14.5.17

WanaCrypt: je li ovo tek prvo poluvrijeme?

Ovaj tekst pišem u nedjelju poslijepodne, dva dana nakon globalne pojave jednog od najagresivnijih malicioznih programa u posljednih godinu/dvije. Premijera je bila u petak, pa epidemija malicioznog programa WanaCrypt nije još stigla zahvatiti većinu naših tvrtki i organizacija. Erupcija bi se mogla očekivati sutra, kada se u jutarnjim satima budu uključila računala. Ipak, vikend je, izgleda, imao spasonosno djelovanje, zahvaljujući zagonetnoj funkciji koja je pronađena u kodu malicioznog programa WanaCrypt.

Naime, timovi koji su analizirali tijek instrukcija ovog programa utvrdili su da ovaj program iz nekog, za sada nepotvrđenog, razloga pokušava dohvatiti URL fabriciranog sadržaja iza kojeg ne stoji realni poslužitelj. Postoji nekoliko objašnjenja za ovakvo ponašanje - o njima pišem u nastavku, no za slijed događaja je važno reći da je ovo svojstvo iskorišteno za obuzdavanje djelovanja programa WanaCrypt. Naime, ukoliko se pokaže da program ne može dohvatiti fabriciranu domenu onda nastavlja posao do kraja i preuzima zaraženo računalo. Ukoliko bi, kojim slučajem, pokušaj dohvata fabricirane domene bio uspješan onda program prekida akciju. Znači, ako bi dakle fabricirana domena zaista postojala - što inače nije intencija autora, onda bi to obustavilo djelovanje programa WanaCrypt. To je i napravljeno - tvrtka MalwareTech je registrirala domenu prilično kriptičnog naziva i invazija je obustavljena. Barem za sada.

Ostaje pitanje kako to da program WanaCrypt koristi ovu naizgled naivnu funkciju koja značajno ograničava njegovo djelovanje? Zasigurno se ne radi se o propustu no motivi su, izgleda, dvojaki. Prema jednoj teoriji, napadači se poigravaju s nama te su nam ostavili dostupan "kill switch" koji će nas zaštiti ali kojima će nam dati do znanja da oni drže stvar pod kontrolom. Prema drugoj teoriji, ovakva reakcija je rezultat kontrole u programskom kodu koja ima funkciju prepoznavanja okruženja forenzičke analiza malicioznih programa. Ova kontrola nije nova, pojavljivala se i u nekim drugim slučajevima.

No bilo kako bilo, za očekivati je pojavu podvarijanti malicioznog programa WanaCrypt koje će isključiti ovakvu kontrolu ili koji će URL ime generirati primjenom generatora slučajnih vrijednosti. U svakom slučaju, nemojte se zavarati trenutnim zatišjem. Primijenite popravke koji su opisani u MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx), ali i inače održite ažurnu razinu patcheva operativnog sustava. Razmotrite i ukidanje protokola SMBv1, uglavnom nije neophodan (pogledajte https://support.microsoft.com/en-us/help/2696547).

Korisnici sustava QualysGuard mogu provjeriti zdravlje sustava modulom ThreatPROTECT ili provjerom prisutnosti ranjivosti QID 91345, QID 1029, QID 91360 i QID 70077. Napominjemo da se provjere ranjivosti QID 91345, 1029 i 91360 mogu provesti samo autenticiranim skenom ili korištenjem QualysGuard agenata. QID 70077 omogućuje detekciju "backdoor" programa DOUBLEPULSAR koja se koristi u scenariju WanaCrypt a koji nam takođe dolazi u istoj pošiljci iz NSA.

Kada se stvari oko ovog napada budu slegle onda će biti vremena za neke konačne zaključke, no dobro su mi je poznata raširena percepcija da nije nužno pre-ažurno primjenjivati programske popravke jer naše tvrtke "nisu zanimljive napadačima", naročito ne onima koji koriste napade iz NSA aresenala. Ovaj slučaj je možda trenutak otrežnjenja. Naročito ako ponedjeljak bude jače "stormy" nego obično.

6.11.15

Upravljanje ranjivostima u vremenima ciljanih prijetnji

U ponedjeljak, 2.11.2015. održao sam prezentaciju na redovitom mjesečnom sastanku hrvatskog ogranka organizacije ISACA.

Tema prezentacije je bila upravljanje računalnim ranjivostima u vremenima sve opasnijih ciljanih prijetnji ("targeted threats")


26.10.15

Sudjelovanje u emisiji Hrvatskog radija

U subotu, 24.10.2015. sudjelovao sam u emisiji Hrvatskog radija na temu kriminala i ratovanja u cyber prostoru. U emisiji je sudjelovao i Božo Kovačević, a emisiju je vodio Željko Ivanković.

U nastavku se nalazi link na kojem možete poslušati ovu emisiju.

17.10.15

Agenti u akciji

QualysGuard, "cloud" servis za upravljanje računalnim ranjivostima, nedavno je uveo u rad agente za prikupljanje podataka o računalnim ranjivostima. Ova inovacija predstavlja promjenu paradigme pregleda računalnih ranjivosti. Uobičajeno je da se podaci o računalnim ranjivostima prikupljaju tehnikom mrežnog skeniranja, no agenti će omogućiti znatno dublji pogled u stanje računalnih ranjivosti.

18.6.15

Top 30 ranjivosti u ciljanim napadima

Američki CERT je objavio upozorenje koje sadrži popis 30 najčešćih ranjivosti korištenih u ciljanim napadima. Upozorenje je sastavljeno na temelju sudjelovanja stručnjaka US-CERT-a u brojnim istragama nakon pojave ciljanih napada, pa tako možemo biti sigurni da je ovaj popis rezultat neposrednog iskustva.

10.4.15

Sudjelovanje na konferenciji DataFocus 2015

Prošli tjedan sam sudjelovao na međunarodnoj konferenciji DataFocus 2015, koja se već četvrtu godinu održava u Zagrebu. Tema konferencije je digitalna forenzika, odnosno digitalni dokazi koji predstavljaju jednu od suštinskih komponenti digitalne forenzike. Na konferenciji je sudjelovalo oko 250 polaznika. I ove godine, kao i u prethodni dvije, održao sam prezentaciju iz područja digitalne forenzike. Tema ovogodišnje prezentacije je bila digitalna forenzika i "cloud computing".

15.2.15

Nestalo najmanje 300 milijuna dolara?

New York Times je jučer objavio vijest o operaciji cyber kriminalaca koja je trajala tijekom 2013. i 2014. godine u velikom broju banaka iz cijelog svijeta, a ponajviše ruskih. Trenutno se govori o 100 banaka u 30 zemalja. Operacija je rezultirala krađom najmanje 300 milijuna dolara, a procjenjuje se da bi šteta mogla biti i tri puta veća. New York Times se poziva na, za sada neobjavljeno, izvješće ruske tvrtke Kaspersky Lab koja je vodila istragu u jednom od registriranih slučajeva. Članak iz NYT približava nam glavne elemente same operacije. Scenarij je sličan svim scenarijima ciljanih napada koji se pojavljuju u zadnjih nekoliko godina, a o kojima smo pisali na ovim stranicama.