https://untrustednetwork.net/cs/tag/makro/ Recent content in Makro on Untrusted Network Hugo -- gohugo.io cs &copy; Jan Kopriva 2015 - {year} Mon, 11 Jul 2022 09:10:00 -0500 weekly weekly https://untrustednetwork.net/cs/2022/07/11/postrehy-zmrtvychvstani-maker/ Mon, 11 Jul 2022 09:10:00 -0500 Mon, 11 Jul 2022 09:10:00 -0500 https://untrustednetwork.net/cs/2022/07/11/postrehy-zmrtvychvstani-maker/ Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na návrat VBA maker do MS Office, Lockdown mód pro zařízení Apple nebo prodej databáze údajně obsahující osobní data miliardy čínských občanů&hellip; <p>Na portálu <a href="https://www.root.cz/">Root.cz</a> byl dnes publikován <a href="https://www.root.cz/clanky/postrehy-z-bezpecnosti-zmrtvychvstani-maker-v-dokumentech-office/">můj nový příspěvek do seriálu Postřehy z bezpečnosti</a>, v němž se podíváme na návrat VBA maker do MS Office, Lockdown mód pro zařízení Apple nebo prodej databáze údajně obsahující osobní data miliardy čínských občanů&hellip;</p> <img src="https://untrustednetwork.net/images/postrehy-root.jpg" alt="Postřehy z bezpečnosti"> Jan Kopriva featured image Root.cz Ukrajina Rusko Čína USA Zranitelnost Linux ENISA Microsoft Makro Apple Novinky 2022 Postřehy z bezpečnosti https://untrustednetwork.net/cs/2021/12/20/agent_tesla-powerpoint/ Mon, 20 Dec 2021 17:00:00 +0100 Mon, 20 Dec 2021 17:00:00 +0100 https://untrustednetwork.net/cs/2021/12/20/agent_tesla-powerpoint/ Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na malspamovou zprávu, která nesla v příloze PowerPoint dokument s makry, z něhož se vyklubala první fáze infekčního řetězce nové verze Agentu Tesla&hellip; <p>Dnes vyšel můj nový <a href="https://isc.sans.edu/diary/PowerPoint+attachments%2C+Agent+Tesla+and+code+reuse+in+malware/28154">příspěvek</a> na stránkách <a href="https://isc.sans.edu/">SANS Internet Storm Center</a>. Podíváme se v něm na malspamovou zprávu, která nesla v příloze PowerPoint dokument s makry, z něhož se vyklubala první fáze infekčního řetězce nové verze Agentu Tesla&hellip;</p> <img src="https://untrustednetwork.net/images/isc/isc-diary.jpg" alt="ISC diary"> Jan Kopriva featured image SANS Agent Tesla Makro Malspam News 2021 SANS ISC Diary https://untrustednetwork.net/cs/2021/10/11/securitycast-79/ Mon, 11 Oct 2021 14:05:00 +0200 Mon, 11 Oct 2021 14:05:00 +0200 https://untrustednetwork.net/cs/2021/10/11/securitycast-79/ Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na celosvětový výpadek služeb Facebooku, únik dat z platformy Twitch a nejen to&hellip; <p>Nová epizoda Alef SecurityCast je k dispozici na <a href="https://www.youtube.com/watch?v=wJxVOUTVNck">YouTube</a> a na <a href="https://open.spotify.com/show/7wXmNMjOhLQ53QyGpYT4k0">Spotify</a>. Podíváme se v ní na celosvětový výpadek služeb Facebooku, únik dat z platformy Twitch a nejen to&hellip;</p> <p align="center"><iframe width="560" height="315" src="https://www.youtube.com/embed/wJxVOUTVNck" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe></p> Jan Kopriva featured image Facebook BGP Únik dat Google Ransomware Microsoft Makro Novinky 2021 SecurityCast https://untrustednetwork.net/cs/2021/03/08/securitycast-49/ Mon, 08 Mar 2021 15:30:00 +0100 Mon, 08 Mar 2021 15:30:00 +0100 https://untrustednetwork.net/cs/2021/03/08/securitycast-49/ Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na aktuální útočné kampaně cílené na on-premise Exchange servery, únik dat z darkwebového fóra Maza, doplnění podpory pro skenování maker typu Excel 4 do AMSI a nejen to&hellip; <p>Nová epizoda Alef SecurityCast je k dispozici na <a href="https://www.youtube.com/watch?v=0Pe2rTQIsEg">YouTube</a>. Podíváme se v ní na aktuální útočné kampaně cílené na on-premise Exchange servery, únik dat z darkwebového fóra Maza, doplnění podpory pro skenování maker typu Excel 4 do AMSI a nejen to&hellip;</p> <p align="center"><iframe width="560" height="315" src="https://www.youtube.com/embed/0Pe2rTQIsEg" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe></p> Jan Kopriva featured image Microsoft Exchange APT Dark Web Ransomware AMSI Makro Novinky 2021 SecurityCast https://untrustednetwork.net/cs/2021/02/23/sans-isc-diary-qakbot-in-a-response-to-full-disclosure-post/ Tue, 23 Feb 2021 11:30:00 +0100 Tue, 23 Feb 2021 11:30:00 +0100 https://untrustednetwork.net/cs/2021/02/23/sans-isc-diary-qakbot-in-a-response-to-full-disclosure-post/ Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý e-mail, který působil jako reakce na historický příspěvek na Full Disclosure mailing list a nesl v příloze downloader pro malware Qakbot&hellip; <p>Dnes vyšel můj nový <a href="https://isc.sans.edu/diary/27130">příspěvek</a> na stránkách <a href="https://isc.sans.edu/">SANS Internet Storm Center</a>. Podíváme se v něm na zajímavý