12:08:19 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lovení phishingových útočníků a na to, co se od nich můžeme s trochou snahy dozvědět.

SANS ISC Diary - Did the recent malicious BlueKeep campaign have any positive impact when it comes to patching?

Jan Kopriva — Sun, 10 Nov 2019 11:55:40 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Pokud jste přemýšleli o tom, zda měla nedávná mediální bouře okolo využívání zranitlenosti BlueKeep nějaký dopad na patchování, je určen právě vám.

SANS ISC Diary - EML attachments in O365 - a recipe for phishing

Jan Kopriva — Thu, 31 Oct 2019 11:15:35 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na dopady nedostatečné filtrace příloh se soubory EML v Office 365.

SANS ISC Diary - Phishing e-mail spoofing SPF-enabled domain

Jan Kopriva — Thu, 17 Oct 2019 11:49:25 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný mechanismu SPF a případům, kdy je možné podvrhovat e-maily i za domény, které jej užívají.

SANS ISC Diary - Tricky LNK points to TrickBot

Jan Kopriva — Tue, 03 Sep 2019 13:06:21 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze škodlivého souboru LNK, který vedl ke vzorku trojanu TrickBot.

SANS ISC Diary - Open Redirect: A Small But Very Common Vulnerability

Jan Kopriva — Wed, 28 Aug 2019 14:27:02 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný open redirect zranitlenostem a možnostem jejich vyhledávání. Pokud vám tyto zranitlenosti nejsou známé, jde o dobrý úvodní text do této problematiky.

SANS ISC Diary - The good, the bad and the non-functional

Jan Kopriva — Thu, 08 Aug 2019 21:31:08 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Pokud jste někdy přemýšleli o tom, jak vypadají méně tradiční kybernetické útoky, je určený právě vám…