Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Botnet Resiliency via Private Blockchains

Criminals operating botnets are persistently in an arms race with network security engineers and law enforcement agencies to make botnets more resilient. Innovative features constantly increase the resiliency of botnets but cannot mitigate all the weaknesses exploited by researchers. Blockchain technology includes features which could improve the resiliency of botnet communications. A trusted, distributed, resilient, fully-functioning command and control communication channel can be achieved using the combined features of private blockchains and smart contracts.

Дата: 2017-09-22 00:00:00

Источник: https://www.sans.org/reading-room/whitepapers/covert/botnet-resiliency-private-blockchains-38050



OSSIM: CIS Critical Security Controls Assessment in a Windows Environment.

Use of a Security Information and Event Management (SIEM) or log management platform is a recommendation common to several of the CIS Critical Security Controls For Effective Cyber Defense (2016). Because the CIS Critical Security Controls (CSC) focus on automation, measurement and continuous improvement of control application, a SIEM is a valuable tool. Alienvault's Open Source SIEM (OSSIM) is free and capable, making it a popular choice for administrators seeking experience with SIEM. While there is a great deal of documentation on OSSIM, specific information that focuses on exactly what events to examine, and then how to report findings is not readily accessible. This paper uses a demo environment to provide specific examples and instructions for using OSSIM to assess a CIS Critical Security Controls implementation in a common environment: A Windows Active Directory domain. The 20 Critical Security Controls can be mapped to other controls in most compliance frameworks and guidelines; therefore, the techniques in this document should be applicable across a wide variety of control implementations.

Дата: 2017-09-22 00:00:00

Источник: https://www.sans.org/reading-room/whitepapers/logging/ossim-cis-critical-security-controls-assessment-windows-environment-38045



Trust No One: A Gap Analysis of Moving IP-Based Network Perimeters to A Zero Trust Network Architecture

Traditional IP-based access controls (e.g., firewall rules based on source and destination addresses) have defined the network perimeter for decades. Threats have evolved to evade and bypass these IP restrictions using techniques such as spear phishing, malware, credential theft, and lateral movement. As these threats evolve, so have the demands from end users for increased accessibility. Remote employees require secure access to internal resources. Cloud services have moved the perimeter outside of the enterprise network. The DevOps movement has emphasized speed and agility over up front network designs. This paper identifies gaps to implementation for organizations in the discovery phase of migrating to identity-based access controls as described by leading cloud companies.

Дата: 2017-09-22 00:00:00

Источник: https://www.sans.org/reading-room/whitepapers/firewalls/trust-one-gap-analysis-moving-ip-based-network-perimeters-zero-trust-network-architecture-38040



A Spicy Approach to WebSockets: Enhancing Bro's WebSockets Network Analysis by Generating a Custom Protocol Parser with Spicy

Although the Request for Comments (RFC) defining WebSockets was released in 2011, there has been little focus on using the Bro Intrusion Detection System (IDS) to analyze WebSockets traffic. However, there has been progress in exploiting the WebSockets protocol. The ability to customize and expand Bros capabilities to analyze new protocols is one of its chief benefits. The developers of Bro are also working on a new framework called Spicy that allows security professionals to generate new protocol parsers. This paper focuses on the development of Spicy and Bro scripts that allow visibility into WebSockets traffic. The research conducted compared the data that can be logged with existing Bro protocol analyzers to data that can be logged after writing a WebSockets protocol analyzer in Spicy. The research shows increased effectiveness in detecting malicious WebSockets traffic using Bro when the traffic is parsed with a Spicy script. Writing Bro logging scripts tailored to a particular WebSockets application further increases their effectiveness.

Дата: 2017-09-22 00:00:00

Источник: https://www.sans.org/reading-room/whitepapers/detection/spicy-approach-websockets-enhancing-bros-websockets-network-analysis-generating-custom-protocol-parser-spicy-38035



Insights into Iranian Cyber Espionage: APT33 Targets Aerospace and Energy Sectors and has Ties to Destructive Malware

When discussing suspected Middle Eastern hacker groups with destructive capabilities, many automatically think of the suspected Iranian group that previously used SHAMOON – aka Disttrack – to target organizations in the Persian Gulf. However, over the past few years, we have been tracking a separate, less widely known suspected Iranian group with potential destructive capabilities, whom we call APT33. Our analysis reveals that APT33 is a capable group that has carried out cyber espionage operations since at least 2013. We assess APT33 works at the behest of the Iranian government.

