NFsec Logo

who is who bez whois

23/04/2022 w Techblog Możliwość komentowania who is who bez whois została wyłączona

D

ane rejestracyjne nazw domenowych, powszechnie nazywane WHOIS są od dziesięcioleci przedmiotem różnych dyskusji w ICANN. Grupy robocze w ICANN pracowały nad skomponowaniem zasad, według których dane powinny być wymagane od rejestrujących nazwy domen, czy dane rejestracji nazw domen powinny być prywatne i jak powinny być dostępne. Niezależnie od rozstrzygnięcia wielu rozmów, szersza społeczność ICANN od dawna zgadza się w jednej kwestii: dane rejestracyjne nazw domenowych powinny być przynajmniej sformatowane w spójny sposób. Rozmowy na ten temat rozpoczęły się już w 2002 roku, ale dopiero od 26 sierpnia 2019 roku rejestry nazw domen i rejestratorzy są zobowiązani do korzystania z RDAP (ang. Registration Data Access Protocol, RDAP) jako protokołu wyjściowego danych rejestracyjnych.
[ czytaj całość… ]

Przypadek phishingu oferujący wizy dla obywateli Ukrainy

28/02/2022 w Ataki Internetowe Możliwość komentowania Przypadek phishingu oferujący wizy dla obywateli Ukrainy została wyłączona

D

zisiaj Pinaki zwrócił uwagę na sposób generowania adresów URL zawartych w phishingu wymierzonego w obywateli Ukrainy, który jako przynęty używał możliwość uzyskania wiz poprzez internet. Linki posiadające poniższy format były przekazywane za pomocą różnych wiadomości e-mail oraz czatach:

https://evisa.mfa.gov.ua:login@%6E%66%73%65%63%2E%70%6C

Szybki rzut oka na ten link nawet płynnie korzystającego z internetu użytkownika może go przekonać, że prowadzi on do portalu logowania serwisu evisa.mfa.gov.ua. Ale tak niestety nie jest. Kliknięcie linku w przeglądarce zaprowadzi nas do domeny: https://nfsec.pl. Dlaczego? Spójrzmy jak wygląda format adresu URL (zgodnie z definicją w RFC 1808, sekcja 2.1):

<schemat>://<nazwa_użytkownika>:<hasło>@<host>:<port>

Jest to dość dobrze znana technika w phishingu, w której domena jest zakodowana szesnastkowo. Jeśli rozłożymy ten format na czynniki pierwsze to otrzymamy:

  • https:// – protokół / schemat
  • evisa.mfa.gov.ua – nazwa użytkownika
  • login – hasło
  • nfsec.pl – docelowa strona internetowa (zakodowana szesnastkowo – to na nią zostaniemy przekierowani)

Dowód koncepcji: https://evisa.mfa.gov.ua:login@%6E%66%73%65%63%2E%70%6C

Najeżdżając kursorem na powyższy link możemy zaobserwować prawdziwy adres URL wyświetlany w lewym dolnym rogu. Zawsze należy pamiętać o tej czynności przed kliknięciem w link.

Więcej informacji: What does netloc mean?, Phishing attempts on Ukraine,

Living Off Trusted Sites – Żyjąc Z Zaufanych Stron

23/11/2021 w Bezpieczeństwo Możliwość komentowania Living Off Trusted Sites – Żyjąc Z Zaufanych Stron została wyłączona

P

rojekt LOTS jest zestawieniem serwisów, które mogą posłużyć w zupełnie innym celu niż zostały stworzone. Obok takich projektów, jak: Living Off The Land Binaries (Żyjąc Z Wbudowanych Binarek) oraz GTFOBins pokazuje, jak można użyć „popularnych” i o „dobrej reputacji” serwisów do przeprowadzenia wybranych ataków przez cyberprzestępców. Mogą one zostać użyte do przeprowadzenia phishingu, hostowania C&C, eksfiltracji danych oraz pobierania własnych, szkodliwych narzędzi z poziomu sieci wewnętrznej w celu uniknięcia wykrycia swojej obecności.

