Jump to content

Bruna Chieco

Mente Binária
  • Content Count

    274
  • Joined

  • Last visited

  • Country

    Brazil

Everything posted by Bruna Chieco

  1. Uma pesquisa da empresa de segurança Sophos aponta que 70% das organizações que hospedam dados ou cargas de trabalho na nuvem pública sofreram um incidente de segurança no ano passado. De acordo com o levantamento, organizações com vários serviços de computação e armazenamento em nuvem relataram até duas vezes mais incidentes do que adotantes de plataforma única. Em todo o mundo, 96% das organizações estão preocupadas com o nível atual de segurança em nuvem pública, de acordo com o relatório. A pesquisa foi realizada com 3.521 gerentes de TI em 26 países. As organizações europeias sofreram as menores taxas de ataque de todas as regiões. O estudo aponta ainda que 44% das organizações afirmaram que a perda ou vazamento de dados era uma de suas três principais preocupações de segurança. Já 66% das organizações deixam backdoors abertos por meio de serviços em nuvem mal configurados. Contudo, apenas uma em cada quatro organizações vê a falta de conhecimento da equipe como a principal preocupação. A Sophos observa que a atual situação das empresas refletem uma falta de higiene cibernética abrangente, o que resulta em fragilidades nas configurações de segurança da nuvem e deixa as organizações vulneráveis a ataques.
  2. Pesquisadores alertam que o grupo de ameaças Keeper lançará ataques cada vez mais sofisticados contra comerciantes on-line em todo o mundo nos próximos meses. O grupo, lançado há três anos, já comprometeu mais de 570 sites de e-commerce em 55 países, segundo o ThreatPost, incluindo lojas de bebidas on-line e revendedores de produtos da Apple. O grupo Keeper é uma facção do guarda-chuva Magecart e consiste em uma rede interconectada de 64 domínios atacantes e 73 domínios de exfiltração. Pesquisadores descobriram recentemente um registro de acesso não seguro no painel de controle do Keeper, que abrigava 184 mil cartões de pagamento comprometidos, com carimbos de data e hora, variando de julho de 2018 a abril de 2019. Com base nesses dados, o grupo provavelmente gerou mais de US$ 7 milhões de dólares com a venda de pagamentos comprometidos cartões, diz pesquisa recente da Gemini Advisory. Os atacantes do Keeper invadem o back-end de lojas on-line, alterando seu código-fonte e inserindo scripts maliciosos que registram os detalhes do cartão de pagamento preenchidos pelos compradores nos formulários de pagamento. Os domínios de exfiltração do Keeper usam painéis de login idênticos e estão todos vinculados ao mesmo servidor, que hospeda tanto a carga maliciosa quanto os dados roubados dos sites das vítimas. Os pesquisadores alertaram ainda que o Keeper parece estar atualizando continuamente suas táticas e técnicas para evitar a detecção. Por exemplo, um dos ataques iniciais lançados em abril de 2017 contra um varejista utilizou métodos de ofuscação públicos, o que simplificou a decodificação. A partir de 2018, no entanto, os ciberatacantes começaram a usar métodos personalizados de ofuscação.
  3. Um grupo de phishing, recentemente descoberto por pesquisadores de segurança cibernética da Agari, tem como alvo grandes empresas em todo o mundo. Segundo o ZDNet, a campanha mira organizações em 46 países, reunindo informações aprofundadas sobre seus alvos antes de aplicar os golpes. Os pesquisadores chamaram a campanha de Cosmic Lynx. Os ataques de comprometimento de email comercial (BEC) podem atingir empresas fazendo com que centenas de milhões de dólares por mês sejam perdidos após as vítimas serem enganadas no envio de dinheiro para contas pertencentes a criminosos. A campanha atua ainda com duas cadeias de e-mails falsos enviados às vítimas abordando temas atuais, incluindo a pandemia do novo coronavírus (COVID-19). O principal alvo das campanhas são pessoas com o cargo de vice-presidente, gerente geral ou diretor-gerente, e o ataque começa com um e-mail falsificado que parece vir do CEO da empresa visada. Em quase todos os casos, os e-mails iniciais detalham uma suposta aquisição de uma empresa asiática que não deve ser discutida com mais ninguém. As mensagens são bem escritas e completas, com termos comerciais e financeiros usados no contexto apropriado. Os pesquisadores dizem ainda que a infraestrutura por trás da operação de e-mail está ligada às campanhas Trickbot e Emotet. Contudo, o Cosmic Lynx demonstrou a capacidade de desenvolver ataques muito mais complexos e criativos que os diferencia de outros ataques BEC mais genéricos. Eles acreditam que o grupo atua há pelo menos um ano, e não é possível dizer quantas organizações foram vítimas dos ataques ou quanto dinheiro os criminosos fizeram, mas a campanha ainda está ativa.
  4. A Intel lançou um conjunto de referência de instruções para funcionalidades futuras que estão sendo adicionadas em sua próxima geração de processadores. O manual Intel Architecture Instruction Set Extensions and Future Features Programming Reference é direcionado a programadores e antecipa o lançamento dos novos processadores. O destaque vai para o conjunto de instruções para o Advanced Matrix Extensions (AMX). O Intel AMX Instruction Set é um novo paradigma de programação de 64 bits que consiste em dois componentes: um conjunto de registros bidimensionais representando sub-matrizes de uma imagem de memória bidimensional maior; e um acelerador capaz de operar em blocos. Acesse o manual completo aqui.