Recent investigations by FireEye’s Mandiant incident response consultants combined with FireEye iSIGHT Threat Intelligence analysis have given us a more complete picture of APT33’s operations, capabilities, and potential motivations. This blog highlights some of our analysis. Our detailed report on FireEye MySIGHT contains a more thorough review of our supporting evidence and analysis. We will also be discussing this threat group further during our webinar on Sept. 21 at 8 a.m. ET.

Targeting

APT33 has targeted organizations – spanning multiple industries – headquartered in the United States, Saudi Arabia and South Korea. APT33 has shown particular interest in organizations in the aviation sector involved in both military and commercial capacities, as well as organizations in the energy sector with ties to petrochemical production.

From mid-2016 through early 2017, APT33 compromised a U.S. organization in the aerospace sector and targeted a business conglomerate located in Saudi Arabia with aviation holdings.

During the same time period, APT33 also targeted a South Korean company involved in oil refining and petrochemicals. More recently, in May 2017, APT33 appeared to target a Saudi organization and a South Korean business conglomerate using a malicious file that attempted to entice victims with job vacancies for a Saudi Arabian petrochemical company.

We assess the targeting of multiple companies with aviation-related partnerships to Saudi Arabia indicates that APT33 may possibly be looking to gain insights on Saudi Arabia’s military aviation capabilities to enhance Iran’s domestic aviation capabilities or to support Iran’s military and strategic decision making vis a vis Saudi Arabia.

We believe the targeting of the Saudi organization may have been an attempt to gain insight into regional rivals, while the targeting of South Korean companies may be due to South Korea’s recent partnerships with Iran’s petrochemical industry as well as South Korea’s relationships with Saudi petrochemical companies. Iran has expressed interest in growing their petrochemical industry and often posited this expansion in competition to Saudi petrochemical companies. APT33 may have targeted these organizations as a result of Iran’s desire to expand its own petrochemical production and improve its competitiveness within the region. 

The generalized targeting of organizations involved in energy and petrochemicals mirrors previously observed targeting by other suspected Iranian threat groups, indicating a common interest in the sectors across Iranian actors.

Figure 1 shows the global scope of APT33 targeting.


Figure 1: Scope of APT33 Targeting

Spear Phishing

APT33 sent spear phishing emails to employees whose jobs related to the aviation industry. These emails included recruitment themed lures and contained links to malicious HTML application (.hta) files. The .hta files contained job descriptions and links to legitimate job postings on popular employment websites that would be relevant to the targeted individuals.

An example .hta file excerpt is provided in Figure 2. To the user, the file would appear as benign references to legitimate job postings; however, unbeknownst to the user, the .hta file also contained embedded code that automatically downloaded a custom APT33 backdoor.


Figure 2: Excerpt of an APT33 malicious .hta file

We assess APT33 used a built-in phishing module within the publicly available ALFA TEaM Shell (aka ALFASHELL) to send hundreds of spear phishing emails to targeted individuals in 2016. Many of the phishing emails appeared legitimate – they referenced a specific job opportunity and salary, provided a link to the spoofed company’s employment website, and even included the spoofed company’s Equal Opportunity hiring statement. However, in a few cases, APT33 operators left in the default values of the shell’s phishing module. These appear to be mistakes, as minutes after sending the emails with the default values, APT33 sent emails to the same recipients with the default values removed.

As shown in Figure 3, the “fake mail” phishing module in the ALFA Shell contains default values, including the sender email address (solevisible@gmail[.]com), subject line (“your site hacked by me”), and email body (“Hi Dear Admin”).


Figure 3: ALFA TEaM Shell v2-Fake Mail (Default)

Figure 4 shows an example email containing the default values the shell.


Figure 4: Example Email Generated by the ALFA Shell with Default Values

Domain Masquerading

APT33 registered multiple domains that masquerade as Saudi Arabian aviation companies and Western organizations that together have partnerships to provide training, maintenance and support for Saudi’s military and commercial fleet. Based on observed targeting patterns, APT33 likely used these domains in spear phishing emails to target victim organizations.    

The following domains masquerade as these organizations: Boeing, Alsalam Aircraft Company, Northrop Grumman Aviation Arabia (NGAAKSA), and Vinnell Arabia.

boeing.servehttp[.]com

alsalam.ddns[.]net

ngaaksa.ddns[.]net

ngaaksa.sytes[.]net

vinnellarabia.myftp[.]org

Boeing, Alsalam Aircraft company, and Saudia Aerospace Engineering Industries entered into a joint venture to create the Saudi Rotorcraft Support Center in Saudi Arabia in 2015 with the goal of servicing Saudi Arabia’s rotorcraft fleet and building a self-sustaining workforce in the Saudi aerospace supply base.

