Jump to content

Bruna Chieco

Mente Binária
  • Content Count

    270
  • Joined

  • Last visited

  • Country

    Brazil

Community Reputation

0 Neutral

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. O Twitter baniu a conta de um grupo que supostamente vazou registro de 200 departamentos policiais. Segundo o The Verge, o grupo chamado Distributed Denial of Secrets (DDoSecrets) publicou recentemente quase 270 gigabytes de dados sob o título "BlueLeaks". O Twitter também adicionou uma página de aviso que aparece caso um usuário clique em um link existente direcionando ao conjunto de dados, alertando que o conteúdo foi identificado como "potencialmente prejudicial". O vazamento ocorreu após uma brecha na Netsential, uma empresa de desenvolvimento web que trabalhava com agências governamentais. O Twitter disse ao The Verge que o DDoSecrets violou as regras contra a publicação de materiais invadidos e foi suspenso permanentemente da rede. De acordo com um relatório obtido por Brian Krebs, o conjunto de dados do BlueLeaks continha algumas "informações altamente confidenciais", e-mails e outros materiais de departamentos de polícia de vários países. Aparentemente, os dados foram fornecidos por um suposto membro do Anonymous e, antes de divulgar, o DDoSecrets alega ter removido cerca de 50 gigabytes de dados, incluindo detalhes sobre vítimas de crimes e informações sobre saúde.
  2. Após mais de um ano desde sua última atualização, saiu o hashcat 6.0.0 no último dia 16 de junho. A ferramenta de recuperação de senhas é de código aberto e contou com 1,8 mil commits desde o último lançamento (5.1.0). A nova versão vem com melhorias de desempenho (muito importante para uma ferramenta de quebra de hashes, né?), novos recursos e documentação detalhadas para usuários e desenvolvedores. Entre as principais funcionalidades da versão 6.0.0 estão: Nova interface para plug-ins - para modos de hash modulares Nova API para computação back-end - para adicionar APIs diferentes da OpenCL Inclusão do CUDA como uma nova API de computação back-end Guia abrangente para desenvolvedores de plug-ins Modo de emulação de GPU - para usar o código do kernel no host Melhor gerenciamento de memória de GPU e threads Tuning automático aprimorado com base nos recursos disponíveis Como se não bastasse, foi adicionado suporte a 51 novos algoritmos, incluindo os utilizados por ferramentas como Telegram e DiskCrypt. Já são 320 hashes suportados pelo hashcat! Acesse o changelog completo aqui. 😉
  3. O Google removeu 25 aplicativos Android da Google Play Store. Segundo o ZDNet, os apps foram pegos roubando credenciais do Facebook. Antes de serem retirados a loja, os aplicativos foram baixados mais de 2,34 milhões de vezes. Os aplicativos maliciosos foram desenvolvidos pelo mesmo grupo de cibercriminosos e, apesar de oferecerem recursos diferentes, todos funcionavam da mesma maneira. De acordo com um relatório da empresa francesa de cibersegurança Evina compartilhado com o ZDNet, os apps se apresentaram como contadores de passos, editores de imagem, editores de vídeo, aplicativos de papel de parede, aplicativos de lanterna, gerenciadores de arquivos e jogos para celular. Apesar de funcionalidade legítima, eles continham um código malicioso que, segundo os pesquisadores da Evina, detecta que o usuário abriu recentemente e possuía em primeiro plano. Se o aplicativo em primeiro plano do usuário fosse o Facebook, o app malicioso colocaria uma janela do navegador da Web em cima do aplicativo oficial do Facebook e carregaria uma página de login falsa da rede social. A lista completa de 25 aplicativos, seus nomes e o ID do pacote estão listados no site do ZDNet.
  4. Linus Torvalds lançou o primeiro release candidate (uma versão pronta, com grandes chances de se tornar um lançamento) do Linux kernel 5.8 há duas semanas. Durante a janela de mesclagem de duas semanas para o próximo Linux kernel 5.8, ele recebeu um dos maiores números de contribuições, segundo o FossBytes. Com a versão 5.8-rc1, o Linux 5.8 possui 14.000 commits, 800.000 novas linhas de código e 14.000 mudanças em arquivos de código-fonte (cerca de 20% de todos os arquivos fonte na estrutura do kernel). A v5.8 inclui ainda limpezas de código, documentação e muito trabalho de desenvolvimento nos sistemas de arquivos. Além disso, há melhorias no suporte ao processador, novo suporte de