trwa ładowanie paska...
24-05-2019, 09:23:49 *
Aktualności:
Wybierz jezyk:
 
   Forum   Regulamin Zaloguj się Rejestracja   Tagi
Strony: Pierwsza « 1 ... 3 4 5 6 7 ... 12 » Ostatnia +   Do dołu
  Drukuj  
Autor Wątek: Cybersurvival - Aktualności  (Przeczytany 55442 razy)
0 użytkowników i 1 Gość przeglądają ten wątek.
skaf2007
Opinii: (0)
Świeża krew
*
Offline Offline

wiadomości: 21




Ignoruj
« Odpowiedz #60 : 07-10-2015, 21:23:25 »


Niestety jeszcze zaliczam się do orangeutanów, dzięki za info.

To nie był atak na "orangutanów" tylko na naiwniaków, bo takie maile dostawało mnóstwo ludzi z ukradzionych lub pozyskanych baz, bez względu na operatora. Akurat oryginalne maile z e-fakturą Orange są dość trudne do podrobienia.

Dla mocno kumatych na Orange opublikował szczegółową analizę na stronie https://cert.orange.pl.

E-faktury Orange są zrobione dość dobrze i trudno je podrobić. Dodatkowo ruch od zainfekowanych klientów Orange wycina, więc infekcja jest nieszkodliwa.
Zapisane
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #61 : 07-10-2015, 21:27:50 »

To nie był atak na "orangutanów" tylko na naiwniaków, bo takie maile dostawało mnóstwo ludzi z ukradzionych lub pozyskanych baz, bez względu na operatora. Akurat oryginalne maile z e-fakturą Orange są dość trudne do podrobienia.

Dla mocno kumatych na Orange opublikował szczegółową analizę na stronie https://cert.orange.pl.

E-faktury Orange są zrobione dość dobrze i trudno je podrobić. Dodatkowo ruch od zainfekowanych klientów Orange wycina, więc infekcja jest nieszkodliwa.
Ta analiza CERT Oranje pozostawia trochę do życzenia, no ale musieli pokazać, że rządzą na podwórku. Grunt, że i tak lepiej niż Plus Bank w tym roku zamiatał pod dywan. Atak rejczel na fszystkich i nie na naiwniaków. Nie każdy musi wiedzieć co to phishing i jak go rozpoznać. Zwłaszcza, że często nawet jak przychodzi faktura.exe to ikonka jest PDF, przez co Pani Krysia otworzy bez wahania. Inną sprawą jest to, że atak był źle przygotowany. Ale to dobrze, będzie ku ostrzeżeniu.
« Ostatnia zmiana: 07-10-2015, 21:30:37 wysłane przez turystyk » Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
skaf2007
Opinii: (0)
Świeża krew
*
Offline Offline

wiadomości: 21




Ignoruj
« Odpowiedz #62 : 07-10-2015, 21:35:09 »

Ta analiza CERT Oranje pozostawia trochę do życzenia, no ale musieli pokazać, że rządzą na podwórku. Grunt, że i tak lepiej niż Plus Bank w tym roku zamiatał pod dywan. Atak rejczel na fszystkich i nie na naiwniaków. Nie każdy musi wiedzieć co to phishing i jak go rozpoznać. Zwłaszcza, że często nawet jak przychodzi faktura.exe to ikonka jest PDF, przez co Pani Krysia otworzy bez wahania. Inną sprawą jest to, że atak był źle przygotowany. Ale to dobrze, będzie ku ostrzeżeniu.

Te dwie sytuacje nie za bardzo nadają się do porównania, lepiej porównajmy z reakcjami z analogicznym podszywaniem się pod faktury PP, UPC czy T-Mobile a jeżeli analiza ma mankamenty to wal, przekażę autorowi, żeby się następnym razem poprawił
Zapisane
tomking
Opinii: (18)
Ekspert
*****
Offline Offline

Płeć: Mężczyzna
Wiek: 48
Miejsce pobytu: Katowice
wiadomości: 2217





Ignoruj
« Odpowiedz #63 : 07-10-2015, 21:39:57 »

W:
Cytuj
chrome://flags
Ustaw
Cytuj
Minimum SSL/TLS version supported
Na
Cytuj
SSLv3

Spoko przejrzałem stronę na właściwym SO, ale muszę się bardziej w kilku tematach zagłębić. Dzięki za podesłanie namiaru

Podana przez Ciebie konfiguracja jest możliwa na Linux'ie nie na Winzgrozie. Chrome na Winzgrozie nie ma "Najniższa obsługiwana wersja protokołu SSL/TLS." Bo to sama groza     
Zapisane

Rzeczą ważniejszą od wiedzy jest wyobraźnia.
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #64 : 07-10-2015, 21:45:53 »