Alsalam Aircraft Company also offers military and commercial maintenance, technical support, and interior design and refurbishment services.

Two of the domains appeared to mimic Northrop Grumman joint ventures. These joint ventures – Vinnell Arabia and Northrop Grumman Aviation Arabia – provide aviation support in the Middle East, specifically in Saudi Arabia. Both Vinnell Arabia and Northrop Grumman Aviation Arabia have been involved in contracts to train Saudi Arabia’s Ministry of National Guard.

Identified Persona Linked to Iranian Government

We identified APT33 malware tied to an Iranian persona who may have been employed by the Iranian government to conduct cyber threat activity against its adversaries.

We assess an actor using the handle “xman_1365_x” may have been involved in the development and potential use of APT33’s TURNEDUP backdoor due to the inclusion of the handle in the processing-debugging (PDB) paths of many of TURNEDUP samples. An example can be seen in Figure 5.


Figure 5: “xman_1365_x" PDB String in TURNEDUP Sample

Xman_1365_x was also a community manager in the Barnamenevis Iranian programming and software engineering forum, and registered accounts in the well-known Iranian Shabgard and Ashiyane forums, though we did not find evidence to suggest that this actor was ever a formal member of the Shabgard or Ashiyane hacktivist groups.

Open source reporting links the “xman_1365_x” actor to the “Nasr Institute,” which is purported to be equivalent to Iran’s “cyber army” and controlled by the Iranian government. Separately, additional evidence ties the “Nasr Institute” to the 2011-2013 attacks on the financial industry, a series of denial of service attacks dubbed Operation Ababil. In March 2016, the U.S. Department of Justice unsealed an indictment that named two individuals allegedly hired by the Iranian government to build attack infrastructure and conduct distributed denial of service attacks in support of Operation Ababil. While the individuals and the activity described in indictment are different than what is discussed in this report, it provides some evidence that individuals associated with the “Nasr Institute” may have ties to the Iranian government.

Potential Ties to Destructive Capabilities and Comparisons with SHAMOON

One of the droppers used by APT33, which we refer to as DROPSHOT, has been linked to the wiper malware SHAPESHIFT. Open source research indicates SHAPESHIFT may have been used to target organizations in Saudi Arabia.

Although we have only directly observed APT33 use DROPSHOT to deliver the TURNEDUP backdoor, we have identified multiple DROPSHOT samples in the wild that drop SHAPESHIFT. The SHAPESHIFT malware is capable of wiping disks, erasing volumes and deleting files, depending on its configuration. Both DROPSHOT and SHAPESHIFT contain Farsi language artifacts, which indicates they may have been developed by a Farsi language speaker (Farsi is the predominant and official language of Iran).

While we have not directly observed APT33 use SHAPESHIFT or otherwise carry out destructive operations, APT33 is the only group that we have observed use the DROPSHOT dropper. It is possible that DROPSHOT may be shared amongst Iran-based threat groups, but we do not have any evidence that this is the case.

In March 2017, Kasperksy released a report that compared DROPSHOT (which they call Stonedrill) with the most recent variant of SHAMOON (referred to as Shamoon 2.0). They stated that both wipers employ anti-emulation techniques and were used to target organizations in Saudi Arabia, but also mentioned several differences. For example, they stated DROPSHOT uses more advanced anti-emulation techniques, utilizes external scripts for self-deletion, and uses memory injection versus external drivers for deployment. Kaspersky also noted the difference in resource language sections: SHAMOON embeds Arabic-Yemen language resources while DROPSHOT embeds Farsi (Persian) language resources.

We have also observed differences in both targeting and tactics, techniques and procedures (TTPs) associated with the group using SHAMOON and APT33. For example, we have observed SHAMOON being used to target government organizations in the Middle East, whereas APT33 has targeted several commercial organizations both in the Middle East and globally. APT33 has also utilized a wide range of custom and publicly available tools during their operations. In contrast, we have not observed the full lifecycle of operations associated with SHAMOON, in part due to the wiper removing artifacts of the earlier stages of the attack lifecycle.

Regardless of whether DROPSHOT is exclusive to APT33, both the malware and the threat activity appear to be distinct from the group using SHAMOON. Therefore, we assess there may be multiple Iran-based threat groups capable of carrying out destructive operations.

Additional Ties Bolster Attribution to Iran

APT33’s targeting of organizations involved in aerospace and energy most closely aligns with nation-state interests, implying that the threat actor is most likely government sponsored. This coupled with the timing of operations – which coincides with Iranian working hours – and the use of multiple Iranian hacker tools and name servers bolsters our assessment that APT33 may have operated on behalf of the Iranian government.

