Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Leandro Fróes
      A Fireeye liberou faz pouco tempo uma ferramenta extremamente interessante de instrumentação e emulação de arquivos. Conhecida como speakeasy esta ferramenta emula arquivos dinamicamente tanto em kernel-land quanto em user-land. Sua última release adicionou novas chamadas de API em sua engine de emulação como por exemplo GetLogicalDrives e WNetGetConnection, assim como melhorias na emulação de shellcodes.
      Ao contrário de uma sandbox, que precisa virtualizar todo o sistema operacional, esta ferramenta emula apenas componentes específicos do Windows (chamadas de API, objetos, threads, registros, etc) a fim de entender o comportamento do arquivo executado e tentar identificar as ação relevante executadas:

      Além de arquivos completos podemos emular também um ambiente que será responsável pela execução de shellcodes:

      A ferramenta é feita em Python3 e pode ser executada tanto como uma ferramenta de linha de comando como também uma biblioteca, abrindo espaço para instrumentação/automação. Além disso, a ferramenta também pode se executada via container utilizando docker e também em qualquer ambiente em cloud, tendo em vista que não precisamos configura-la, apenas instalar e rodar.
      Pelo fato do sistema operacional não ser emulado por completo nem todas as chamadas de API serão suportados no ponto de vista de emulação. Com esta "limitação" em mente os desenvolvedores criaram uma forma bem prática de adicionar os hooks que estão faltando (não sendo emulados), permitindo que qualquer pessoa que tenha interesse possa mitigar este problema. Para mais informações vale dar uma olhada no REAME do projeto ?.
      E para aqueles que nos acompanharam semana passada quando falamos do IntelOwl vale lembrar que ele também utiliza o speakeasy!
    • Uma série de vulnerabilidades no Kindle da Amazon poderia ter permitido que atacantes assumissem o controle dos dispositivos das vítimas. Segundo a Vice, um pesquisador da empresa de segurança Realmode Labs analisou no ano passado a segurança de Kindles, em particular o recurso Send to Kindle da Amazon, que permite que usuários enviem e-books ou artigos para o dispositivo. 
      O pesquisador descobriu três vulnerabilidades diferentes que, se combinadas, poderiam levar um criminoso a assumir o controle do Kindle de uma vítima e gastar dinheiro com seu cartão de crédito na Kindle Store, bem como acessar qualquer informação pessoal armazenada no dispositivo, como nome completo e endereço.
      O ataque poderia começar por meio de um e-book malicioso enviado a uma vítima. Um fator atenuante é que o criminoso precisaria falsificar o endereço de e-mail usado para corresponder ao endereço de e-mail @ kindle.com usado pelo alvo. Após enviar o e-book para a vítima, ele apareceria automaticamente na biblioteca do Kindle, e ao abri-lo, ao clicar em um link no índice, o Kindle abriria uma página HTML no navegador que conteria um arquivo de imagem malicioso. Isso daria permissão ao hacker para assumir o controle do dispositivo.
      Um porta-voz da Amazon confirmou à Vice que os bugs foram corrigidos e foi lançada uma atualização automática de software pela Internet que corrige o problema para todos os modelos do Amazon Kindle lançados depois de 2014. Outros modelos de Kindle afetados também receberão essa correção. 
    • Ao longo de 2020, mais de 90 bilhões de tentativas de login maliciosas ao WordPress foram bloqueadas. Essas tentativas foram provenientes de mais de 57 milhões de endereços IP únicos. Isso se refere a uma taxa de 2,8 mil ataques por segundo direcionados ao WordPress. Os dados são da Wordfence Threat Intelligence.
      Segundo a empresa, as tentativas mal-intencionadas de login foram o vetor de ataque mais comum para sites WordPress no ano passado, incluindo ataques de credential stuffing, no qual os criminosos usam listas de credenciais roubadas para tentar entrar em um sistema.
      A Wordfence classifica os ataques ao WordPress em três categorias principais: tentativas de login mal-intencionadas; ataques de exploração de vulnerabilidade; e malware de plugins nulled – versões piratas de um plugin premium.
