Hlavní navigace

Postřehy z bezpečnosti: cenu za nejdivnější „chytré“ zařízení vyhrává…

12. 10. 2020
Doba čtení: 4 minuty

Sdílet

V dnešním díle Postřehů se podíváme na nepříjemnou zranitelnost opravdu neobvyklého smart zařízení, na zajímavou analýzu phishingového kitu, na zákaz plošného data retention nebo na nový instáč Petra Výtržného.

Nejpodivnější „chytré“ zařízení

Ve světě „chytrých” zařízení potkáte mnohem bizarnější věci než lednice, kartáčky na zuby a vysavače. Jednou z nich je i chytrý pás cudnosti pro muže. Výrobek čínské firmy Qiui určený jak pro předcházení nevěře, tak i pro neobvyklé hrátky, má jednu vlastnost, která z něj činí věru nebezpečnou hračku. Ovládá se pomocí chytré aplikace komunikující přes Bluetooth a nemá žádnou zálohu v podobě fyzického klíče, který by zařízení otevřel, pokud by došlo k selhání aplikace.

Nyní se na zařízení zaměřili bezpečnostní analytici britské firmy Pen Test Partners, aby v celém řešení našli několik bezpečnostních děr. Ta nejpikantnější spočívá v možnosti, kdy může potenciální útočník zabránit otevření zařízení a uživatele v pásu nechat trvale uzavřeného. K jeho otevření je pak potřeba použít úhlovou brusku nebo jiné dostatečně silné nářadí. Kromě toho našli i jiné zranitelnosti, které umožňují získat citlivá data uživatelů, jako jsou jméno, telefonní číslo, datum narození a geolokační data. To by potenciálnímu útočníkovi otevřelo cestu k vydírání nebo phishingu. Více najdete v originálním blogpostu.

Analýza phishingového kitu

Xavier Mertens, kyberbezpečnostní konzultant na volné noze, popisuje pro SANS ISC InfoSec phishingový kit, který nalezl minulý týden. Zůstal zapomenut útočníkem na jednom kompromitovaném serveru v ZIP souboru. Popisuje stromovou strukturu, která sestává ze 16 PHP skriptů, jednoho javascriptu a 17 obrázků a obsahuje formulář uživatelského jména a hesla v hezky vypadajícím designu.

Po falešném přihlášení je oběť vedena obrázkovým návodem, aby zadala bankovní kartu a správně opsala CVC kód. Všechny ukradené informace se pak posílají na dvojici e-mailů, založených u vysoce anonymních poskytovatelů yandex.com a protonmail.ch.

Xavier připojil celý obsah souboru blocker.php, který obsahuje číselníky nežádoucích IP rozsahů, User-Agentů a domén – aby stránka co nejdéle unikala pozornosti například cachi googlu, antivirovým společnostem a podobně.

Petr Výtržný má instagramový účet

Národní úřad pro kybernetickou a informační bezpečnost spustil edukativní instagramový účet s názvem @petr.vytrzny. Jedná se o oblíbenou postavu smyšleného komiksového influencera z populární vzdělávací aktivity Digitální stopa, který představuje fiktivní příběhy komiksových postav s tématikou internetové bezpečnosti. Jeho putování můžete sledovat také pod hashtagy #pribehyznetu #hotchallenge.

Soudní dvůr EU zakázal plošné „data retention”

Soudní dvůr Evropské unie vydal verdikt, který zakazuje ukládat operátorům všeobecné a necílené sbírání a ukládání metadat o chování uživatelů v jejich sítích a jejich předávání bezpečnostním složkám či tajným službám. To je u nás zakotveno v ustanovení § 97 odst. 3 a 4 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů, které ukládá poskytovatelům povinnost uchovávat po dobu 6 měsíců provozní a lokalizační údaje (přesné znění), což je v rozporu s pravidly EU.

Nález Ústavního soudu však v květnu 2019 tento přístup schválil. Je tedy otázkou, jestli a případně, jak bude česká legislativa v budoucnu upravena. Detailnější články k této problematice vyšly na portálu Lupa.cz (#1 a #2).

IoT P2P botnet

Byl objeven nový IoT P2P botnet, který se šíří díky hádání hesel u služby telnet na portu 23 nebo 2323. Některé zdroje (pravděpodobně mylně) uvádí, že se jedná o SSH na portu 23/2323. Tento botnet v současné době neumí ani DDoS útoky, ani těžbu kryptoměn, ani manipulaci se síťovým provozem.

Ani jednu možnost však do budoucna nelze vyloučit, protože provozovatelé botnetu mají možnost spustit libovolný příkaz či jejich sadu. Jakožto „ultimátní“ možnost mají provozovatelé schopnost vymazat existující diskové oddíly na napadeném zařízení.

Vypusťte Krakena

Ve čtvrtek 17. září byl objeven nový útok jménem Kraken. Skrývá se před detekcí tak, že vkládá svůj kód do služby WER (Windows Error Reporting – WerFault.exe). Je založen na modifikovaném CactusTorch frameworku a obsahuje několik funkcí, které znesnadňují jeho detekci: kontrola přítomnosti debuggeru, detekce virtuálního stroje (zda neběží pod VmWare, nebo VirtualBoxem), kontrola NtGlobalFlag za účelem zjištění zda je debugován. Sám škodlivý kód je uložen na kompromitovaném serveru asia-kotoba.net.

Indikárory kompromitace (IoC) jsou následující:
Dokument se zákeřným kódem: 31368f805417eb7c7c905d0ed­729eb1bb0fea33f6e358f7a11988a0d2366­e942

Archiv (zip) obsahující dokument:
d68f21564567926288b49812f­1a89b8cd9ed0a3dbf9f670dbe65713d890ad1f4

Download URL:
yourrighttocompensation[.]com/?rid=UN­fxeHM
yourrighttocompensation[.]com/dow­nload/?key=15a50bfe99cfe29da475ba­c45fd16c50c60c85bff6b06e530cc91db5c710ac30&id=0
yourrighttocompensation[.]com/?rid=n6XThxD
yourrighttocompensation[.]com/?rid=Au­CllLU

Linuxová školení

Download URL konečného zákeřného kódu:
asia-kotoba[.]net/favicon32.ico

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.