hardware, aprimoramento de segurança e avanço do driver gráfico Intel/Radeon de código aberto. Veja as principais alterações feitas durante a janela de mesclagem do kernel 5.8 do Linux: Melhoria no driver gráfico AMD Radeon Otimizações do SELinux Fila geral de notificação Atualizações de gerenciamento de energia Suporte melhorado aos teclados da Apple (teclas Fn e Ctrl). Suporte para Intel Tiger Lake Thunderbolt Suporte do acelerador Habana Labs Gaudi Várias melhorias no sistema de arquivos Btrfs Limpeza e correção do sistema de arquivos EXT4 e exFAT Suporte inicial a processadores POWER10 Veja mais atualizações no blog Phoronix. Falando em Linux, já viu nossas dicas de shell? Esse vídeo é a primeira parte de uma sequência de dicas para trabalhar melhor no shell do Linux – com foco em Bash:
  5. O Ministério Público do Rio Grande do Sul cumpriu, na última quinta-feira, 25 de junho, 13 mandados de busca e apreensão para desarticular uma organização criminosa que burlou esquema de segurança digital de banco. A Operação Criptoshow apurou que os criminosos desviaram R$ 35 milhões de uma grande indústria e da bolsa de valores, fazendo lavagem de dinheiro com bitcoins. Os mandados estão sendo cumpridos na região metropolitana de Porto Alegre. Segundo apurado na investigação, nos dias 15 e 16 de abril foram desviados R$ 30 milhões da conta bancária de uma grande indústria por meio de 11 transferências eletrônicas. As TEDs foram feitas para seis empresas, localizadas em Porto Alegre, Cachoeirinha, São Paulo e Porto Velho. Conforme a investigação realizada pela Promotoria de Justiça Especializada Criminal e parceiros, o dinheiro foi desviado com auxílio de uma técnica sofisticada realizada por uma empresa com sede em Cachoeirinha, correntista do mesmo banco. Inicialmente, os criminosos tinham acesso normal à conta bancária, pelo Internet Banking. Eles programaram 11 transferências bancárias para seis destinatários, também pessoas jurídicas. Ao final da operação, por meio de uma manipulação fraudulenta da codificação do canal do Internet Banking, a conta indicada ao sistema para a efetuação do débito de R$ 30 milhões não foi a logada inicialmente, mas sim a conta da grande indústria. O promotor responsável pela investigação destaca que a fraude funcionou como se uma conta bancária corporativa tivesse invadido outra conta similar para emitir ordem de débito ao banco em favor de terceiros. Uma empresa de Porto Alegre recebeu o maior montante do furto, R$ 14 milhões. Três empresas sediadas no estado de Rondônia receberam juntas outros R$ 14 milhões. Além disso, uma empresa de São Paulo obteve R$ 1 milhão, mesmo valor recebido pela empresa de Cachoeirinha, que efetuou o desvio. O texto do MPRS ainda conta que uma nova operação de lavagem de capitais foi revelada durante as investigações. O vídeo abaixo também explica um pouco mais sobre como foi realizada a fraude:
  6. Dois meses após o Centro Nacional de Segurança Cibernética (NCSC) lançar o Suspicious Email Reporting Service (Serviço de Denúncia de E-mail Suspeito), 1 milhão de alertas sobre phishing foram recebidos. Segundo o NCSC, falsas iscas de investimento em criptomoeda representam mais da metade de todos os golpes on-line detectados como resultado de denúncias do público. O serviço, lançado como parte da campanha Cyber Aware do governo do Reino Unido, recebeu uma resposta maciça do público, com uma média diária de 16,5 mil e-mails, agora alcançando a marca de 1 milhão. O influxo de golpes de investimento em criptomoeda está entre uma série de ameaças on-line que foram bloqueadas como resultado dos e-mails suspeitos sendo relatados pelo público em apenas dois meses, diz o NCSC. Embora os golpes de criptomoeda tenham sido os principais detectados, também houve vários exemplos de falsas lojas on-line envolvendo algumas marcas. "Mesmo que seja certo celebrarmos o alcance desse marco, é importante que todos permaneçam em guarda e encaminhe todos os e-mails que não parecem adequados para report@phishing.gov.uk", disse o CEO da NCSC, Ciaran Martin, em comunicado. Para usar o serviço, as pessoas são solicitadas a encaminhar os e-mails suspeitos e, se for encontrado um link para conteúdo malicioso, ele será retirado ou bloqueado, ajudando a evitar futuras vítimas de crime. Os números mais recentes mostram que 10% dos golpes foram removidos dentro de uma hora após a notificação de um e-mail, e 40% foram derrubados dentro de um dia após a denúncia. Além disso, 10,2 mil URLs maliciosas vinculadas a 3.485 sites individuais foram removidos graças aos alertas recebidos.