      Mais de 4,3 bilhões de tentativas de explorar vulnerabilidades vindas de mais de 9,7 milhões de endereços IP exclusivos também foram bloqueadas pela Wordfence em 2020. Os ataques Directory Traversal – ataque de passagem de diretório –, incluindo caminhos relativos e absolutos, representaram 43% de todas as tentativas de exploração de vulnerabilidade, com 1,8 bilhão de ataques. 
      SQL Injection foi a segunda categoria de vulnerabilidades mais comumente atacada, com 21% de todas as tentativas (909,4 milhões de ataques). Uploads de arquivos mal-intencionados com o objetivo de alcançar a Execução Remota de Código (RCE) foram a terceira categoria de vulnerabilidades mais comumente atacada em 11% de todas as tentativas, com 454,8 milhões de ataques.
      Cross-Site Scripting (XSS) foi a quarta categoria de vulnerabilidades mais comumente atacada, com 8% de todas as tentativas, comando 330 milhões de ataques. As vulnerabilidades do Bypass de autenticação foram a quinta categoria de falhas mais comumente atacada, com 3% de todas as tentativas e 140,8 milhões de ataques.
      O scanner Wordfence também detectou mais de 70 milhões de arquivos maliciosos em 1,2 milhão de sites WordPress no ano passado. A grande maioria desses sites foi limpa no final do ano e apenas 132 mil sites infectados no início de 2020 ainda estavam infectados no final do ano. O malware WP-VCD foi a ameaça mais comum para o WordPress, representando 154.928 ou 13% de todos os sites infectados em 2020. 
    • A botnet de malware Emotet foi derrubada por uma operação internacional de aplicação da lei que levou dois anos de planejamento. A ação é o resultado do trabalho coordenado por operações de aplicação da lei em todo o mundo, incluindo a Europol, a Polícia Nacional Holandesa, a Polícia Criminal Federal da Alemanha, a Polícia Nacional da França, o Departamento de Polícia Criminal da Lituânia, a Polícia Montada Real Canadense, o FBI, a Agência Nacional do Crime do Reino Unido e a Polícia Nacional da Ucrânia.
      O Emotet surgiu pela primeira vez como trojan bancário em 2014, evoluindo para uma das formas mais poderosas de malware usado por criminosos cibernéticos, estabelecendo um backdoor nos sistemas de computador Windows por meio de e-mails de phishing automatizados que distribuem documentos do Word infectados por malware. 
      Os assuntos de e-mails e documentos em campanhas do Emotet são regularmente alterados para fornecer a melhor chance de atrair vítimas para abrir e-mails e instalar o malware. Os criminosos por trás do Emotet alugam suas de máquinas infectadas para outros criminosos cibernéticos como uma porta de entrada para ataques de malware adicionais, incluindo ferramentas de acesso remoto (RATs) e ransomware.
      Assim, a Europol descreve o Emotet como "o malware mais perigoso do mundo" e "uma das botnets mais importantes da última década". Por isso, derrubar o Emotet representa uma das ações mais significativas contra uma operação de malware e cibercriminosos nos últimos anos. "Esta é provavelmente uma das maiores operações em termos de impacto que tivemos recentemente e esperamos que tenha um impacto importante", disse Fernando Ruiz, chefe de operações do Centro Europeu de Cibercrime (EC3) da Europol, em entrevista ao ZDNet. 
      As máquinas infectadas pelo Emotet agora são direcionadas para a infraestrutura controlada pelos agentes da lei, o que significa que os cibercriminosos não podem mais explorá-las, impedindo que o malware se espalhe para novos alvos. Isso deve causar uma interrupção significativa nas operações.
      Segundo Ruiz, o Emotet está envolvido em 30% dos ataques de malware, e uma remoção bem-sucedida terá um impacto importante no cenário do cibercrime. A investigação também descobriu um banco de dados de endereços de e-mail, nomes de usuário e senhas roubados, e a Europol está trabalhando com equipes de resposta a emergências de segurança da informação em todo o mundo para ajudar pessoas infectadas pelo Emotet.
      A investigação sobre o Emotet e a identificação dos criminosos responsáveis por executá-lo ainda estão em andamento.
    • No dia 19 de Janeiro, o usuário cha5126568 abriu uma issue no github do famoso x64dbg e relatou que a última versão do packer Themida não estava sendo detectada pelo debugger, podendo resultar na execução com sucesso de um software malicioso, por exemplo. Além de relatar o ocorrido o usuário também deixou sua análise e possíveis resoluções para se evitar o bypass:

