Bezpieczeństwo

Nowe zagrożenie – analiza trojana H-Worm

Michał Rosiak Michał Rosiak
17 lutego 2017
Nowe zagrożenie – analiza trojana H-Worm

Michał Rosiak

W ostatnich dniach CERT Orange Polska zanotował znaczącą liczbę infekcji w naszej sieci klienckiej, będących efektem jednej odmiany złośliwego oprogramowania. Dlatego też przyjrzeliśmy się dokładnie malware'owi H-Worm, Remote Access Trojanowi, którego dokładną analizę znajdziecie pod tym linkiem. W przypadku zainstalowania daje ono cyberprzestępcy pełną kontrolę nad zainfekowanym komputerem użytkownika, pozwalając m.in. na dostęp do jego plików, a także doinstalowanie dodatkowych złośliwych modułów.

Oczywiście korzystając z sieci Orange Polska jesteście zabezpieczeni przed efektami infekcji (blackholing serwerów C&C), a jeśli korzystacie z Neostrady i zostaliście zainfekowani - poinformuje Was o tym CyberTarcza, możecie też sprawdzić się sami.

Komentarze

pablo_ck
pablo_ck 13:09 17-02-2017

Jak dobrze że jestem w Orange 🙂

Odpowiedz
    emitelek
    emitelek 17:27 17-02-2017

    A co; nie potrafisz sam zabezpieczyć Swoich sprzętów? 😉

    Odpowiedz

Rozrywka

Kochamy naszych przedsiębiorców

Stella Widomska Stella Widomska
16 lutego 2017
Kochamy naszych przedsiębiorców

Wiemy, że nasi klienci biznesowi, jak wszyscy przedsiębiorcy, mają wiele spraw do załatwienia i mało czasu. Wiemy też jak ważna jest sprawna i efektywna obsługa, która pozwala zaoszczędzić czas, tak bardzo potrzebny osobom prowadzącym własną działalność. Aby nasi klienci biznesowi poczuli się wyjątkowo, postawiliśmy na skuteczność, profesjonalizm doradców i szereg przywilejów, takich jak obsługa przez Biznes Eksperta (mamy ich już 230), który zna historię firmy klienta czy możliwość umówienia się na spotkanie na konkretną godzinę. O tym opowiada nasz najnowszy spot który powstał we współpracy z agencją VML. Za produkcję odpowiadało Sputnik Studio, postprodukcję - Miło, spot wyreżyserowała Martyna Iwańska. Kampania jest emitowana wyłącznie w internecie.

Nie wiem jak Wy, ale ja czekam na czerwony dywan. ;-)

Komentarze


Bezpieczeństwo

Zabójcze CV

Michał Rosiak Michał Rosiak
16 lutego 2017
Zabójcze CV

Michał Rosiak

Update: Zanim o CV, kilka zdań w kwestii bieżącego ostrzeżenia. CERT Orange Polska zaobserwował ostatni znaczący wzrost maili phishingowych, udających "nieopłacone faktury", bądź "powiadomienia od kuriera" (w ostatnich dniach UPS). W nic nie klikajcie, bo większość linków prowadzi do ransomware'a! Jeśli nie macie pewności, czy to do Was - zadzwońcie do domniemanego nadawcy.

A teraz na główny temat :) Kiedyś pisało się życiorys, od jakiegoś czasu jest to już (z języka korpolskiego) "SiWi". Liczba aktywnych zawodowo Polaków przekracza 17 milionów, firm na rynku też mamy sporo, dlatego mam wrażenie, że w mailach dziennie krążą przynajmniej dziesiątki tysięcy dokumentów CV. Niektóre w formacie PDF, inne w DOC - te formaty na pewno stanowią większość. A co je łączy? To, że da się w nich schować "niespodziankę" w postaci złośliwego kodu.

Przyznam się Wam szczerze, że nie myślałem o tym wektorze ataku, do momentu, aż nie przeczytałem ciekawej informacji prasowej firmy Barracuda. A przecież jest on (atak, nie samiec barakudy) genialny w swojej prostocie. I co gorsza, nie dla byle jakiego masowego phishingu, tylko dla najgroźniejszej broni dla biznesu, ataków APT (Advanced Persistent Threat, zaawansowane długotrwałe zagrożenie). O ile samo pojęcie APT, którym wielu rzuca na lewo i prawo, mocno się zdewaluowało, tutaj wydaje się pasować idealnie. No bo spójrzcie sami. Firma, którą zainteresowali się przestępcy, poszukuje pracowników. No to co - przyszykujemy CV, żadnej ściemy, z doświadczeniem, zdjęciem ze stocka, nawet numer telefonu można dać, prepaida jakiegoś, a nuż zadzwonią. Nie otworzą? Jasne, że otworzą, jeśli Word/PDF Reader okaże się podatny to robak wpełznie do sieci ofiary i nikt nie będzie niczego świadom! Przecież nie było żadnego phishingu, to było zwykłe CV! I nic się nie wykryło, bo prawdziwy malware ściągnął się dopiero później.

Co potem? Hulaj dusza, piekła nie ma. Można wysłać maile z zainfekowanego konta, można po prostu siedzieć i czekać, analizując przychodzącą i wychodzącą pocztę i albo próbować kolejnych ataków, bądź też - jeśli firma ofiary nie zadbała zbytnio o bezpieczeństwo - przebić się do innych miejsc firmowej sieci. A skoro nikt nic nie będzie wiedział, to dane będą się systematycznie (a raczej niesystematycznie, żeby nikt się nie zorientował) się wysyłać, trafiając albo do konkurencji albo do przestępcy, który bez wątpienia znajdzie na nie chętnych.

Jak sobie z tym poradzić? Z jednej strony zabezpieczeniami technicznymi, instalując regularnie łatki bezpieczeństwa na używane aplikacje; architekturowymi - dając fizyczny dostęp tylko do systemów niezbędnych konkretnej grupie pracowników; i wreszcie ludzkimi - uważamy, co otwieramy, nie klikamy odruchowo, gdy plik Worda spyta się, czy chcemy uruchomić makra, a jeśli mamy wątpliwość co do maila od kolegi/koleżanki - zadzwońmy i upewnijmy się bezpośrednio u domniemanego nadawcy, czy to na pewno on jest autorem.

Komentarze

Scroll to Top