  7. A Microsoft lançou esta semana o Safe Documents (Documentos Seguros), um novo recurso do Microsoft 365 Apps que visa manter usuários corporativos seguros, verificando arquivos não confiáveis destinados a eles. O recurso aprimora a experiência já existente com o Protected View (Modo de Exibição Protegido). O Protected View ajuda a proteger documentos originados fora da organização, mas as pessoas frequentemente saem da área da empresa, restrita à proteção, sem considerar se o documento é seguro, o que deixa as organizações vulneráveis. Com a ampliação do home office, a Microsoft decidiu melhorar essa experiência. O Safe Documents elimina as suposições do usuários sobre a segurança de uma arquivo, verificando automaticamente o documento com relação aos mais recentes riscos e perfis de ameaças conhecidos antes de permitir que os usuários saiam da área do Protected View. O recurso aproveita ainda o poder do Microsoft Intelligent Security Graph para a área de trabalho. Quando um administrador habilita o Safe Documents, os arquivos não confiáveis abertos no Protected View passam por um fluxo adicional no qual o documento é carregado e verificado pelo Microsoft Defender ATP. Enquanto uma verificação estiver em andamento, os usuários não podem sair do Protected View, mas conseguem acessar e ler o documento durante esse processo, sem fazer nenhuma edição até que a digitalização seja concluída. Caso um arquivo malicioso seja detectado, os usuários serão impedidos de deixar o Protected View. Apenas os administradores podem configurar se os usuários devem ignorar o alerta e "ativar edição" para casos de documentos maliciosos.
  8. O GEF é um plugin para o GDB (GNU Debugger) que adiciona vários comandos úteis para debugar binários x86/64, ARM, MIPS, PowerPC e SPARC. O objetivo é dar suporte na análise de malware e engenharia reversa utilizando o GDB. Ele ainda provê funcionalidades adicionais através da API em Pythonpara auxiliar durante o processo de análise dinâmica e desenvolvimento de exploits. Os desenvolvedores também se beneficiam do GEF para eliminar grande parte da obscuridade regular do GDB, evitando a repetição de comandos tradicionais ou trazendo as informações relevantes do tempo de execução da depuração. Na última versão (2020.06 - Incomparable Evil), foram feitas as seguintes atualizações: Suporte ao head safe linking na glibc 2.32. O comando pcustom agora suporta estruturas (structs) recursivas. O plugin para o Binary Ninga (gef-ninja) foi reescrito e agora está também disponível na Binary Ninja Plugin Store. Também foram feitas correções. Veja o changelog completo. E se quiser saber mais, já tivemos um debate no nosso fórum sobre técnicas para depuração com GDB e binário stripped. Dá uma olhada que tem bastante informação por lá:
  9. Durante a edição 2020 de sua Worldwide Developers Conference (WWDC), a Apple anunciou novos recursos de privacidade e segurança para usuários de iOS e macOS. A conferência foi realizada de maneira totalmente virtual, e segundo o ZDNet, o tema deste ano foi o aprimoramento da privacidade do usuário, com foco especial no setor de publicidade on-line. Este ano, a Apple anunciou alguns recursos que tornarão mais difícil para os anunciantes on-line rastrearem usuários, além de outras funcionalidades relacionadas à maior privacidade: Novos avisos de divulgação de privacidade de aplicativos. Permissões para rastreamento em aplicativos. Localização do proxy. Novo indicador de câmera e microfone. Novo botão de privacidade em Safari. Segundo a Apple, o novo sistema de interface do usuário deixará visível aos usuários que tipo de dados cada aplicativo coleta sobre eles. Além disso, agora os apps também precisam divulgar com precisão os dados que eles usam para rastrear usuários na Internet. A Apple disse que os aplicativos de rastreamento precisam solicitar uma permissão especial dos usuários daqui para frente. Haverá ainda a possibilidade de diminuir o compartilhamento de local. A partir do final deste ano, os usuários poderão compartilhar "localização do proxy" em vez de coordenadas precisas. A Apple também adicionou um novo recurso para combater aplicativos que acessam secretamente a câmera e o microfone de um dispositivo iOS. No Mac, o Safari deve receber uma atualização com um botão "Privacidade" na barra de ferramentas que, semelhante aos recursos anti-rastreamento já presentes no Chrome, Firefox e Edge, mostrará aos usuários informações sobre todos os scripts do rastreador carregados/bloqueados nos sites visitados.