The times of day that APT33 threat actors were active suggests that they were operating in a time zone close to 04:30 hours ahead of Coordinated Universal Time (UTC). The time of the observed attacker activity coincides with Iran’s Daylight Time, which is +0430 UTC.

APT33 largely operated on days that correspond to Iran’s workweek, Saturday to Wednesday. This is evident by the lack of attacker activity on Thursday, as shown in Figure 6. Public sources report that Iran works a Saturday to Wednesday or Saturday to Thursday work week, with government offices closed on Thursday and some private businesses operating on a half day schedule on Thursday. Many other Middle East countries have elected to have a Friday and Saturday weekend. Iran is one of few countries that subscribes to a Saturday to Wednesday workweek.

APT33 leverages popular Iranian hacker tools and DNS servers used by other suspected Iranian threat groups. The publicly available backdoors and tools utilized by APT33 – including NANOCORE, NETWIRE, and ALFA Shell – are all available on Iranian hacking websites, associated with Iranian hackers, and used by other suspected Iranian threat groups. While not conclusive by itself, the use of publicly available Iranian hacking tools and popular Iranian hosting companies may be a result of APT33’s familiarity with them and lends support to the assessment that APT33 may be based in Iran.


Figure 6: APT33 Interactive Commands by Day of Week

Outlook and Implications

Based on observed targeting, we believe APT33 engages in strategic espionage by targeting geographically diverse organizations across multiple industries. Specifically, the targeting of organizations in the aerospace and energy sectors indicates that the threat group is likely in search of strategic intelligence capable of benefitting a government or military sponsor. APT33’s focus on aviation may indicate the group’s desire to gain insight into regional military aviation capabilities to enhance Iran’s aviation capabilities or to support Iran’s military and strategic decision making. Their targeting of multiple holding companies and organizations in the energy sectors align with Iranian national priorities for growth, especially as it relates to increasing petrochemical production. We expect APT33 activity will continue to cover a broad scope of targeted entities, and may spread into other regions and sectors as Iranian interests dictate.

APT33’s use of multiple custom backdoors suggests that they have access to some of their own development resources, with which they can support their operations, while also making use of publicly available tools. The ties to SHAPESHIFT may suggest that APT33 engages in destructive operations or that they share tools or a developer with another Iran-based threat group that conducts destructive operations.

Appendix

Malware Family Descriptions

Malware Family

Description

Availability

DROPSHOT

Dropper that has been observed dropping and launching the TURNEDUP backdoor, as well as the SHAPESHIFT wiper malware

Non-Public

NANOCORE

Publicly available remote access Trojan (RAT) available for purchase. It is a full-featured backdoor with a plugin framework

Public

NETWIRE

Backdoor that attempts to steal credentials from the local machine from a variety of sources and supports other standard backdoor features.

Public

TURNEDUP

Backdoor capable of uploading and downloading files, creating a reverse shell, taking screenshots, and gathering system information

Non-Public

Indicators of Compromise

APT33 Domains Likely Used in Initial Targeting

Domain

boeing.servehttp[.]com

alsalam.ddns[.]net

ngaaksa.ddns[.]net

ngaaksa.sytes[.]net

vinnellarabia.myftp[.]org

APT33 Domains / IPs Used for C2

C2 Domain

MALWARE

managehelpdesk[.]com

NANOCORE

microsoftupdated[.]com

NANOCORE

osupd[.]com

NANOCORE

mywinnetwork.ddns[.]net

NETWIRE

www.chromup[.]com

TURNEDUP

www.securityupdated[.]com

TURNEDUP

googlmail[.]net

TURNEDUP

microsoftupdated[.]net

TURNEDUP

syn.broadcaster[.]rocks

TURNEDUP

www.googlmail[.]net

TURNEDUP

Publicly Available Tools used by APT33

MD5

MALWARE

Compile Time (UTC)

3f5329cf2a829f8840ba6a903f17a1bf

NANOCORE

2017/1/11 2:20

10f58774cd52f71cd4438547c39b1aa7

NANOCORE

2016/3/9 23:48

663c18cfcedd90a3c91a09478f1e91bc

NETWIRE

2016/6/29 13:44

6f1d5c57b3b415edc3767b079999dd50

NETWIRE

2016/5/29 14:11

Unattributed DROPSHOT / SHAPESHIFT MD5 Hashes

MD5

MALWARE

Compile Time (UTC)