  5. O Twitter baniu a conta de um grupo que supostamente vazou registro de 200 departamentos policiais. Segundo o The Verge, o grupo chamado Distributed Denial of Secrets (DDoSecrets) publicou recentemente quase 270 gigabytes de dados sob o título "BlueLeaks". O Twitter também adicionou uma página de aviso que aparece caso um usuário clique em um link existente direcionando ao conjunto de dados, alertando que o conteúdo foi identificado como "potencialmente prejudicial". O vazamento ocorreu após uma brecha na Netsential, uma empresa de desenvolvimento web que trabalhava com agências governamentais. O Twitter disse ao The Verge que o DDoSecrets violou as regras contra a publicação de materiais invadidos e foi suspenso permanentemente da rede. De acordo com um relatório obtido por Brian Krebs, o conjunto de dados do BlueLeaks continha algumas "informações altamente confidenciais", e-mails e outros materiais de departamentos de polícia de vários países. Aparentemente, os dados foram fornecidos por um suposto membro do Anonymous e, antes de divulgar, o DDoSecrets alega ter removido cerca de 50 gigabytes de dados, incluindo detalhes sobre vítimas de crimes e informações sobre saúde.
  6. Após mais de um ano desde sua última atualização, saiu o hashcat 6.0.0 no último dia 16 de junho. A ferramenta de recuperação de senhas é de código aberto e contou com 1,8 mil commits desde o último lançamento (5.1.0). A nova versão vem com melhorias de desempenho (muito importante para uma ferramenta de quebra de hashes, né?), novos recursos e documentação detalhadas para usuários e desenvolvedores. Entre as principais funcionalidades da versão 6.0.0 estão: Nova interface para plug-ins - para modos de hash modulares Nova API para computação back-end - para adicionar APIs diferentes da OpenCL Inclusão do CUDA como uma nova API de computação back-end Guia abrangente para desenvolvedores de plug-ins Modo de emulação de GPU - para usar o código do kernel no host Melhor gerenciamento de memória de GPU e threads Tuning automático aprimorado com base nos recursos disponíveis Como se não bastasse, foi adicionado suporte a 51 novos algoritmos, incluindo os utilizados por ferramentas como Telegram e DiskCrypt. Já são 320 hashes suportados pelo hashcat! Acesse o changelog completo aqui. 😉
  7. O Google removeu 25 aplicativos Android da Google Play Store. Segundo o ZDNet, os apps foram pegos roubando credenciais do Facebook. Antes de serem retirados a loja, os aplicativos foram baixados mais de 2,34 milhões de vezes. Os aplicativos maliciosos foram desenvolvidos pelo mesmo grupo de cibercriminosos e, apesar de oferecerem recursos diferentes, todos funcionavam da mesma maneira. De acordo com um relatório da empresa francesa de cibersegurança Evina compartilhado com o ZDNet, os apps se apresentaram como contadores de passos, editores de imagem, editores de vídeo, aplicativos de papel de parede, aplicativos de lanterna, gerenciadores de arquivos e jogos para celular. Apesar de funcionalidade legítima, eles continham um código malicioso que, segundo os pesquisadores da Evina, detecta que o usuário abriu recentemente e possuía em primeiro plano. Se o aplicativo em primeiro plano do usuário fosse o Facebook, o app malicioso colocaria uma janela do navegador da Web em cima do aplicativo oficial do Facebook e carregaria uma página de login falsa da rede social. A lista completa de 25 aplicativos, seus nomes e o ID do pacote estão listados no site do ZDNet.
  8. Linus Torvalds lançou o primeiro release candidate (uma versão pronta, com grandes chances de se tornar um lançamento) do Linux kernel 5.8 há duas semanas. Durante a janela de mesclagem de duas semanas para o próximo Linux kernel 5.8, ele recebeu um dos maiores números de contribuições, segundo o FossBytes. Com a versão 5.8-rc1, o Linux 5.8 possui 14.000 commits, 800.000 novas linhas de código e 14.000 mudanças em arquivos de código-fonte (cerca de 20% de todos os arquivos fonte na estrutura do kernel). A v5.8 inclui ainda limpezas de código, documentação e muito trabalho de desenvolvimento nos sistemas de arquivos. Além disso, há melhorias no suporte ao processador, novo suporte de hardware, aprimoramento de segurança e avanço do driver gráfico Intel/Radeon de código aberto. Veja as principais alterações feitas durante a janela de mesclagem do kernel 5.8 do Linux: Melhoria no driver gráfico AMD Radeon Otimizações do SELinux Fila geral de notificação Atualizações de gerenciamento de energia Suporte melhorado aos teclados da Apple (teclas Fn e Ctrl). Suporte para Intel Tiger Lake Thunderbolt Suporte do acelerador Habana Labs Gaudi Várias melhorias no sistema de arquivos Btrfs Limpeza e correção do sistema de arquivos EXT4 e exFAT Suporte inicial a processadores POWER10 Veja mais atualizações no blog Phoronix. Falando em Linux, já viu nossas dicas de shell? Esse vídeo é a primeira parte de uma sequência de dicas para trabalhar melhor no shell do Linux – com foco em Bash:
