Ir para conteúdo
    • Bruna Chieco
      Uma vulnerabilidade nas versões mais recentes do web servidor gratuito Nginx foi descoberta e divulgada pela especialista em segurança Alisa "Esage" Shevchenko via Twitter. Ela destacou que os burburinhos em torno da falha é "desproporcional e deveria ser interrompido imediatamente". Ainda não há detalhes técnicos sobre o problema, mas várias vulnerabilidades nesse servidor já foram corrigidas anteriormente. No site do Nginx não há nenhum posicionamento sobre as novas falhas, mas a empresa respondeu ao tweet de Alisa dizendo que nenhum bug parece ser explorável. Aguardamos atualizações sobre essa possível falha! ?

    • O Guardicore Labs, laboratório de pesquisa da empresa de segurança Guardicore, tem acompanhado uma campanha baseada na China, denominada Nansh0u, que visava infectar servidores Windows MS-SQL e phpMyAdmin ao redor do mundo. De acordo com a empresa, há mais de 50 mil servidores pertencentes a empresas dos setores de saúde, telecomunicações, mídia e TI com a falha. Os servidores vulneráveis foram infectados com payloads maliciosos que criam um cryptominer e instalam um rootkit sofisticado em modo kernel para impedir que o malware fosse eliminado.
      Segundo investigação do Guardicore Labs, 20 versões diferentes de payloads foram lançadas e implementadas ao longo da campanha. A empresa entrou em contato com o provedor de hospedagem dos servidores atacantes, bem como com o emissor do certificado digital utilizado pelos binários do rootkit, que foram removidos e revogado, respectivamente. Ainda de acordo com a empresa, a campanha Nansh0u não é um caso típico de ataque de mineração de criptomoeda - nesse caso, eles usaram técnicas normalmente vistas em APTs - ataques dirigidos avançados persistentes, como certificados falsos ou escalação de privilégios. As ferramentas avançadas de ataque normalmente pertencem a atacantes altamente qualificados, mas essa campanha mostra que essas ferramentas podem cair facilmente nas mãos de invasores menores que os de primeira linha.
      O Guardicore Labs publicou o cronograma de criação dos payloads e como cada ataque foi executado. ?

    • Existem várias ferramentas multiplataforma para assemblar e disassemblar código, mas a grande maioria são programas que precisam ser instalados no computador antes de serem utilizados. Isso até o shahril96 publicar seu Assembler e Disassembler online e de código aberto, baseado no Keystone.js e Capstone.js. Seu uso é muito simples e por enquanto há suporte a arquiteturas ARM, ARM64, MIPS, x86, x86-64, PowerPC, SPARC e SystemZ. O Assembler recebe o código e imprime os bytes em formato bruto (raw), de string, vetor em C e disassembly. Já o Disassembler recebe qualquer uma dessas saídas como entrada e imprime as mesmas saídas. É sem dúvida útil em casos onde se precisa estudar Assembly, uma das bases para engenharia reversa, e não se tem um software como este à mão. Lembrando que tanto nosso livro Fundamentos de Engenharia Reversa quanto nosso Curso de Engenharia Reversa Online (CERO) apresentam noções de Assembly x86 para quem está começando. Hora de estudar! ?

    • A Apple pode ter mais uma vulnerabilidade em seu Gatekeeper. De acordo com o blog do pesquisador Filippo Cavallarin, uma falha na versão MacOS X 10.14.5 pode permitir que atacantes instalem malwares ignorando o Gatekeeper e sem avisar ou pedir permissão explícita ao usuário. Cavallarin explica como o ataque funciona. 
      O Gatekeeper é um mecanismo desenvolvido pela Apple que impõe a assinatura de código e verifica os aplicativos baixados antes de permitir que eles sejam executados. Como o Gatekeeper considera drives externos e compartilhamentos de rede como sendo ambientes seguros, que não necessitam de verificação de permissão para executar um aplicativo, um invasor pode enganar o usuário e executar um aplicativo com arquivo ZIP contendo códigos maliciosos e um link simbólico correto. Isso direcionaria a vítima a um site controlado pelo invasor, mas confiável pelo Gatekeeper. Além disso, o MacOS X possui um recurso legal, o automount (também conhecido como autofs), que permite ao usuário aceitar automaticamente um compartilhamento de rede apenas acessando um caminho "especial". Neste caso, qualquer caminho que comece com "/ net /".
      Ainda segundo Cavallarin, A Apple foi contatada em 22 de fevereiro de 2019 e está ciente do problema, que deveria ter sido resolvido em 15 de maio de 2019, mas a Apple aparentemente ignorou os avisos do pesquisador, que resolveu tornar a vulnerabilidade pública. Cavallarin alerta que nenhuma solução para a vulnerabilidade está disponível. ?
      Contudo, é possível desabilitar o automount:
      1. Edite o arquivo /etc/auto_master
      2. Comente a linha que começa com "/net"
      3. Reinicie o computador
      Aliás, se você quiser mais sobre exploração de vulnerabilidade, tipo essa que o Filippo Cavallarin fez, dá uma olhada no nosso Curso de Exploração de Binários! ?

