четвртак, 21. новембар 2019.

Oprez: Lažno Windows ažuriranje


Sigurnosni istraživači iz kompanije Truswave su otkrili kampanju Windows ažuriranja koja se širi preko elektronske pošte. Elektronska pošta je oblikovana kao da dolazi od strane kompanije Microsoft i usmjerava potencijalnu žrtvu na prilog elektronske pošte koji je opisan kao “veoma važno sistemsko ažuriranje”.

 

Prilog elektronske pošte ima ekstenziju “.jpg”, ali je ustvari izvršni fajl veličine 28KB koji preuzima ransomware Cyborg. Za otključavanje enkriptovanih dokumenta traži se $500 u Bitcoin valuti. Istraživači su uspjeli da približno odrede početak kampanje koja traje od 07. novembra i ne prije 03. novembra.

Napadač nije bio baš vješt u prikrivanju tragova, pa su istraživači uspeli da na hosting servisu GitHub pronađu alat za pravljenje pod nazivom “Cyborg Builder Ransomware V 1.0.exe”. Hosting servis  GitHub je obaviješten da je neko na njihovim serverima smjestio zlonamjeran sadržaj i korisnički nalog ugašen. Problem je u tome što svako ko je uspio preuzeti “Cyborg Builder Ransomware V 1.0.exe” alat, može napraviti svoju verziju ovog ransomware-a. Nakon toga može promijeniti vektor napada na korisnika i mnogo vještije maskirati preuzimanje ransomware-a.

KAKO SE ZAŠTITI:

1. Uvijek biti oprezan sa dokumentima u prilogu elektronske pošte od nepoznatih pošiljalaca. Ako je elektronska pošta od poznatog pošiljaoca, a dokument nije očekivan kontaktirati pošiljaoca i provjeriti da li je on poslao dokument ili je njegova adresa elektronske pošte možda kompromitovana.

2. Koristiti provjereno Anti-virusno rješenje sa mogućnošću detekcije na osnovu ponašanja za efikasnu zaštitu od poznatih i nepoznatih prijetnji.

3. Edukacija zaposlenih o načinima napada.

4. Uvijek preuzimati softver sa zvanične stranice proizvođača ili preko zvaničnog kanala distribucije.


INFEKCIJA UREĐAJA:

Ukoliko utvrdite ili sumnjate da vam je uređaj zaražen, isključite ga sa mreže (sa kabla ili WiFi-a) i respektivno ugasite uređaj. Nakon toga kontaktirajte servis i informišite se o narednom koraku.

недеља, 17. новембар 2019.

Google: Zbogom Flash sadržaju


Kompanija Adobe je objavila još u julu 2017. godine da će povući Flash, a konačan datum bi trebao biti krajem 2020. godine. Često ranjiv i problematičan Flash su već inicijalno onemogućili Google Chrome u verziji 76, Microsoft Edge i Firefox u verziji 69. Sada kompanija Google najavljuje da će prekinuti indeksiranje Flash sadržaja u Google pretrazi.



Flash je bio odgovor da se bezlične i dosadne Internet stranice ispune bogatim animacijama i sadržajem. To je bila plodonosna tehnologija koja je inspirisala mnoge dizajnere Internet sadržaja. Dovoljno je reći da je u drugoj polovini 2013. godini Flash bio instaliran 500 miliona puta.

Google pretraživač će prestati podržavati Flash sadržaj krajem ove godine. To znači da će Flash sadržaj na Internet stranicama biti ignorisan, a takođe se neće vršiti indeksiranje samostalnih SWF fajlova. Većina korisnika neće vidjeti ovu promjenu. Razlog je u tome što su Internet stranice koje prikazuju video sadržaj YouTube, Dailymotion, Vimeo i slično, već prešli na HTML5 video format. Drugi razlog je što Internet pretraživači Chrome, Microsoft Edge i Firefox već neko vrijeme automatski blokiraju Flash sadržaj.

недеља, 10. новембар 2019.

Primijećeni prvi BlueKeep RDP napadi



Sigurnosni istraživači su primijetili prve napade koji koriste BlueKeep RDP ranjivost Microsoft Windows Remote desktop servisa, o čemu je već pisano – više informacija ovdje.

Sigurnosni istraživač Kevin Beaumont je primijetio da se sistemi ruše i resetuju, a uzrok je port 3389. Drugi sigurnosni istraživač Marcus Hutchins je analizirao log zapise koje mu je dao Kevin i otkrio da napadači koriste ovu ranjivost za instalaciju Monero Cryptocurrency zlonamjerne aplikacije za rudarenje.

Kompanija Microsoft je izdala sigurnosno ažuriranje još u maju ove godine, koje je obuhvatilo čak i Windows XP, ali trenutno se procjenjuje da je preko 700.000 sistema još nije ažurirano. Na sreću trenutni napad nema sposobnost širenja kroz lokalnu mrežu, ali bi u budućnosti mogao dobiti i tu sposobnost i onda bi se mogao ponoviti WannaCry scenario iz 2017. godine. Ovdje je bitno razumjeti da su potencijalni napadači konačno shvatili kako mogu iskoristiti ovu ranjivost i to su spremni u budućnosti da urade.

 KAKO SE ZAŠTITI:

1. Za operativne sisteme koji imaju podršku od strane kompanije Microsoft: Windows 7, Windows Server 2008 R2 i Windows Server 2008 ažuriranja se mogu preuzeti kroz Windows update servis.

2. Za operativne sisteme koji nemaju imaju podršku od strane kompanije Microsoft: Windows XP SP3 x86, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3 x86, Windows Server 2003 SP2 x86, Windows Server 2003 x64 Edition SP2 korisnici moraju preuzeti ručno i instalirati ažuriranje sa Microsoft internet stranice klikom ovdje.

3. Blokirati RDP servis ako nije u upotrebi.

4. Blokirati vanjski pristup TCP portu 3389 u Firewall-u.

5. Koristiti provjereno anti-virusno rješenje.

 INFEKCIJA UREĐAJA:

Ukoliko utvrdite ili sumnjate da vam je uređaj zaražen, isključite ga sa mreže (sa kabla ili WiFi-a) i respektivno ugasite uređaj. Nakon toga kontaktirajte servis i informišite se o narednom koraku.