0ccc9ec82f1d44c243329014b82d3125

DROPSHOT

(drops SHAPESHIFT

n/a - timestomped

fb21f3cea1aa051ba2a45e75d46b98b8

DROPSHOT

n/a - timestomped

3e8a4d654d5baa99f8913d8e2bd8a184

SHAPESHIFT

2016/11/14 21:16:40

6b41980aa6966dda6c3f68aeeb9ae2e0

SHAPESHIFT

2016/11/14 21:16:40

APT33 Malware MD5 Hashes

MD5

MALWARE

Compile Time (UTC)

8e67f4c98754a2373a49eaf53425d79a

DROPSHOT (drops TURNEDUP)

2016/10/19 14:26

c57c5529d91cffef3ec8dadf61c5ffb2

TURNEDUP

2014/6/1 11:01

c02689449a4ce73ec79a52595ab590f6

TURNEDUP

2016/9/18 10:50

59d0d27360c9534d55596891049eb3ef

TURNEDUP

2016/3/8 12:34

59d0d27360c9534d55596891049eb3ef

TURNEDUP

2016/3/8 12:34

797bc06d3e0f5891591b68885d99b4e1

TURNEDUP

2015/3/12 5:59

8e6d5ef3f6912a7c49f8eb6a71e18ee2

TURNEDUP

2015/3/12 5:59

32a9a9aa9a81be6186937b99e04ad4be

TURNEDUP

2015/3/12 5:59

a272326cb5f0b73eb9a42c9e629a0fd8

TURNEDUP

2015/3/9 16:56

a813dd6b81db331f10efaf1173f1da5d

TURNEDUP

2015/3/9 16:56

de9e3b4124292b4fba0c5284155fa317

TURNEDUP

2015/3/9 16:56

a272326cb5f0b73eb9a42c9e629a0fd8

TURNEDUP

2015/3/9 16:56

b3d73364995815d78f6d66101e718837

TURNEDUP

2014/6/1 11:01

de7a44518d67b13cda535474ffedf36b

TURNEDUP

2014/6/1 11:01

b5f69841bf4e0e96a99aa811b52d0e90

TURNEDUP

2014/6/1 11:01

a2af2e6bbb6551ddf09f0a7204b5952e

TURNEDUP

2014/6/1 11:01

b189b21aafd206625e6c4e4a42c8ba76

TURNEDUP

2014/6/1 11:01

aa63b16b6bf326dd3b4e82ffad4c1338

TURNEDUP

2014/6/1 11:01

c55b002ae9db4dbb2992f7ef0fbc86cb

TURNEDUP

2014/6/1 11:01

c2d472bdb8b98ed83cc8ded68a79c425

TURNEDUP

2014/6/1 11:01

c6f2f502ad268248d6c0087a2538cad0

TURNEDUP

2014/6/1 11:01

c66422d3a9ebe5f323d29a7be76bc57a

TURNEDUP

2014/6/1 11:01

ae47d53fe8ced620e9969cea58e87d9a

TURNEDUP

2014/6/1 11:01

b12faab84e2140dfa5852411c91a3474

TURNEDUP

2014/6/1 11:01

c2fbb3ac76b0839e0a744ad8bdddba0e

TURNEDUP

2014/6/1 11:01

a80c7ce33769ada7b4d56733d02afbe5

TURNEDUP

2014/6/1 11:01

6a0f07e322d3b7bc88e2468f9e4b861b

TURNEDUP

2014/6/1 11:01

b681aa600be5e3ca550d4ff4c884dc3d

TURNEDUP

2014/6/1 11:01

ae870c46f3b8f44e576ffa1528c3ea37

TURNEDUP

2014/6/1 11:01

bbdd6bb2e8827e64cd1a440e05c0d537

TURNEDUP

2014/6/1 11:01

0753857710dcf96b950e07df9cdf7911

TURNEDUP

2013/4/10 10:43

d01781f1246fd1b64e09170bd6600fe1

TURNEDUP

2013/4/10 10:43

1381148d543c0de493b13ba8ca17c14f

TURNEDUP

2013/4/10 10:43

Дата: 2017-09-21 19:46:48

Источник: http://www.fireeye.com/blog/threat-research/2017/09/apt33-insights-into-iranian-cyber-espionage.html



Новый зловред крадет данные через камеры видеонаблюдения

Тестовая вредоносная программа aIR-Jumper подтвердила возможность обхода защиты изолированных сетей и приема-передачи данных из них. Для этого нужны камеры безопасности и ИК-светодиоды, которые за счет разбора потока данных на вспышки света могут вести обмен друг с другом.

Этот метод атаки придумали и реализовали исследователи Мордехай Гури (Mordechai Guri) и Ювал Еловичи (Yuval Elovici) из Университета имени Бен-Гуриона при участии Димы Быховского (Dima Bykhovsky‏) из Инженерного колледжа «Сами Шамун». Ранее на этой неделе они опубликовали результаты своих исследований (PDF).