  9. O Ministério Público do Rio Grande do Sul cumpriu, na última quinta-feira, 25 de junho, 13 mandados de busca e apreensão para desarticular uma organização criminosa que burlou esquema de segurança digital de banco. A Operação Criptoshow apurou que os criminosos desviaram R$ 35 milhões de uma grande indústria e da bolsa de valores, fazendo lavagem de dinheiro com bitcoins. Os mandados estão sendo cumpridos na região metropolitana de Porto Alegre. Segundo apurado na investigação, nos dias 15 e 16 de abril foram desviados R$ 30 milhões da conta bancária de uma grande indústria por meio de 11 transferências eletrônicas. As TEDs foram feitas para seis empresas, localizadas em Porto Alegre, Cachoeirinha, São Paulo e Porto Velho. Conforme a investigação realizada pela Promotoria de Justiça Especializada Criminal e parceiros, o dinheiro foi desviado com auxílio de uma técnica sofisticada realizada por uma empresa com sede em Cachoeirinha, correntista do mesmo banco. Inicialmente, os criminosos tinham acesso normal à conta bancária, pelo Internet Banking. Eles programaram 11 transferências bancárias para seis destinatários, também pessoas jurídicas. Ao final da operação, por meio de uma manipulação fraudulenta da codificação do canal do Internet Banking, a conta indicada ao sistema para a efetuação do débito de R$ 30 milhões não foi a logada inicialmente, mas sim a conta da grande indústria. O promotor responsável pela investigação destaca que a fraude funcionou como se uma conta bancária corporativa tivesse invadido outra conta similar para emitir ordem de débito ao banco em favor de terceiros. Uma empresa de Porto Alegre recebeu o maior montante do furto, R$ 14 milhões. Três empresas sediadas no estado de Rondônia receberam juntas outros R$ 14 milhões. Além disso, uma empresa de São Paulo obteve R$ 1 milhão, mesmo valor recebido pela empresa de Cachoeirinha, que efetuou o desvio. O texto do MPRS ainda conta que uma nova operação de lavagem de capitais foi revelada durante as investigações. O vídeo abaixo também explica um pouco mais sobre como foi realizada a fraude:
  10. Dois meses após o Centro Nacional de Segurança Cibernética (NCSC) lançar o Suspicious Email Reporting Service (Serviço de Denúncia de E-mail Suspeito), 1 milhão de alertas sobre phishing foram recebidos. Segundo o NCSC, falsas iscas de investimento em criptomoeda representam mais da metade de todos os golpes on-line detectados como resultado de denúncias do público. O serviço, lançado como parte da campanha Cyber Aware do governo do Reino Unido, recebeu uma resposta maciça do público, com uma média diária de 16,5 mil e-mails, agora alcançando a marca de 1 milhão. O influxo de golpes de investimento em criptomoeda está entre uma série de ameaças on-line que foram bloqueadas como resultado dos e-mails suspeitos sendo relatados pelo público em apenas dois meses, diz o NCSC. Embora os golpes de criptomoeda tenham sido os principais detectados, também houve vários exemplos de falsas lojas on-line envolvendo algumas marcas. "Mesmo que seja certo celebrarmos o alcance desse marco, é importante que todos permaneçam em guarda e encaminhe todos os e-mails que não parecem adequados para report@phishing.gov.uk", disse o CEO da NCSC, Ciaran Martin, em comunicado. Para usar o serviço, as pessoas são solicitadas a encaminhar os e-mails suspeitos e, se for encontrado um link para conteúdo malicioso, ele será retirado ou bloqueado, ajudando a evitar futuras vítimas de crime. Os números mais recentes mostram que 10% dos golpes foram removidos dentro de uma hora após a notificação de um e-mail, e 40% foram derrubados dentro de um dia após a denúncia. Além disso, 10,2 mil URLs maliciosas vinculadas a 3.485 sites individuais foram removidos graças aos alertas recebidos.
  11. A Microsoft lançou esta semana o Safe Documents (Documentos Seguros), um novo recurso do Microsoft 365 Apps que visa manter usuários corporativos seguros, verificando arquivos não confiáveis destinados a eles. O recurso aprimora a experiência já existente com o Protected View (Modo de Exibição Protegido). O Protected View ajuda a proteger documentos originados fora da organização, mas as pessoas frequentemente saem da área da empresa, restrita à proteção, sem considerar se o documento é seguro, o que deixa as organizações vulneráveis. Com a ampliação do home office, a Microsoft decidiu melhorar essa experiência. O Safe Documents elimina as suposições do usuários sobre a segurança de uma arquivo, verificando automaticamente o documento com relação aos mais recentes riscos e perfis de ameaças conhecidos antes de permitir que os usuários saiam da área do Protected View. O recurso aproveita ainda o poder do Microsoft Intelligent Security Graph para a área de trabalho. Quando um administrador habilita o Safe Documents, os arquivos não confiáveis abertos no Protected View passam por um fluxo adicional no qual o documento é carregado e verificado pelo Microsoft Defender ATP. Enquanto uma verificação estiver em andamento, os usuários não podem sair do Protected View, mas conseguem acessar e ler o documento durante esse processo, sem fazer nenhuma edição até que a digitalização seja concluída. Caso um arquivo malicioso seja detectado, os usuários serão impedidos de deixar o Protected View. Apenas os administradores podem configurar se os usuários devem ignorar o alerta e "ativar edição" para casos de documentos maliciosos.
