Hlavní navigace

Postřehy z bezpečnosti: falešná továrna, reálné útoky

Dnes se podíváme na roční výsledky běhu velmi sofistikovaného honeypotu, povíme si něco o ransomwarech Sodinokibi a Ryuk, o nové 0-day zranitelnosti v Microsoft IE a možnostech zahlazení stop v historii Bashe.
CESNET CERTS 27. 1. 2020
Doba čtení: 3 minuty

Sdílet

Falešná továrna jako honeypot

Výzkumníci z firmy TrendMicro publikovali velmi zajímavou zprávu z ročního provozu jejich doposud nejsofistikovanějšího honeypotu. Nevytvořili nic menšího než kompletní falešnou chytrou továrnu včetně programovatelných logických kontrolérů, human-machine rozhraní, virtuálních serverů, privátní sítě, webové prezentace, falešných komunikačních kanálů a referencí klientů. Honeypot byl spuštěn v květnu loňského roku s úmyslně otevřenou nezabezpečenou službou VNC, stejným heslem pro řadu pracovních stanic a na zvolených internetových komunikačních kanálech bylo leaknuto několik informací o průlomu. 

Rozjezd byl poměrně pozvolný, první útočník se dostavil az koncem července a ten si pouze nainstaloval kryptominer a několikrát se vrátil ho znovu spustit. Další útoky už ale na sebe nenechaly dlouho čekat a jejich zajímavost se zvyšovala. Do konce roku se výzkumníci setkali i s několika ransomwary, dokonce s útočníky i aktivně komunikovali a zkoušeli se dohadovat o ceně.

Celá zpráva poskytuje velmi zajímavé čtení a pro výrobní podniky poskytuje celou řadu cenných informací o tom, na jaké útoky by si měly dávat pozor a kde mohou být slabá místa.

Skupina vyhrožuje publikovat data automobilové společnosti

Útočníci za ransomware Sodinokibi vyhrožují publikovat data ukradená další oběti poté, co tato nesplnila podmínky zaplacení výkupného. V tomto případě se jedná o skupinu GEDIA Automotive Group, německého dodavatele komponent s 4 300 zaměstnanci a ročním obratem 600 milioů eur. Údajně bylo odcizeno více než 50 GB dat obsahujících technické výkresy a data zaměstnanců a zákazníků.

Exfiltrace dat ze serverů oběti před jejich následným zakryptováním se začíná stávat novou oblíbenou praktikou vyděračů. Útočníci pak mají na oběť další páku k dosažení svého cíle. Jedna věc je o data přijít, druhá věc je, když se dostanou do rukou komukoliv.

Microsoft varuje před 0-day zranitelností v IE

Microsoft vydal upozornění před v tuto chvíli neopravenou a aktivně zneužívanou zranitelností v jeho Internet Exploreru. Zranitelnost se nachází v JS knihovně a umožňuje útočníkovi spuštění libovolného kódu a převzetí plné kontroly nad počítačem a to pouhým otevřením webové stránky se škodlivých JavaScriptem.

V tuto chvíli jsou k dispozici pouze workaroundy. Uživatel musí pomocí daných příkazů zabránit načtení zranitelné knihovny a v budoucnosti po aplikaci opravy vše zase vrátit do původního stavu. Některé stránky však pochopitelně bez této knihovny nemusí správně fungovat.

Ryuk ransomware umí nové kousky

Pokud pravidelně sledujete Postřehy z bezpečnosti, jistě jste už museli číst o ransomware Ryuk. Mezi ransomware se jedná o jeden z nejzákeřnějších, který je schopen se ve vaší síti schovávat celé měsíce a pak jednoho dne udeří. 

A právě tento ransomware se naučil nový kousek. Nyní umí oskenovat dostupné privátní sítě a všem zařízením poslat signál Wake-on-Lan. Podaří-li se mu zařízení probudit, pokusí se vzdáleně připojit i jeho disky a v případě úspěchu zakryptuje i ty. Velmi, velmi zákeřné.

Bash History: zahlazujeme stopy

Pokud by vás zajímalo, jakými způsoby po sobě útočníci zametají stopy, aby se jimi prováděné příkazy neobjevily v historii, projděte si toto zajímavé shrnutí. Možná budete překvapeni, kolik jich je a kolik možností nastavení Bashe je pro účely práce s historií k dispozici.