«Преступники могут установить скрытую двустороннюю связь со внутренней сетью организации с помощью камер наблюдения и инфракрасных светодиодов», — пишут исследователи.

Чтобы произвести атаку, нужно выполнить ряд сложных требований. Прежде всего, целевая изолированная сеть должна быть уже заражена зловредом aIR-Jumper. Кроме того, к инфицированной сети должны быть подключены камеры наблюдения, находящиеся в поле зрения злоумышленников, расположившихся снаружи объекта. При таких условиях зловред сможет проникнуть в программные интерфейсы (API) камеры, чтобы модулировать ИК-сигналы для передачи данных и обработки сигналов с внешних ИК-светодиодов в виде команд.

«Можно управлять инфракрасной подсветкой камер наблюдения через соответствующий API, встроенный в прошивку. Наиболее простой способ управления — переключение состояния ИК-светодиодов через веб-интерфейс камеры. Пользователь может переключить ночное видение в ручной или автоматический режим, чтобы включать и выключать ИК-светодиоды и задать силу ИК-подсветки», — поясняют авторы.

AirGap

В одном из сценариев зловред aIR-Jumper можно перепрограммировать на поиск конфиденциальных данных внутри изолированной сети. Собранная информация при этом извлекается через ночную ИК-подсветку камеры безопасности, которая незаметна невооруженным глазом.

В демонстрационном видео атаки злоумышленник находился в поле зрения мерцающего ИК-светодиода видеокамеры. В световых сигналах закодированы единицы и нули исходных данных. Затем атакующий записывал последовательность мерцающей подсветки и при воспроизведении раскодировал вспышки как единицы и нули, которые впоследствии образовывали читаемые файлы.

«По нашим оценкам, скрытый канал связи позволяет незаметно извлекать данные организации с каждой камеры наблюдения на расстоянии десяти метров на скорости 20 бит/с», — заявляют исследователи.

Схожим образом атакующий может использовать удаленный ИК-свет, видимый камерой наблюдения, чтобы скрытно передавать данные в сеть организации на скорости более 100 бит/с на каждую камеру наблюдения с расстояния около полутора километров. «Камера будет фиксировать поступающие сигналы, которые затем раскодирует зловред, присутствующий в сети», — отмечают авторы.

Эта технология позволяет модулировать, кодировать и передавать в виде ИК-сигналов конфиденциальные данные, такие как PIN-коды, пароли, ключи шифрования и перехваченные с клавиатуры данные, за пределы физически изолированной сети.

В другом сценарии проникновения удаленный злоумышленник передает во внутреннюю сеть организации команды управления зловредом aIR-Jumper, уже присутствующим в сети.

Авторы отчета несколько лет занимались проблемой взлома физически изолированных систем с помощью различных техник: оптической (xLED), электромагнитной (AirHopper), термальной (BitWhisper) и акустической (Fansmitter).

«В качестве технологических контрмер можно реализовать обнаружение вредоносного ПО, управляющего ИК-подсветкой камеры или перехватывающего изображение с камеры, — написали исследователи. — Аналогичным образом можно выявлять зловред на сетевом уровне, отслеживая трафик между хостами в сети и камерами наблюдения».

Дата: 2017-09-21 18:04:56

Источник: https://threatpost.ru/novyj-zlovred-kradet-dannye-cherez-kamery-videonablyudeniya/22413/



Ecommerce Security: Fake Jquery Used as CC Scraper

Ecommerce Security: Fake Jquery Used as CC Scraper

In the last few months, we noticed an increase in attacks targeting ecommerce platforms aiming to steal credit card information. We saw a similar rise last year after the summer ended, and believe that trend will continue now that the holiday season is quickly approaching.

Most of these attacks are based on intercepting the communication between the online store and the payment gateway (the checkout process) in order to send valuable information to the attacker.

Continue reading Ecommerce Security: Fake Jquery Used as CC Scraper at Sucuri Blog.

Дата: 2017-09-21 17:26:32

Источник: https://blog.sucuri.net/2017/09/fake-jquery-used-cc-scraper-ecommerce.html



Атаки NotPetya обходятся недешево

Как сообщает BBC, компания FedEx Express, крупнейший специалист по международным экспресс-перевозкам, оценила свой ущерб от июньской атаки шифровальщика ExPetr/NotPetya в 300 млн долларов.