  12. O GEF é um plugin para o GDB (GNU Debugger) que adiciona vários comandos úteis para debugar binários x86/64, ARM, MIPS, PowerPC e SPARC. O objetivo é dar suporte na análise de malware e engenharia reversa utilizando o GDB. Ele ainda provê funcionalidades adicionais através da API em Pythonpara auxiliar durante o processo de análise dinâmica e desenvolvimento de exploits. Os desenvolvedores também se beneficiam do GEF para eliminar grande parte da obscuridade regular do GDB, evitando a repetição de comandos tradicionais ou trazendo as informações relevantes do tempo de execução da depuração. Na última versão (2020.06 - Incomparable Evil), foram feitas as seguintes atualizações: Suporte ao head safe linking na glibc 2.32. O comando pcustom agora suporta estruturas (structs) recursivas. O plugin para o Binary Ninga (gef-ninja) foi reescrito e agora está também disponível na Binary Ninja Plugin Store. Também foram feitas correções. Veja o changelog completo. E se quiser saber mais, já tivemos um debate no nosso fórum sobre técnicas para depuração com GDB e binário stripped. Dá uma olhada que tem bastante informação por lá:
  13. Durante a edição 2020 de sua Worldwide Developers Conference (WWDC), a Apple anunciou novos recursos de privacidade e segurança para usuários de iOS e macOS. A conferência foi realizada de maneira totalmente virtual, e segundo o ZDNet, o tema deste ano foi o aprimoramento da privacidade do usuário, com foco especial no setor de publicidade on-line. Este ano, a Apple anunciou alguns recursos que tornarão mais difícil para os anunciantes on-line rastrearem usuários, além de outras funcionalidades relacionadas à maior privacidade: Novos avisos de divulgação de privacidade de aplicativos. Permissões para rastreamento em aplicativos. Localização do proxy. Novo indicador de câmera e microfone. Novo botão de privacidade em Safari. Segundo a Apple, o novo sistema de interface do usuário deixará visível aos usuários que tipo de dados cada aplicativo coleta sobre eles. Além disso, agora os apps também precisam divulgar com precisão os dados que eles usam para rastrear usuários na Internet. A Apple disse que os aplicativos de rastreamento precisam solicitar uma permissão especial dos usuários daqui para frente. Haverá ainda a possibilidade de diminuir o compartilhamento de local. A partir do final deste ano, os usuários poderão compartilhar "localização do proxy" em vez de coordenadas precisas. A Apple também adicionou um novo recurso para combater aplicativos que acessam secretamente a câmera e o microfone de um dispositivo iOS. No Mac, o Safari deve receber uma atualização com um botão "Privacidade" na barra de ferramentas que, semelhante aos recursos anti-rastreamento já presentes no Chrome, Firefox e Edge, mostrará aos usuários informações sobre todos os scripts do rastreador carregados/bloqueados nos sites visitados.
  14. A Light, companhia de energia elétrica do Rio de Janeiro, informou que sofreu um ataque cibernético esta semana. Segundo comunicado da empresa, uma ação imediata ocorreu para conter o ataque, mas informações da Veja Rio dizem que os atacantes pedem um resgate de US$ 7 milhões para liberar os dados criptografados da companhia. Os ciberatacantes provavelmente invadiram o sistema da Light e infectaram o computador com um ransomware, criptografando todos os arquivos do sistema da empresa. A companhia, contudo, não confirmou as informações. "Estamos trabalhando de forma intensiva na resposta ao incidente", diz a Light no Twitter. Já demos aqui inúmeras notícias sobre esse tipo de ataque, que tem crescido cada vez mais ao redor do mundo, se tornando sofisticados e exigindo grande volume de resgates. Dá uma olhada na variedade de conteúdos que já abordamos com esse tema, entre casos, maneiras de se proteger e até análise de alguns ransomwares.
  15. Um hub criado em 2017 pelo Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido tem como objetivo ampliar o número e a diversidade de alunos que cursam diferentes níveis de ciência da computação. O Cyber Schools Hub piloto iniciou efetivamente em fevereiro de 2018 e, quase três anos depois, as escolas participantes do hub mostraram um aumento de 43% no número de estudantes que cursaram GCSE Computer Science. Em uma escola, um Cyber Club semanal começou com 20 alunos homens e agora se expandiu para mais de 70 participantes, sendo 60% deles mulheres. Além disso, no ano passado em uma das escolas 16% dos alunos de um determinado nível (Sixth Form) estudaram segurança cibernética ou ciência da computação na universidade. Essa se tornou, inclusive, a opção de curso preferida entre os alunos. Agora, o NCSC pretende encontrar uma maneira de replicar esse sucesso em outras regiões do Reino Unido, precisando contar com o apoio de outros players do setor, do governo ou acadêmicos. Os aprendizados adquiridos com o projeto piloto foram incorporados ao programa CyberFirst, que oferece cursos e competições gratuitos para milhares de estudantes em todo o Reino Unido, além de centenas de bolsas de graduação e estágios. O CyberFirst é um programa já estabelecido e conta com o apoio de mais de 130 organizações.
