Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Leandro Fróes
      No fim de setembro o CrowdStrike® Falcon OverWatch™ Team (time com foco em pesquisa de ameaças) postou em seu blog que encontrou em um de seus clientes uma infecção no daemon sshd que chamou a atenção, devido à sua abordagem de alterar um binário legítimo.
      Após logar via SSH por meio de credenciais válidas e escalar privilégios via CVE-2016-5195, o autor da invasão modificou duas funções do cliente SSH e do servidor (sshd), para que sempre que alguém entrasse com credenciais legítimas estas fossem copiadas para um arquivo específico para posterior extração.
      Este fato foi interessante para notarmos que os binários nativos do nosso sistema podem sim ser alterados e, com isto, agir de forma maliciosa. Devemos ficar de olho em tudo, certo?! ?
    • A esteganografia (técnica utilizada para esconder alguma coisa dentro de outra) não é algo novo. Já houve relatos de malwares que utilizaram esta técnica para esconder partes dos seus recursos em imagens, por exemplo. O que aconteceu alguns dias atrás foi quase a mesma coisa, mas chamou a atenção por conta de uma palavra mágica: meme.



      A Trend Micro postou recentemente em seu blog sobre um malware que estava escondendo funções maliciosas dentro de um meme postado no Twitter. O malware, após infectar o computador da vítima, fazia o download da imagem no Twitter e com isto fazia um parsing nos bytes dela para identificar as funções e, com isto, executá-las e mandar seus resultados para um servidor de Comando e Controle (C&C). Criativo, não?! ?



      Vale a leitura não só para os adoradores de memes, mas também para aqueles que querem entender melhor a anatomia desta ameaça.

    • A empresa de segurança ESET recentemente publicou uma pesquisa mostrando que mais de 21 famílias de malwares estavam escondidas dentro de ferramentas de SSH (Security Socket Shell) para Linux.
      Muitas distribuições Linux já vem com ferramentas de SSH por padrão, mas ainda assim há muitas outras versões para download e dentre elas, muitas infectadas. Os malwares possuem funcionalidades que vão desde exfiltração de dados até mecanismos que permitem ao invasor uma maneira furtiva e persistente de se conectar de volta à máquina comprometida (persistência). Um outro detalhe interessante é que alguns malwares checavam se já havia alguma backdoor instalada antes de instalar a sua, através de um script em Perl.
      É recomendada a leitura de todo o artigo para melhor entendimento não só das ameaças, mas também do motivo de sua criação e sua relação com o SSH.
    • Por acaso você testa softwares? Tanto aqueles que cria quanto aqueles que utiliza (em busca de falhas por exemplo)? Mesmo que não faça isto você deve imaginar que um dos problemas que os programas enfrentam é ter que tratar com o input (a entrada de dados) do usuário, tendo em vista que as possibilidades são imensas e, com elas, vem os erros.
      O usuário Max Woolf decidiu ajudar aqueles que visam a qualidade do software (ou quem quer fazer fuzzing mesmo, em busca de falhas) e criou uma lista de strings que podem causar problemas quando utilizadas como entrada de dados. A ideia é extremamente simples e interessante, seja para um teste automatizado ou manual.
      O projeto está aberto para contribuição e tudo está especificado em seu repositório no Github. E aí, já testou aquele seu último programa? ?
    • Quem lembra do WannaCry? Sim, ele mesmo, um dos ransomwares mais temidos pelas organizações desde sua aparição e infecção em massa em maio de 2017. Este malware utilizava um exploit para uma falha conhecida como EternalBlue (MS17-010), referente ao protocolo SMB.
      Sabemos que não é fácil (impossível?) escrever um programa sem falhas. Até mesmo os exploits as possuem, afinal, são código também, certo?! ?
      Foi publicado em um blog de segurança uma breve explicação de como o EternalBlue, contido no FuzzBunch (framework responsável por carregar os exploits nos sistemas), funciona e também a correção de um bug contido nele. O exploit pode ser considerado antigo, mas sua explicação envolve funcionalidades do próprio Windows e ajudam a entender melhor o próprio sistema operacional.
    • Em Setembro deste ano a Mozilla Foundation anunciou o Firefox Monitor: um serviço disponibilizado de monitoração dos vazamentos de dados que acontecem pelo mundo afora. Se seu e-mail estiver em algum deles, significa que seus dados foram vazados e então você é avisado. Este é um serviço similar ao já conhecido Have I Been Pwned onde você também pode cadastrar seu e-mail gratuitamente para ser notificado em caso de vazamento.
      Agora em Novembro a Mozilla anunciou uma nova funcionalidade para o Firefox 62 em diante: será mostrada uma notificação de alerta no próprio navegador caso o site visitado já tenha sofrido algum vazamento de dados. Além disso, um botão do Firefox Monitor será mostrado, caso você queira verificar se o seu e-mail está entre os dados vazados.
      Lembrando que estes serviços não verificam se suas contas de e-mail foram comprometidas. Eles apensar buscam por seu endereço de e-mail nos bancos de dados vazados (os famosos leaks) e se o website visitado já foi vítima de vazamento.
      Segundo a Mozilla Foundation, o motivo para funcionalidades como esta é que os usuários estão cada vez mais interessados em segurança e privacidade. É bom ver que estamos caminhando para um mundo onde se preocupam mais com a nossa segurança, não é mesmo?! ?
    • Recentemente alguém abriu um desafio simples mas muito curioso com uma recompensa de mil dólares: invadir a infraestrutura da AWS através do AWS Lambda.
      A AWS (Amazon Web Services) é uma gigante de mercado em vários assuntos, principalmente computação em nuvem. O seu serviço de Lambda tem origem do lambda em programação, mas aqui a idea da AWS de fato é você executar um código em alguma das linguagens suportadas (atualmente Go, NodeJS, C#, Python e Java) sem se preocupar com toda a infraestrutura e sim apenas com o seu código e o resultado dele.
      Certo, mas onde isso se encaixa no desafio? Como podemos ver no site, temos uma shell que é disponibilizada através de uma função lambda que dá acesso à infraestrutura do criador do desafio. Na parte inferior da página vemos também uma lista dos comandos mais utilizados por quem tentou ownar a instância.
      Segundo o autor, as configurações padrão estão ativas e caso ninguém consiga invadir, ele irá "piorar" a segurança da infraestrutura em breve.
      O desafio é extremamente pertinente, tendo em vista que computação em nuvem é algo que acontece no dia a dia do profissional de TI no geral, e não apenas no de segurança. E aí, partiu arregar o feriado? ?
×
×
  • Criar Novo...