Пострадавшее подразделение, TNT Express, еще не совсем оправилось от удара; ожидается, что его IT-системы заработают в нормальном режиме лишь к концу текущего месяца. Отсутствие доступа к жизненно важной информации, заблокированной зловредом, негативно повлияло не только на деловые операции, но также на финансовые показатели FedEx.

Комментируя новый финансовый отчет компании для представителей банков (по каналу конференц-связи), руководитель информационной службы FedEx Роб Картер (Rob Carter) заявил: все указывает на то, что первичное заражение NotPetya произошло в результате установки вредоносного обновления для программы, используемой при подготовке налоговых деклараций в украинском офисе FedEx. По всей видимости, речь идет об одном из приложений MeDoc — пакета бухгалтерских программ, уязвимость в котором, как полагают исследователи, могла использоваться в качестве вектора атаки и в других эпизодах летней NotPetya-кампании.

Данные клиентов FedEx, насколько известно, не пострадали, и распространение инфекции по сетям компании оказалось ограниченным. Тем не менее, названное подразделение компании атака NotPetya полностью и надолго вывела из строя. Из-за недоступности email сотрудникам TNT пришлось перейти на WhatsApp для внутренних коммуникаций, необработанные почтовые отправления скапливались в очередях тысячами.

«На момент атаки в TNT проводились работы по замене унаследованных систем технологиями FedEx, — цитирует Картера BBC. —  Вследствие атаки эти усилия были активизированы. Многие системы, не пораженные вирусом, также были укреплены и перестроены с целью усиления безопасности».

Другие высокопоставленные жертвы NotPetya, такие как гигант фарминдустрии Merck и лидер рекламного рынка WPP, тоже понесли большие потери. Так, компания Reckitt Benckiser, торгующая товарами широкого потребления (широко известные бренды: Dettol, Durex), призналась, что атака шифровальщика обошлась ей в 100 млн фунтов стерлингов ($136 млн) в виде упущенной выгоды. Крупнейший специалист по контейнерным перевозкам Maersk оценил свои убытки от аналогичной атаки в $200-300 млн — эти цифры приведены в августовском финансовом отчете датской корпорации.

Дата: 2017-09-21 16:39:53

Источник: https://threatpost.ru/ataki_notpetya_obhodjatsja_nedeshevo/22408/



Комиссию по ценным бумагам и биржам США атаковали

Председатель Комиссии по ценным бумагам и биржам США (Securities and Exchange Commission, SEC) Джей Клэйтон (Jay Clayton) выступил с заявлением о недавнем инциденте, поставившим под сомнение безопасность хранящихся в SEC конфиденциальных данных. В 2016 году злоумышленники использовали уязвимость в EDGAR — программном обеспечении Комиссии — и получили доступ к базе данных SEC, однако известно об атаке стало только сейчас. Несмотря на то, что уязвимость практически сразу закрыли патчем, киберпреступники успели воспользоваться инсайдерской информацией для своей выгоды.

Как заявил Клэйтон, злоумышленникам не удалось получить доступ к идентифицирующим персональным данным или поставить под угрозу деятельность самой Комиссии. Однако уязвимость позволила киберпреступникам использовать инсайдерские данные для проведения чрезвычайно выгодных для себя торговых сделок. Сумма нанесенного ущерба, механизм атаки и другие детали пока остаются неизвестными.

Об инциденте стало известно в рамках текущей проверки уровня безопасности SEC, инициированной Клэйтоном в мае этого года. Одним из первых решений, принятых им на новом посту, стало создание рабочей группы по вопросам кибербезопасности для мониторинга рисков и оптимизации реагирования на инциденты.

В своем заявлении председатель SEC подчеркнул, что обеспечение безопасности чрезвычайно важно для беспрепятственной работы биржевого рынка.

«SEC постоянно сталкивается с новыми угрозами безопасности и не должна терять бдительности. Атаки на публичный и частный сектор не прекратятся, и способность сохранять спокойствие и гибко реагировать на инциденты необходима для успешного отражения атак», — объяснил он.

Биржи и финансовые институты нередко становятся мишенями для киберпреступников. Так, в 2015 году злоумышленники организовали атаку на Московскую биржу и с помощью вируса смогли повлиять на курс рубля. Из-за скачков курса возникла экстремальная волатильность: разница между покупкой и продажей доллара составила 7 рублей. Тогда потери в результате махинаций оценили в 225 млн рублей.

Дата: 2017-09-21 16:16:08

Источник: https://threatpost.ru/sec-breach/22404/



Утилита глубинного обучения PassGAN улучшает подбор паролей

Искусственный интеллект и глубинное обучение занимают все большее место в сфере информационной безопасности, и одно из первых применений оказалось связано с паролями.