  16. Se você analisa malware, certamente já buscou pelas strings de texto dentro dos binários, pois elas podem dar indícios de onde o malware se conecta, podem conter os caminhos e nomes de arquivos que criam, etc. À parte de ferramentas como o comando strings e o pestr (do nosso toolkit do pev), gostaria de te convidar pra conhecer mais uma! O FLOSS (FireEye Labs Obfuscated String Solver) é um extrator de texto feito especialmente para extrair strings ofuscadas de arquivos suspeitos e samples de malware. O solucionador de strings do FireEye Labs usa técnicas avançadas de análise estática para tal. O software é livre, gratuito e multiplataforma, rodando em Windows, Linux e macOS. No dia 10 de junho de 2020, o FireEye Labs divulgou a versão 2020 Twizzler, que contém algumas correções e adiciona funcionalidades, como: Scripts para o IDA e o Binary Ninja, fazendo com que eles trabalhem juntos. Opção para configurar o máximo de instruções que você quer emular. Saída em JSON (JavaScript Object Notation). No mesmo dia, eles ainda liberaram a versão 1.6.1 com mais algumas correções. Veja o changelog completo e faça o download da ferramenta aqui. E para entender como uma string fica dentro de um binário, recomendamos que assista à aula 4 do nosso CERO – Curso de Engenharia Reversa Online:
  17. A analista de malware polonesa hasherezade atualizou duas de suas ferramentas de engenharia reversa/análise de malware. O PE-Sieve é uma ferramenta que analisa processos, identifica possíveis atividades maliciosas e faz o dump das atividades em questão, tais como Injeção de Processo, Process Hollowing, Hooking, shellcodes, dentre outros patches em memória. Esta ferramenta tem como objetivo ser leve e rodar em um processo de cada vez, mas ainda assim é possível utilizá-la como uma biblioteca e importar suas funções da forma que quiser. Veja as principais atualizações realizadas na PE-Sieve: Novo Parâmetro: /refl permite que você procure por process reflection antes de escanear o processo. Suporta escanear arquivos PE que não possuam seções (packeados com o Crinkler, por exemplo) (Issue #46) Permite que o PE-Sieve seja compilado como uma biblioteca estática. Obter o report sobre os hooks mesmo se o dumping dos módulos falhar. Além das novas funcionalidades também houve a correção de alguns bugs. Veja o change log completo. Já o hollows_hunter é uma ferramenta que utiliza o PE-Sieve como biblioteca para verificar todos os processos em execução e identificar possíveis patches em memória. Enquanto o PE-Sieve foca na análise unitária dos módulos, o hollows_hunter é a melhor solução para escanear todo o sistema. Entre as principais atualizações realizadas nesta ferramenta estão: Escaneia caves em memória. Correção na opção /mignore (utilizada para filtrar quais módulos não serão escaneados pela ferramenta). Acesse o changelog completo. E se você curte análise de malware e quer aprender mais sobre o assunto, está rolando o nosso curso AMO – Análise de Malware Online. Já estamos na Aula 08. Dá uma olhada:
  18. O WhatsApp anunciou que a partir desta segunda-feira, 15 de junho, o recurso de pagamentos está liberado para usuários do Brasil. A ferramenta permite o envio de dinheiro, além de realização de pagamentos no comércio local diretamente por meio de conversas no app. "Com o recurso de pagamentos no WhatsApp, além de ver os produtos no catálogo, os clientes também poderão fazer o pagamento do produto escolhido sem sair do WhatsApp. Ao simplificar o processo de pagamento, esperamos ajudar a trazer mais empresas para a economia digital e gerar mais oportunidades de crescimento", diz o comunicado. A princípio, os usuários poderão utilizar cartões de débito e crédito das bandeiras Visa e Mastercard emitidos pelo Banco do Brasil, Nubank e Sicredi. A entrada de mais participantes está prevista para o futuro. "Um dos pilares da criação do recurso de pagamentos é a segurança, e para evitar transações não autorizadas, será necessário informar um PIN de 6 dígitos ou usar a biometria do celular para autorizar cada transação", informa o WhatsApp. Exemplo do serviço (Fonte: Blog do WhatsApp) Segurança – Será que é seguro iniciar um serviço de envio de dinheiro pelo WhatsApp no Brasil? A engenharia social ainda é um problema que área de segurança deve lidar já que, independentemente de sistemas computacionais, software ou plataformas utilizadas, o elemento mais vulnerável de qualquer sistema é o ser humano. Muitos problemas de crimes ou golpes envolvendo extorsão estão ligados à manipulação psicológica de pessoas para a execução de ações ou divulgação informações confidenciais. Até mesmo em instituições financeiras que utilizam de todas as ferramentas de segurança possíveis, como token, autenticação multifator (2FA), etc., os criminosos conseguem, com engenharia social, pegar dados das vítimas ou extorqui-las para receberem dinheiro. Saiba mais sobre esse tipo de golpe, que já relatamos aqui no Mente Binária e serve como alerta, e veja também como se proteger desses riscos.