    • O OGusers, fórum conhecido por reunir pessoas envolvidas em ataques cibernéticos e clonagem do SIM card (chip) de celulares, teve exposta sua base de dados contendo endereços de e-mail, senhas, endereços IP e mensagens privadas. Cerca de 113 mil usuários do fórum foram afetados, de acordo com o blog KrebsOnSecurity. A nota publicada pelo blog diz ainda que no dia 12 de maio, o administrador do OGusers explicou que houve uma interrupção no fórum por conta de uma falha no disco rígido que teria apagado mensagens privadas de vários meses, publicações no fórum e pontos de prestígio. O administrador disse ainda que restaurou um backup de janeiro. 
      O incidente coincidiu com o roubo do banco de dados de usuários do fórum e com a limpeza dos discos rígidos. Em 16 de maio, o administrador da comunidade rival RaidForums anunciou que disponibilizou o banco de dados OGusers para qualquer um baixar gratuitamente.
      De acordo com o KrebsOnSecurity, o vazamento do banco de dados poderia ajudar investigadores das forças federais e estaduais a ir atrás de atacantes, já que o OGusers é uma comunidade online famosa por atrair pessoas envolvidas em clonagem de números de telefone como método de assumir as contas redes sociais, e-mail e contas financeiras de vítimas e depois revender o acesso a outras pessoas no próprio fórum. ?‍♀️

    • O Tor Browser, navegador criado pelo Tor Project para oferecer aos usuários acesso privado à Internet, chegou à versão beta no mundo móvel e está disponível para Android na Google Play em um lançamento estável. O Tor Browser 8.5 está disponível para download com importantes atualizações de segurança para o Firefox.
      A versão alfa do navegador foi lançada em setembro do ano passado, e desde então o Tor Project vem fazendo melhorias para priorizar usuários que sofrem muita vigilância e censura online, como ativistas ou jornalistas que precisam evitar o monitoramento do governo. 
      O Tor Browser é baseado no Firefox, contendo as mesmas conveniências do navegador, como a navegação com guias, mas não se conecta diretamente a sites. Segundo o Engadget, ele usa uma rede de servidores criptografados que envia solicitações em vários links intermediários, ocultando seu endereço IP e identidade. O navegador não está disponível para o sistema iOS, por conta de restrições da Apple, mas o Tor recomenda o uso do Onion Browser para usuários de iPhone e iPad.

    • Uma variante do malware Mirai, identificada como Backdoor.Linux.MIRAI.VWIPT, foi detectada pela Trend Micro. De acordo com comunicado divulgado hoje pela companhia de segurança, a nova versão do malware, que infecta roteadores, usa 13 exploits diferentes, quase todas já utilizadas nos ataques anteriores do Mirai. Variantes típicas do Mirai possuem backdoors e capacidades para ataques distribuídos de negação de serviço (DDoS). Todavia, este caso surge como a primeira vez que uma variante usa 13 exploits juntos numa única campanha.
      O novo ataque ocorre apenas algumas semanas após a Trend Micro ter relatado as últimas atividades do Mirai, que afetaram diversos roteadores. Vários exploits do ataque anterior também foram usados nessa variante. O malware usou diferentes meios de propagação e também revelou o uso de três chaves XOR para criptografar dados. A companhia também identificou diferentes URLs usadas por esta variante, sendo que a primeira serviu como um servidor de comando e controle (C&C), enquanto as outras eram links de download e dropper. 
      A Trend Micro identificou ainda como a variante se espalha. Os três primeiros exploits são scanners de vulnerabilidades específicas encontradas no framework de desenvolvimento web ThinkPHP e em alguns roteadores Huawei e Linksys. Os scanners para as outras 10 vulnerabilidades foram encontradas dentro da função exploit_worker(). A companhia divulgou uma lista dos exploits e outros ataques, sendo que 11 deles já haviam sido usados em 2018 pela variante Omni. Também foi publicada uma lista com URLs maliciosas relacionadas aos ataques.

×
×
  • Criar Novo...