      Para quem não está familiarizado o ScyllaHide é um plugin do x64dbg de código aberto. Este plugin tem como objetivo impedir que técnicas de Anti-Debugging, frequentemente utilizadas não só por softwares maliciosos mas também por programas legítimos como Anti-Cheat de jogos, sejam executadas corretamente.
      O problema relatado foi o fato da última versão do Themida estar utilizando as funções GetForegroundWindow/NtUserGetForegroundWindow e depois GetWindowText/InternalGetWindowText à fim de descobrir o nome da janela do sistema sendo utilizada no momento da execução (neste caso, a janela do debugger em si), fazendo com que o packer identificasse o debugger e parasse de executar.
      Após alguns dias de discussão o usuário Mattiwatti, um dos principais desenvolvedores do plugin ScyllaHide, trouxe uma resolução para o problema relatado na issue. A solução encontrada foi fazer um hooking da função NtUserGetForegroundWindow, impedindo que a checagem do packer seja feita. Por mais que a correção tenha foco em Windows 10 ela se aplica muito bem à sistemas mais antigos, sem falar que o hook só funciona caso a janela retornada pela chamada da função retorne a janela de um debugger, garantindo maior precisão na execução.
      Para quem estiver interessado no código em si vale dar uma olhada no commit referente à esta nova release.
    • A Check Point Research descobriu uma vulnerabilidade no recurso localizador de amigos do TikTok que, se explorada, teria permitido que um invasor acessasse os detalhes do perfil dos usuários, incluindo os números de telefone associados às suas contas. Assim, um criminoso poderia construir um banco de dados de usuários e seus números de telefone relacionados, utilizando-o para atividades mal-intencionadas. "Uma solução já foi implantada de forma responsável pelo TikTok para garantir que seus usuários possam continuar usando o aplicativo com segurança", diz a Check Point em comunicado. 
      A Check Point conta que o aplicativo permite a sincronização de contatos, o que significa que um usuário pode sincronizar seus contatos de telefone para encontrar facilmente pessoas que possam conhecer no TikTok. Isso torna possível conectar os detalhes do perfil dos usuários aos seus números de telefone e, se explorada, a vulnerabilidade teria afetado apenas os usuários que optaram por associar um número de telefone à sua conta – o que não é obrigatório – ou conectado a um número de telefone.
      Segundo a empresa de segurança, em abril de 2020, o TikTok lançou um programa privado de recompensa para caçadores de bugs que se tornou uma parceria pública global com a HackerOne em outubro de 2020. Assim, pesquisadores de segurança foram incentivados a encontrar e divulgar as falhas de segurança de forma responsável para que as equipes do TikTok possam resolvê-los antes que os invasores as explorem, reforçando a segurança do app.
    • Para aqueles que procuram uma forma rápida e simples de se montar uma infraestrutura de análise e pesquisa esta notícia é pra você! O IntelOwl é uma plataforma de OSINT (Open-Source Intelligence) e Threat Intelligence de código aberto, com sua última release publicada nesta manhã corrigindo bugs e adicionando novos analisadores ao seu arsenal.
      A ideia do framework é utilizar seus analisadores e em uma única chamada de API coletar o máximo de informações sobre um arquivo/IP/URL/domínio determinado pelo usuário. Estes analisadores vão desde serviços externos como VirusTotal e Shodan até analisadores estáticos da própria ferramenta e sandboxes customizadas por você mesmo!

      Dashboard principal do IntelOwl

      Página de scan de arquivos
      Com uma instalação bem simples e utilizando docker, o IntelOwl se mostra não só portável, mas também flexível, permitindo integração com serviços como Cuckoo, Yara e MISP.
      A tabela a seguir tenta mostrar de forma simples, porém objetiva algumas das principais vantagens e desvantagens sobre o IntelOwn:

      Lembrando que esta tabela está resumida e independente dela com certeza vale dar uma testada na ferramenta ? .
       
×
×
  • Criar Novo...