Te dwie sytuacje nie za bardzo nadają się do porównania, lepiej porównajmy z reakcjami z analogicznym podszywaniem się pod faktury PP, UPC czy T-Mobile a jeżeli analiza ma mankamenty to wal, przekażę autorowi, żeby się następnym razem poprawił
Mail już poszedł. Z3S się tym zajęło o ile wiem, jakby co adres znam  
Sama kampania źle przygotowana.
Porównanie dotyczyło samej reakcji firmy, otwarte karty. Oczywiście scenariusz inny, tam winni byli sysadmini, zostawili za duże uprawnienia etc. Tutaj prosty phishing. Nie każdy rozumie jak to działa, nie każdy wieży w złych ludzi w internecie, stąd warty wspomnienia. A nuż serwery nie zaliczyły by downtime i malware dałby się pobrać. W VirusTotal na początku tylko jeden AV wykrył złośliwy kod, także była duża szansa, zanim laby dorzucą sygnatury, że ktoś wpadnie.

@up, to sorry, nie wiem jak jest w chrumie pod win, zaraz popaczam, bo mnie to intryguje.

« Ostatnia zmiana: 07-10-2015, 21:50:32 wysłane przez turystyk » Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
RNL
Kierownik forum
Opinii: (0)
*
Offline Offline

Płeć: Mężczyzna
Wiek: 41
wiadomości: 3768




« Odpowiedz #65 : 07-10-2015, 21:48:12 »

Gdybym miał jako Wielki Brat śledzić jakieś grupy społeczne, a z nich później jednostki, to zacząłbym od tych adresów, które kombinują, jak tu nie być szarą masą. Szarą masę bym co najwyżej skanował...
Zapisane
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #66 : 07-10-2015, 21:57:03 »

Gdybym miał jako Wielki Brat śledzić jakieś grupy społeczne, a z nich później jednostki, to zacząłbym od tych adresów, które kombinują, jak tu nie być szarą masą. Szarą masę bym co najwyżej skanował...
Myślisz, że tak nie jest? Podstawianie fałszywych węzłów etc.

Ale największa część cyber espionage opiera się o słowa klucze. W skrócie: na watchlistę trafiasz, jeśli zapytasz Gugla o Linuxa i coś tam jeszcze. Z listy wypadasz, gdy wpiszesz "viagra". "Niestety" moc KDM - komputerów dużej mocy i całych klastrów NSA i wspólnicy inc. mierzona w tysiącach theraflopów to wciąż za mało na wynalazki kryptografii, dlatego muszą się posiłkować dostępem "od tyłu'. Co oznacza, że jest szansa, jak we wspomnianym "citizenfour", zyskać kilka dni przewagi nad Wielkim Bratem. "nasze" sprawy mogą dotyczyć np. szpiegostwa gospodarczego i odpowiednie chronienie dupy skutecznie utrudni atak w tym wektorze. Jednocześnie łamanie 4096 bit RSA przy założeniu, że podczas implementowania zadbano np. o entropię, staje się nieopłacalne dla "NICH" (i na razie niemożliwe).
« Ostatnia zmiana: 07-10-2015, 22:01:44 wysłane przez turystyk » Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
skaf2007
Opinii: (0)
Świeża krew
*
Offline Offline

wiadomości: 21




Ignoruj
« Odpowiedz #67 : 07-10-2015, 22:03:25 »

Mail już poszedł. Z3S się tym zajęło o ile wiem, jakby co adres znam   A nuż serwery nie zaliczyły by downtime i malware dałby się pobrać. W VirusTotal na początku tylko jeden AV wykrył złośliwy kod, także była duża szansa, zanim laby dorzucą sygnatury, że ktoś wpadnie.

Z3S opisało pobieżnie wektor, a nie robiło szczegółowej analizy. Nie znam okoliczności downtime, ale malware pobrało około 1000 osób w Polsce. Tej 1/3 w sieci Orange nic nie będzie, bo CC jest wycięte, inni operatorzy nie wiem. Basta, bo zarżniemy wątek, w każdym razie będę tutaj uważnie czytał co wypisujesz, mistrzu
Zapisane
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #68 : 07-10-2015, 22:05:06 »

Z3S opisało pobieżnie wektor, a nie robiło szczegółowej analizy. Nie znam okoliczności downtime, ale malware pobrało około 1000 osób w Polsce. Tej 1/3 w sieci Orange nic nie będzie, bo CC jest wycięte, inni operatorzy nie wiem. Basta, bo zarżniemy wątek, w każdym razie będę tutaj uważnie czytał co wypisujesz, mistrzu

Nie mówię o publikacji   ale ironię na końcu zdania mogłeś sobie darować  

Edyta, żeby było na temat.
http://www.cert.orange.pl/system/comfy/cms/files/files/000/000/053/original/Raport_Trojan_VBInject.pdf
Nie mówiłem o tym raporcie, miałem w rękach inną wersję, zaraz znajdę. Tego VBInjecta to chyba z gotowców rapid7 składali atakujący 
« Ostatnia zmiana: 07-10-2015, 22:13:59 wysłane przez turystyk » Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
skaf2007
Opinii: (0)
Świeża krew
*
Offline Offline

wiadomości: 21




Ignoruj
« Odpowiedz #69 : 07-10-2015, 22:13:21 »

Nie mówię o publikacji  ale ironię na końcu zdania mogłeś sobie darować 

Żadnej ironii, na offence, to bardzo dobry i pożyteczny pomysł
Zapisane
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #70 : 07-10-2015, 22:29:30 »

Żadnej ironii, na offence, to bardzo dobry i pożyteczny pomysł
a to przepraszam. Cieszę się, że wątek rośnie. Fajnie by było to jakoś usystematyzować, czekam na odpowiedź WARa.