e-mail, který působil jako reakce na historický příspěvek na Full Disclosure mailing list a nesl v příloze downloader pro malware Qakbot&hellip;</p> <img src="https://untrustednetwork.net/images/isc/isc-diary.jpg" alt="ISC diary"> Jan Kopriva featured image SANS Malware Qakbot Makro Novinky 2021 SANS ISC Diary https://untrustednetwork.net/cs/2020/03/06/excel_4_macros/ Fri, 06 Mar 2020 08:50:00 +0100 Fri, 06 Mar 2020 08:50:00 +0100 https://untrustednetwork.net/cs/2020/03/06/excel_4_macros/ V ALEF CSIRT a Internet Storm Center jsme v posledních dnech zaznamenali několik phishingových kampaní, v rámci nichž byly využity soubory s příponou XLS nesoucí makra se škodlivým kódem. Na tom by nebylo nic neobvyklého - soubory se škodlivými makry jsou útočníky užívány velmi často - zmiňovaná makra však v tomto případě nebyla typu VBA, ale typu Excel 4, v důsledku čehož mnoho anti-malware řešení nebylo (a v době psaní tohoto textu není) schopno škodlivý kód v nich detekovat. <p>V ALEF CSIRT a <a href="https://isc.sans.edu/">Internet Storm Center</a> jsme v posledních dnech zaznamenali několik phishingových kampaní, v rámci nichž byly využity soubory s příponou XLS nesoucí makra se škodlivým kódem. Na tom by nebylo nic neobvyklého - soubory se škodlivými makry jsou útočníky užívány velmi často - zmiňovaná makra však v tomto případě nebyla typu VBA, ale typu Excel 4, v důsledku čehož mnoho anti-malware řešení nebylo (a v době psaní tohoto textu není) schopno škodlivý kód v nich detekovat.</p> <p>Makra Excel 4 jsou mechanismus, který historicky (před přidáním podpory pro Visual Basic for Applications do Excelu v roce 1993) umožňoval vkládat do Excelových dokumentů spustitelný kód. I přes své citelné stáří jsou makra tohoto typu <a href="https://support.office.com/en-us/article/working-with-excel-4-0-macros-ba8924d4-e157-4bb2-8d76-2c07ff02e0b8">stále podporována</a> a je tedy možné je v moderním Excelu spustit.</p> <p>Vzhledem k jejich historické povaze s nimi však nedokáže vhodně pracovat velké množství anti-malware nástrojů, které tak nejsou schopny případný v nich obsažený škodlivý kód identifikovat ani po několika dnech od jejich vytvoření. Vhodně to demonstruje vzorek, který jsme detekovali před čtyřmi dny, u něhož je v době psaní předloženého textu poměr detekcí na <a href="https://www.virustotal.com/gui/file/f1979b2ba8c92bc3a6fd8a075254353d067838c7941cf6e02880b4e006839e7e/detection">Virus Total</a> 14​/60. Ještě nižší úspěšnost při detekci (dle <a href="https://www.virustotal.com/gui/file/89e6e635c1101a6a89d3abbb427551fd9b0c1e9695d22fa44dd480bf6026c44c/details">Virus Total</a> 5​/60) mají anti-malware řešení u vzorku detekovaného před dvěma dny, jehož analýzu dnes <a href="https://isc.sans.edu/forums/diary/A+Safe+Excel+Sheet+Not+So+Safe/25868/">publikoval</a> v rámci Internet Storm Center kolega <a href="https://twitter.com/xme">Xavier Mertens</a>.</p> <p>Pozitivní zprávou je, že i v případě maker typu Excel 4 je po otevření souboru standardně zobrazeno obvyklé varování a uživatel tak má možnost spuštění kódu nepovolit.</p> <img src="https://untrustednetwork.net/images/2020/03-excel_4/excel_4_macro.png" alt="Varování při otevření souboru s makrem typu Excel 4" style="width:600px; border:1px solid grey"> <p>Vzhledem k často nedostatečným znalostem kybernetických hrozeb na straně uživatelů však není zcela optimální pouze pasivně spoléhat na jejich uvědomělost.</p> <p>Interním bezpečnostním týmům a IT oddělením tak lze doporučit uživatele na tuto hrozbu upozornit a zdůraznit skutečnost, že anti-malware nástroje instalované na koncových stanicích nutně tento typ hrozby (stejně jako mnoho jiných) nemusí být schopné odhalit.</p> Jan Kopriva SANS ALEF Phishing Makro Novinky 2020 https://untrustednetwork.net/cs/2020/02/03/sans-isc-diary-analysis-of-a-triple-encrypted-azorult-downloader/ Mon, 03 Feb 2020 07:45:10 +0100 Mon, 03 Feb 2020 07:45:10 +0100 https://untrustednetwork.net/cs/2020/02/03/sans-isc-diary-analysis-of-a-triple-encrypted-azorult-downloader/ Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze zajímavého škodlivého dokumentu, z něhož se vyklubal downloader pro trojan AZROult. Zajímavé na něm bylo mimo jiné to, že používal tři úrovně šifrování. <p>Dnes vyšel můj nový <a href="https://isc.sans.edu/forums/diary/Analysis+of+a+tripleencrypted+AZORult+downloader/25768/">příspěvek</a> na stránkách <a href="https://isc.sans.edu/">SANS Internet Storm Center</a>. Je věnovaný analýze zajímavého škodlivého dokumentu, z něhož se vyklubal downloader pro trojan AZROult. Zajímavé na něm bylo mimo jiné to, že používal tři úrovně šifrování.</p> <img src="https://untrustednetwork.net/images/isc/isc-diary.jpg" alt="ISC diary"> Jan Kopriva featured image SANS Malware Phishing AZORult Makro Novinky 2020 SANS ISC Diary