Недавно исследователи из Технологического института Стивенса и Технологического института Нью-Йорка опубликовали предварительные результаты своих работ, в которых они с помощью генеративно-состязательных сетей (GAN) угадывали пароли эффективнее, чем с помощью существующих техник ручного создания правил, использующихся в таких инструментах, как Hashcat или JohntheRipper.

По словам исследователей, благодаря этим мощным аналитическим инструментам они могут использовать машины для анализа имеющихся данных. Например, любой из многомиллионных утечек паролей, которые были опубликованы в Сети за последние 18 месяцев. И, исходя из этого, создавать новые правила паролей, которые не только повышают эффективность тестов на проникновение, но и могут когда-нибудь стать основным инструментом восстановления или угадывания паролей.

«Предположим, завтра произойдет еще одна утечка паролей. Если вы создаете правила вручную и хотите извлечь максимальную пользу из утечки, вам понадобится поручить своим сотрудникам изучить данные и найти несоответствия, а затем вручную составить новые правила и ключевые слова. Все это ручная работа, — говорит Паоло Гасти (Paolo Gasti), один из исследователей Технологического института Нью-Йорка. — Вместо этого мы отдаем базу паролей инструменту на изучение — в течение дня, недели или месяца. И после этого вы получаете результат анализа, который провел инструмент на основе новых данных».

Недавно вместе со своими коллегами Бриландом Хитажем (Briland Hitaj), Джузеппе Атеньезе (Giuseppe Ateniese) и Фернандо Перес-Крузом из Технологического института Стивенса и Технологического института Нью-Йорка Гасти опубликовал исследовательскую работу под названием «PassGAN: глубинное обучение для угадывания паролей». PassGAN — это название технологии, которая с помощью сетей GAN совершенствует инструменты по созданию паролей на основе правил.

«Благодаря PassGAN эффективность инструментов по созданию паролей на основе правил поднимается на новый уровень, поскольку информация о распределении паролей из данных извлекается автономно, позволяя забыть о ручном анализе, — пишут исследователи. — В результате на основе новых утечек паролей этот инструмент может без труда создавать более сложные пароли».

В исследовании опубликованы результаты множества экспериментов, которые демонстрируют, как инструмент PassGAN проанализировал пароли, украденные с LinkedIn и RockYou, и показал более высокую эффективность по сравнению с правилами SypderLabs от JohntheRipper, а также «составил конкуренцию» правилам best64 и gen2 от HashCat.

«Когда мы объединили результаты PassGAN с результатами HashCat, нам удалось вычислить на 18-24% паролей больше, чем только с помощью HashCat, — пишут исследователи. — Это доказывает, что PassGAN может генерировать значительное количество паролей, которые не по зубам нынешним инструментам».

Сети GAN — это инструменты глубинного обучения, которые состоят из двух глубинных нейронных сетей: генеративной и дифференциальной. Во многих приложениях глубинное обучение используется для создания чего-либо на основе набора данных (например, сканируются тысячи изображений лиц или комнат для создания нового, уникального изображения). По словам Гасти, это может быть первым применением сетей GAN в сфере безопасности. Исследователи хотят обучить глубинные нейронные сети тому, как выглядят заданные пользователями пароли, но при этом не предоставлять сети никакой контекст, например личную информацию, такую как дата рождения или клички питомцев, сочетание которых люди зачастую используют для создания сложных (по их мнению) паролей.

«Мы не предоставляем никакую информацию, мы просто слепо передаем машине набор паролей, а она выясняет, что же такое пароль. Суть заключается в том, что машина должна сотни тысяч раз пройтись по этим данным, и каждый раз она будет узнавать что-то новое — например, какие-либо новые отношения между компонентами пароля, — говорит Гасти. — После сотни тысяч просмотров набора паролей машина может сказать: «Мне удалось определить нужное слово и цифры, я знаю отношения между ними и вероятность их связи». Теперь команде специалистов не придется изучать сотни тысяч паролей — алгоритм сделает это за них».

В идеале кластер высокопроизводительных машин может анализировать миллионы паролей в течение месяца и создать правила, которые никогда бы не удалось сгенерировать вручную, говорит специалист.

«Мне кажется, мы поднимаем планку того, что следует считать надежным паролем, — говорит Гасти. — Поскольку теперь мы можем эффективнее подбирать пароли, наши понятия об их надежности меняются. Теперь стало возможным угадать те пароли, которые раньше было нельзя. Не потому, что они слабые, а потому что мы нашли лучший способ до них добраться».

Дата: 2017-09-21 15:29:56

Источник: https://threatpost.ru/deep-learning-passgan-tool-improves-password-guessing/22400/