Jakiś tydzień temu ponownie przeanalizowano TC:
https://code.google.com/p/google-security-research/issues/detail?id=538
https://code.google.com/p/google-security-research/issues/detail?id=537

Co de facto kończy jego karierę (+ poprzednie bugi), najnowszy update VeraCrypt te CVE łata.

Tutaj drugi fork TC, również aktualizowane "on the fly". Dodam do pierwszego posta.
https://ciphershed.org/
« Ostatnia zmiana: 07-10-2015, 22:31:43 wysłane przez turystyk » Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #71 : 08-10-2015, 20:18:35 »

Post pod postem, dopóki nie mamy oddzielnego miejsca na "eventy" to będę linkował tutaj, tym razem Niebezpiecznik:
http://niebezpiecznik.pl/post/wyciek-adresow-e-mail-klientow-komputronika-uwaga-na-falszywe-wiadomosci-z-wezwaniem-do-zaplaty/

W zestawie jak donoszą w komentarzach:
https://www.virustotal.com/pl/file/5aa9275b3047d3d8776d3c5c7882680b699901c59a8ddf3132aeb406b6463e31/analysis/

28/56 czyli dokładnie 50% wykrycia, ale samo rozszerzenie .src mówi, że nie jest to nic dobrego (kto by słał mailem np. wygaszacze ekranu). Jak widać sabotujący Kaspersky nie podołał. Niestety domyślna konfiguracja niektórych okien, powoduje, że plik wygląda na legitny pdf. Niestety tak nie jest.
Warto sobie przyswoić:
http://windows.microsoft.com/pl-pl/windows/show-hide-file-name-extensions#show-hide-file-name-extensions=windows-7

Do tego użycie tożsamości nieistniejącej już firmy podnosi skuteczność przekrętu. Nie jest to tak dobrze zakrojona akcja jak ta robiona przez "malucha" (fiat126p) z wykupionymi domenami z nazwą microsoft, ale trzeba przyznać, że "to już coś więcej" niż email z fakturą. Widać dużą inspirację poprzednikami.

Na szybko przed analizą, serwer c&c czyli bot master jeszcze działa. Pilnujcie swoich skrzynek i ostrzeżcie rodzinę
Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
robin31
Opinii: (20)
Aktywny użytkownik
***
Offline Offline

wiadomości: 201




Ignoruj
« Odpowiedz #72 : 09-10-2015, 15:13:57 »

Czyli jeżeli dobrze zrozumiałem do zaszyfrowania , dysku , partycji nie używać TC tylko np Veracrypt .
A czy np. tym Veracrypt można zaszyfrować dane na pedraku.
Zapisane
tomking
Opinii: (18)
Ekspert
*****
Offline Offline

Płeć: Mężczyzna
Wiek: 48
Miejsce pobytu: Katowice
wiadomości: 2217





Ignoruj
« Odpowiedz #73 : 09-10-2015, 15:32:19 »

Czyli jeżeli dobrze zrozumiałem do zaszyfrowania , dysku , partycji nie używać TC tylko np Veracrypt .
A czy np. tym Veracrypt można zaszyfrować dane na pedraku.
Tak.
Tak.

Przy okazji... dzięki bardzo Turystyk za podanie stronek i info na temat VC. Bardzo się przydają
Zapisane

Rzeczą ważniejszą od wiedzy jest wyobraźnia.
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #74 : 09-10-2015, 15:59:30 »

Czyli jeżeli dobrze zrozumiałem do zaszyfrowania , dysku , partycji nie używać TC tylko np Veracrypt .
A czy np. tym Veracrypt można zaszyfrować dane na pedraku.
Jak Kolega wyżej napisał, ja dodam tylko, że jeśli używałeś TC to dużej różnicy nie będzie.

@tomking po to ten wątek
Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
Strony: Pierwsza « 1 ... 3 4 5 6 7 ... 12 » Ostatnia +   Do góry
  Drukuj  

 
Skocz do:  

Podobne tematy
Temat Zaczęty przez Odpowiedzi Wyświetleń Ostatnia wiadomość
BushcraftPL.com - aktualności & info BushcraftPL.com « 1 2 » Marshall 18 25752 Ostatnia wiadomość 24-12-2015, 13:05:41
wysłane przez Marshall