  19. A Honda confirmou que um ciberataque paralisou parte de suas operações. No dia 8 de junho, a companhia publicou no Twitter que o atendimento ao cliente enfrentava dificuldades técnicas e estavam indisponíveis. Após divulgar o comunicado, a companhia não atualizou mais o status da operação. De acordo com o TechCrunch, um relatório anterior sugere que o ransomware Snake é o provável causador do problema. O Snake, mantém arquivos reféns de um resgate, que deve ser pago em criptomoeda. Mas a Honda disse não haver evidências que seus dados foram exfiltrados. Apesar de não ter sinalizado se, de fato, a paralisação ocorreu por um ataque de ransomware, um analista de ameaças da empresa de segurança Emsisoft disse ao TechCrunch que uma amostra do malware que criptografa arquivos foi carregada no VirusTotal – serviço de análise de malware – fazendo referência a um subdomínio interno da Honda. O ransomware é uma ameaça perigosa, e seus ataques têm sido cada vez mais sofisticados e comuns. Nesse vídeo, explicamos um pouco sobre como eles funcionam e o que fazer em caso de infecção:
  20. A pandemia do novo coronavírus (COVID-19) gerou um impacto negativo sobre muitas empresas. Para se resguardar e se manter de pé, algumas acabaram demitindo parte de seus funcionários, impactando, assim, o mercado de trabalho. Por outro lado, há alguns profissionais serão cada vez mais requisitados, especialmente na área de tecnologia, e um deles é o profissional de cibersegurança. Segundo essa reportagem do InfoMoney, que conversou com especialistas em recrutamento e seleção, em recursos humanos e na área de educação, cibersegurança está entre as 10 profissões que vêm ganhando destaque, seguida pelo profissional de customer experience e pelo especialista em nuvem, ambos atuando também na área de tecnologia. Na verdade, a área já estava em alta antes da crise, e agora ainda mais, já que a necessidade da segurança em tecnologia se tornou um fato principalmente após a migração de processos das empresas para o home office. A segurança dos dados das companhias é um assunto que tende a ser ainda mais abordado também com o advento da Lei Geral de Proteção de Dados (LGPD). Ou seja, tudo converge para uma necessidade de mais profissionais de cibersegurança capacitados para atender a essa demanda! Se você gostaria de atuar nessa área, mas acredita que ainda não tem conhecimento o suficiente, pode começar a pensar em se especializar mesmo durante essa fase de isolamento social. Sabemos da dificuldade em encontrar cursos para a área de segurança, que tem bastante nuances. Há materiais disponíveis por aí, mas nem tantos em língua portuguesa e de qualidade. Nós, do Mente Binária, tentamos suprir esse gap entre as necessidades da área e o ensino brasileiro por meio de treinamentos gratuitos. Também estamos constantemente produzindo conteúdo por meio de artigos e notícias. Temos ainda um livro sobre Engenharia Reversa para quem quer adentrar nesse universo. E aí vai uma dica: Se ainda assim você não sabe nem por onde começar, e quer muito aproveitar esses dias de distanciamento social para se especializar, esse vídeo dá dicas sobre algumas coisas que são necessárias para sentar na cadeira e começar a estudar, de maneira efetiva:
  21. Depois de 15 anos, foi lançada uma nova versão do txt2regex, um assistente de expressão regular para a linha de comando. Com ele, é possível criar expressões regulares, com pouco ou nenhum conhecimento, respondendo a perguntas em uma interface interativa simples, baseada em texto. O txt2regex é um único script de shell feito 100% com comandos internos do bash. O único requisito é o próprio bash, pois nenhum comando como grep, find, sed ou qualquer outro do sistema é usado. A versão 0.9, lançada em 21 de maio, traz, dentre outras, as seguintes novidades: Adicionado suporte a expressões regulares CHICKEN Novo testador de expressões regulares que roda os programas em um container Docker. Usando expressão regulares especialmente escritas para o testador, ele verifica como os programas se comportam na "vida real". Isso remove a necessidade de testes manuais ou de ter que ler a documentação do programa sobre expressões regulares. Veja o change log completo. O autor do txt2regex é Aurelio Jargas. Além de criar o programa ele também é escritor, e lançou um dos melhores livros sobre regex encontrados em língua portuguesa: Expressões Regulares - Uma abordagem divertida. E você também pode assistir ao vídeo sobre grep, publicado pelo Mente Binária, e entender um pouco mais sobre o assunto:
  22. Uma variante do malware Tekya foi descoberta pela Trend Micro e continua atacando aplicativos do Google Play. A primeira versão do malware foi encontrada pela CheckPoint em março, e era utilizada para realizar fraudes em anúncios. Desde então, esses aplicativos foram removidos da loja, mas cinco apps maliciosos carregam a variante recentemente descoberta. Os aplicativos já foram removidos, mas a variante do Tekya compartilha muitas semelhanças com a versão encontrada anteriormente. Uma das semelhanças é que a criptografia permanece essencialmente idêntica; os mesmos algoritmos e chaves são usados nas duas versões, diz a Trend Micro. Mas nessa variante, o malware registra um receptor que responde às ações "com.tenjin.RECEIVE" ou "android.intent.action.BOOT_COMPLETED". A última ação dá ao malware a capacidade de ativar após a inicialização do dispositivo. Código de criptografia da nova versão do Tekya. (Fonte: Trend Micro) O Tekya teria como alvo até 11 redes de publicidade, incluindo Admob, Facebook e Unity. Os anúncios dessas redes seriam exibidos e os movimentos de toque do usuário copiados pelo InputManager. Assim, o Tekya tenta convencer as vítimas que esses anúncios foram abertos por outros aplicativos, alterando seu ícone e rótulo. Vários desses aplicativos no Google Play estavam infectados, mas o Google os removeu enquanto a pesquisa da Trend Micro estava em andamento. A companhia de segurança continua procurando ameaças semelhantes que possam surgir por aí. Veja a análise completa do malware, em inglês, aqui.