  10. A Light, companhia de energia elétrica do Rio de Janeiro, informou que sofreu um ataque cibernético esta semana. Segundo comunicado da empresa, uma ação imediata ocorreu para conter o ataque, mas informações da Veja Rio dizem que os atacantes pedem um resgate de US$ 7 milhões para liberar os dados criptografados da companhia. Os ciberatacantes provavelmente invadiram o sistema da Light e infectaram o computador com um ransomware, criptografando todos os arquivos do sistema da empresa. A companhia, contudo, não confirmou as informações. "Estamos trabalhando de forma intensiva na resposta ao incidente", diz a Light no Twitter. Já demos aqui inúmeras notícias sobre esse tipo de ataque, que tem crescido cada vez mais ao redor do mundo, se tornando sofisticados e exigindo grande volume de resgates. Dá uma olhada na variedade de conteúdos que já abordamos com esse tema, entre casos, maneiras de se proteger e até análise de alguns ransomwares.
  11. Um hub criado em 2017 pelo Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido tem como objetivo ampliar o número e a diversidade de alunos que cursam diferentes níveis de ciência da computação. O Cyber Schools Hub piloto iniciou efetivamente em fevereiro de 2018 e, quase três anos depois, as escolas participantes do hub mostraram um aumento de 43% no número de estudantes que cursaram GCSE Computer Science. Em uma escola, um Cyber Club semanal começou com 20 alunos homens e agora se expandiu para mais de 70 participantes, sendo 60% deles mulheres. Além disso, no ano passado em uma das escolas 16% dos alunos de um determinado nível (Sixth Form) estudaram segurança cibernética ou ciência da computação na universidade. Essa se tornou, inclusive, a opção de curso preferida entre os alunos. Agora, o NCSC pretende encontrar uma maneira de replicar esse sucesso em outras regiões do Reino Unido, precisando contar com o apoio de outros players do setor, do governo ou acadêmicos. Os aprendizados adquiridos com o projeto piloto foram incorporados ao programa CyberFirst, que oferece cursos e competições gratuitos para milhares de estudantes em todo o Reino Unido, além de centenas de bolsas de graduação e estágios. O CyberFirst é um programa já estabelecido e conta com o apoio de mais de 130 organizações.
  12. Se você analisa malware, certamente já buscou pelas strings de texto dentro dos binários, pois elas podem dar indícios de onde o malware se conecta, podem conter os caminhos e nomes de arquivos que criam, etc. À parte de ferramentas como o comando strings e o pestr (do nosso toolkit do pev), gostaria de te convidar pra conhecer mais uma! O FLOSS (FireEye Labs Obfuscated String Solver) é um extrator de texto feito especialmente para extrair strings ofuscadas de arquivos suspeitos e samples de malware. O solucionador de strings do FireEye Labs usa técnicas avançadas de análise estática para tal. O software é livre, gratuito e multiplataforma, rodando em Windows, Linux e macOS. No dia 10 de junho de 2020, o FireEye Labs divulgou a versão 2020 Twizzler, que contém algumas correções e adiciona funcionalidades, como: Scripts para o IDA e o Binary Ninja, fazendo com que eles trabalhem juntos. Opção para configurar o máximo de instruções que você quer emular. Saída em JSON (JavaScript Object Notation). No mesmo dia, eles ainda liberaram a versão 1.6.1 com mais algumas correções. Veja o changelog completo e faça o download da ferramenta aqui. E para entender como uma string fica dentro de um binário, recomendamos que assista à aula 4 do nosso CERO – Curso de Engenharia Reversa Online:
  13. A analista de malware polonesa hasherezade atualizou duas de suas ferramentas de engenharia reversa/análise de malware. O PE-Sieve é uma ferramenta que analisa processos, identifica possíveis atividades maliciosas e faz o dump das atividades em questão, tais como Injeção de Processo, Process Hollowing, Hooking, shellcodes, dentre outros patches em memória. Esta ferramenta tem como objetivo ser leve e rodar em um processo de cada vez, mas ainda assim é possível utilizá-la como uma biblioteca e importar suas funções da forma que quiser. Veja as principais atualizações realizadas na PE-Sieve: Novo Parâmetro: /refl permite que você procure por process reflection antes de escanear o processo. Suporta escanear arquivos PE que não possuam seções (packeados com o Crinkler, por exemplo) (Issue #46) Permite que o PE-Sieve seja compilado como uma biblioteca estática. Obter o report sobre os hooks mesmo se o dumping dos módulos falhar. Além das novas funcionalidades também houve a correção de alguns bugs. Veja o change log completo. Já o hollows_hunter é uma ferramenta que utiliza o PE-Sieve como biblioteca para verificar todos os processos em execução e identificar possíveis patches em memória. Enquanto o PE-Sieve foca na análise unitária dos módulos, o hollows_hunter é a melhor solução para escanear todo o sistema. Entre as principais atualizações realizadas nesta ferramenta estão: Escaneia caves em memória. Correção na opção /mignore (utilizada para filtrar quais módulos não serão escaneados pela ferramenta). Acesse o changelog completo. E se você curte análise de malware e quer aprender mais sobre o assunto, está rolando o nosso curso AMO – Análise de Malware Online. Já estamos na Aula 08. Dá uma olhada:
  14. O WhatsApp anunciou que a partir desta segunda-feira, 15 de junho, o recurso de pagamentos está liberado para usuários do Brasil. A ferramenta permite o envio de dinheiro, além de realização de pagamentos no comércio local diretamente por meio de conversas no app. "Com o recurso de pagamentos no WhatsApp, além de ver os produtos no catálogo, os clientes também poderão fazer o pagamento do produto escolhido sem sair do WhatsApp. Ao simplificar o processo de pagamento, esperamos ajudar a trazer mais empresas para a economia digital e gerar mais oportunidades de crescimento", diz o comunicado. A princípio, os usuários poderão utilizar cartões de débito e crédito das bandeiras Visa e Mastercard emitidos pelo Banco do Brasil, Nubank e Sicredi. A entrada de mais participantes está prevista para o futuro. "Um dos pilares da criação do recurso de pagamentos é a segurança, e para evitar transações não autorizadas, será necessário informar um PIN de 6 dígitos ou usar a biometria do celular para autorizar cada transação", informa o WhatsApp. Exemplo do serviço (Fonte: Blog do WhatsApp) Segurança – Será que é seguro iniciar um serviço de envio de dinheiro pelo WhatsApp no Brasil? A engenharia social ainda é um problema que área de segurança deve lidar já que, independentemente de sistemas computacionais, software ou plataformas utilizadas, o elemento mais vulnerável de qualquer sistema é o ser humano. Muitos problemas de crimes ou golpes envolvendo extorsão estão ligados à manipulação psicológica de pessoas para a execução de ações ou divulgação informações confidenciais. Até mesmo em instituições financeiras que utilizam de todas as ferramentas de segurança possíveis, como token, autenticação multifator (2FA), etc., os criminosos conseguem, com engenharia social, pegar dados das vítimas ou extorqui-las para receberem dinheiro. Saiba mais sobre esse tipo de golpe, que já relatamos aqui no Mente Binária e serve como alerta, e veja também como se proteger desses riscos.
  15. A Honda confirmou que um ciberataque paralisou parte de suas operações. No dia 8 de junho, a companhia publicou no Twitter que o atendimento ao cliente enfrentava dificuldades técnicas e estavam indisponíveis. Após divulgar o comunicado, a companhia não atualizou mais o status da operação. De acordo com o TechCrunch, um relatório anterior sugere que o ransomware Snake é o provável causador do problema. O Snake, mantém arquivos reféns de um resgate, que deve ser pago em criptomoeda. Mas a Honda disse não haver evidências que seus dados foram exfiltrados. Apesar de não ter sinalizado se, de fato, a paralisação ocorreu por um ataque de ransomware, um analista de ameaças da empresa de segurança Emsisoft disse ao TechCrunch que uma amostra do malware que criptografa arquivos foi carregada no VirusTotal – serviço de análise de malware – fazendo referência a um subdomínio interno da Honda. O ransomware é uma ameaça perigosa, e seus ataques têm sido cada vez mais sofisticados e comuns. Nesse vídeo, explicamos um pouco sobre como eles funcionam e o que fazer em caso de infecção:
×
×
  • Create New...