  23. Pesquisadores de segurança encontraram uma vulnerabilidade que afeta quase todas as versões do Android. Segundo o TechCrunch, a falha é chamada StrandHogg 2.0 (CVE-2020-0096) e permite que malwares imitem aplicativos legítimos para roubar senhas e outros dados confidenciais. De acordo com a empresa de segurança Promon, o StrandHogg 2.0 funciona enganando a vítima, que pensa estar inserindo suas senhas em um aplicativo legítimo. A falha também permite o roubo de outras permissões de aplicativos para extrair dados confidenciais do usuário, como contatos, fotos, além de rastrear a localização em tempo real da vítima. Quando uma vítima digita sua senha na sobreposição falsa, suas senhas são desviadas para os servidores do cibercriminoso. O StrandHogg 2.0 não precisa de permissões do Android para ser executado. O bug é "quase indetectável", segundo depoimento de Tom Tech Lysemose Hansen, fundador e diretor de tecnologia da Promon, ao TechCrunch, mas não há evidências de que cibercriminosos o tenham em campanhas ativas. Ainda assim, "não há boas maneiras" de detectar um ataque. O Google lançou um boletim com correções da vulnerabilidade classificada como crítica. Além disso, o Google Play Protect, um serviço de triagem de aplicativos embutido em dispositivos Android, passou a bloquear os aplicativos que exploram a vulnerabilidade StrandHogg 2.0. Atualizar os dispositivos Android com as mais recentes atualizações de segurança corrige a vulnerabilidade.
  24. No último dia 31 de maio, foi lançada a v2.13.0b3 do HexFiend, um editor hexadecimal para macOS. O programa de código aberto permite: Inserir, deletar e rearranjar bites nos arquivos, trabalhando arquivos de vários tamanhos. Ele possui uma capacidade de diferenciação de binários, mostrando a diferença entre arquivos, levando em consideração inserções e deleções. Basta abrir dois arquivos e ir no menu File > Compare. Ele ainda interpreta dados como inteiros ou pontos flutuantes, com ou sem sinal, big ou little endian. Dá suporte à templates, dando visualização de estruturas de arquivos com suporte a scripting. Mais detalhes na documentação do projeto. O que mudou no HexFiend? Entre as principais mudanças da versão v2.13.0b3 estão: Adicionada a preferência para controlar um agrupamento de bytes quando copiando dados como hexadecimal. Adicionado suporte a encodings personalizados de 2 bytes. Adicionados comandos para ler dados de data e hora de sistemas de arquivos FAT (File Allocation Table). Melhorias no destaque em cores dos bytes para o "Dark Mode" do macOS. Veja o change log completo e faça o download neste link. Se você quiser entender para que serve um editor hexadecimal, pode assistir ao vídeo sobre Visualizadores Hexadecimais no nosso canal:
  25. No último sábado, 30 de maio, foi realizada a terceira versão da MBConf@Home. A conferência on-line, promovida pelo Mente Binária, foi criada para disseminar conteúdo sobre segurança da informação durante o período de isolamento social causado pela pandemia do novo coronavírus (COVID-19). Fernando Mercês abriu o evento destacando que o objetivo desse projeto é suprir o gap entre a educação oferecida na área e as necessidades de profissionais qualificados o mercado tem. "Notamos que a universidade, os estudos, a educação não são o suficiente para a área de segurança, que tem bastante nuances. E a gente tenta suprir", disse. "A MBConf@Home surgiu durante a quarentena, pois deveríamos ter eventos na área no primeiro semestre, e felizmente tivemos outros também", complementou Mercês. O MBConf@Home v3 levou quatro palestrantes do setor para falar sobre suas experiências em decodificação e exploração de malwares. É possível assistir a todo o evento através do canal do Mente Binária no Youtube. Aqui, a gente traz um resumo do que rolou. Decodificando malwares web: uma história de dor e sofrimento Fio Cavallari, que é Threat Research Manager na GoDaddy, abriu a grade de palestras falando sobre desofuscação de malware web. Fio "cutuca" malware desde 2003, e é focado em web malware desde 2012. Segundo ele, PHP e JavaScript dominam a Internet. "Você sempre vai ver malware escrito em PHP e em JavaScript. Isso porque eles têm uma linguagem muito simples. A diferença entre o código vulnerável e o malicioso é a intenção", disse. Ele deu um exemplo de um código malicioso que foi, de fato, detectado em PHP e explicou ainda como funciona a ofuscação do código, com objetivo de confundir, tirando a atenção de quem não é familiarizado com o código. "Ao limpar, é possível verificar a intenção do código. Mas para confundir, dá para incluir, por exemplo, strings em base64". Ele demonstrou como é possível usar técnicas para evitar uma detecção por um antivírus, por exemplo. Ele destrinchou um código ofuscado em PHP e mostrou como identificar se um código é ou não malicioso. "Trabalhar com strings, inclusive usando base64, é importante para identificar pontos comuns entre malware e código válido, mas mesmo assim, a chance de gerar um falso positivo é grande", disse Cavallari. Ele ainda ensinou técnicas de desofuscação a partir de ferramentas como Sucuri decoder; ddecode; unphp.net, entre outras. Fio deixou ainda um desafio para quem quiser tentar uma vaga no time de pesquisa de vulnerabilidades e malware da GoDaddy: http://x.co/mbconf2020 Técnicas de ofuscação de malware em Windows Seguindo a mesma linha da primeira palestra, Thiago Marques, que é Security Researcher no Kaspersky Lab, demonstrou as técnicas que criadores de malware têm utilizado para ofuscar seus códigos no Windows. Thiago compartilhou um conteúdo completo em um post de 2016 publicado no sercurelist.com. "As técnicas utilizadas continuam a funcionar da mesma forma, basta saber como realizar a análise para poder aplicá-la em vários cenário", disse. Ele fez ao vivo uma desofuscação de malware para Windows (x86) utilizando o IDA. Segundo Thiago, antigamente, era possível analisar um malware com um funcionamento dentro das strings, e hoje é difícil encontrar um malware que nao tenha algum tipo de ofuscação, seja de string ou de código, e a criação de scripts faz você criar ferramentas que ajudam em análises futuras. "É um tempo que você gasta, mas aquilo vai te servir por muito tempo. É quase uma obrigatoriedade a criação de scripts para que poder seguir com a análise". Na conclusão, Thiago reiterou que desenvolvedores de malware sempre irão buscar novas formas para dificultar a análise. Ele alertou ainda que o uso de detecções de ambiente muitas vezes atrapalham a análise dinâmica. "A criação de scripts e ferramentas são praticamente obrigatórios em muitos casos", destacou. Análise de malware automatizada em larga escala com Aleph Para falar do projeto Aleph, que envolve threat hunting com big data e análise de malware automatizada, foi convidado o pesquisador de segurança Jan Seidl. O projeto do Aleph começou em 2010, quando ainda era um monte de script em bash, e a ideia foi sempre a mesma: ter um pipeline onde se coloca um malware numa ponta e a análise sai na outra. "A premissa do Aleph é automatizar o processo inicial de triagem de um arquivo", explicou Jan. Segundo ele, para quem não trabalha com análise de malware diariamente, a ferramenta pode ajudar. "Venho de um background de programação, era um desenvolvedor sênior, e muitos conceitos estavam na minha cabeça. Como profissional de segurança, segui desenvolvendo ferramentas para o meu trabalho e para os meus colegas", disse. "A motivação da criação do Aleph foi baixar o nível requerido de conhecimento técnico para pesquisadores ingressarem no mundo da engenharia reversa", complementou A nova versão do Aleph segue o estilo batteries included, com inteligência sobre a informação incluída no relatório. "O Aleph nunca substitui o pesquisador, mas economiza tempo na análise de arquivos suspeitos por times, principalmente com um arquivo desconhecido", reiterou Jan. O Aleph era um bash script monolítico, e a segunda versão foi criada para ser multiprocesso, escalada. Ele usa o Celery como base e é feito em Python para usar aplicação distribuída. Jan mostrou ainda um screenshot da parte do código onde é possível configurar filas. O Aleph é ainda multiplataforma, podendo ser usado de maneira que rode ferramentas em cada um dos sistemas operacionais. Segundo Jan, o Aleph teve também que ser reconstruído para ser mais modular. "Ele é uma grande experimentação ao longo de anos, e nem tudo está decidido sobre as tecnologias utilizadas. Cada um dos componentes tem uma interface falando e linguagem de orientação". É também possível escolher a tecnologia que mais agrada ao pesquisador. O Aleph é distribuído e escalável, e faz o data science em cima do malware. "Ainda faltam testes, acertos no código, debug em geral, colocar mais gerenciamento de login, mais sistemas de usuário, fazer correção na própria interface, mais analisadores, etc. Tem muita ideia para o futuro", complementou. Modern Windows Exploitation - A Tale of a CVE Bruno Oliveira, mestre em engenharia de computação e Principal Security Consultant no SpiderLabs da Trustwave, encerrou o ciclo de palestras abordando o CVE-2020-0796 e fazendo a análise técnica da vulnerabilidade do SMBv3. Ele também revisou o patch, identificado os bugs relacionados no código e caracterizando os desafios da exploração. Bruno mostrou a análise do patch para observar características que facilitem a compreensão da vulnerabilidade, identificou a vulnerabilidade, construiu uma prova de conceito para que se tenha um efeito desejado sobre o sistema, partindo para exploração. Ele contou como explorou o CVE-2020-0796. "Identificamos que qualquer usuário da Microsoft poderia explorar o servidor SMBv3", disse. "A primeira coisa foi comparar os drivers responsáveis, a versão vulnerável com a patcheada". Após conhecer o binário responsável pelo servidor, Bruno viu que é possível descompactar o patch, pegar um arquivo com versão vulnerável, e fazer a comparação. Ele mostrou ainda que a primeira PoC (Proof of Concept ou Prova de Conceito) que surgiu demonstrou onde exatamente ficava a vulnerabilidade. "Quis trazer a metodologia usada para a análise de 1-day vulnerability, como baixar o patch e olhar qual das funções foram corrigidas, e o que, dentro da função, foi corrigido, além do que parece ser a vulnerabilidade e todo o aspecto e metodologia trazida, desde a análise até olhar o protocolo do caso", explicou, "Tudo demanda conhecimento específico sobre o que você está explorando", complementou. Se quiser tirar dúvidas com os palestrantes, basta entrar no fórum do Mente Binária e fazer seus comentários sobre cada palestra. Lá você também pode votar nos assuntos da próxima! 🙂
×
×
  • Create New...