Przykład: Analizując wpisy DNS określonej firmy atakujący zauważył, że aktywnie korzysta ona z ekosystemu usług firmy Microsoft (Office 365). Posiadając tą wiedzę tworzy on kampanię phishingu wymierzoną w tą firmę, a jako link do kliknięcia wykorzystuje usługę OneDrive: https://*.files.1drv.(com|ms). Ze względu na fakt, że pracownicy tej firmy zapewne bardzo często spotykają z tego typu linkami współdzieląc między sobą różnego rodzaju dokumenty i pliki to istnieje większe prawdopodobieństwo, że ktoś kliknie w ten link i pobierze złośliwe oprogramowanie.

Przy pozytywnej infekcji komputera narzędzia umożliwiające dalsze poruszanie się w głąb sieci firmowej w poszukiwaniu poufnych danych lub zasobów o wysokiej wartości (ang. lateral movement) mogą zostać ściągnięte poprzez stworzenie wiadomości e-mail; dodanie skompresowanego, binarnego załącznika, który będzie miał fałszywe rozszerzenie .txt); kliknięcie na załącznik w celu pobrania jego linku (link jest ważny przez 15 minut) i ściągnięcia narzędzia z mało podejrzanego adresu: attachment.outlook.live.net lub attachments.office.net.

Po zdobyciu interesujących artefaktów dane mogą zostać wyprowadzone z firmy poprzez stworzenie webaplikacji w domenie *.azurewebsites.net lub *.cloudapp.azure.com i za pomocą protokołu HTTPS przesyłane do niej POST-porcjami.

Więcej informacji: LOTS Project

ioc2rpz – gdzie wywiad ds. zagrożeń spotyka się z DNS

13/10/2021 w Bezpieczeństwo Możliwość komentowania ioc2rpz – gdzie wywiad ds. zagrożeń spotyka się z DNS została wyłączona

W

zależności od przeczytanego raportu możemy dowiedzieć się, że szkodliwe oprogramowanie (ang. malware) w 8090% przypadków używa systemu DNS (ang. Domain Name System) do prowadzenia swoich kampanii. Z kolei 68% (stan na 2016 rok) organizacji nie monitoruje swoich rekursywnych systemów DNS. Jakiś czas temu pokazałem jak łatwo zaimplementować mechanizm RPZ (ang. Response Policy Zones) w serwerze ISC BIND, aby automatycznie blokować domeny pochodzące z projektu CERT Polska. Co w przypadku, gdybyśmy chcieli mieć więcej takich źródeł?
[ czytaj całość… ]

Wykrywanie i sprawdzanie domen stworzonych dla phishingu

05/05/2021 w Bezpieczeństwo Możliwość komentowania Wykrywanie i sprawdzanie domen stworzonych dla phishingu została wyłączona

P

hishing korzysta z różnych technik przy rejestracji domen: typosquatting, cybersquatting, punycode, bitsquatting, homoglyph oraz homograph – ponieważ przekonująca nazwa domeny ma kluczowe znaczenie dla powodzenia każdego ataku phishingowego. Użytkownicy często popełniają błąd podczas pisania nazw domenowych – staje się to problemem kiedy klienci docierają do witryny naszej firmy, która ich zdaniem jest prawdziwa, a w rzeczywistości jest złośliwą kopią. W najlepszym przypadku tylko dezorientuje użytkownika, a w najgorszym instaluje złośliwe oprogramowanie i powoduje straty finansowe. Dlatego, jeśli jesteśmy odpowiedzialni za utrzymanie i bezpieczeństwo firmowej witryny – możemy wyszukiwać domeny o podobnych nazwach i sprawdzać, czy domeny te nie rozpowszechniają niebezpiecznych treści za pomocą strony (HTTP) lub poczty (SMTP) pod szyldem naszej firmy.
[ czytaj całość… ]

Apache 2.4 – o jeden slash od otwartego przekierowania

20/08/2017 w Bezpieczeństwo Możliwość komentowania Apache 2.4 – o jeden slash od otwartego przekierowania została wyłączona

Bardzo często zdarza się, że dla lepszych wyników SEO stosuje się przekierowanie 301 z subdomeny www na „czystą” domenę np. z www.openredirect.pl na openredirect.pl. W serwerze Apache jednym z sposobów na uzyskanie tego efektu jest wykorzystanie dyrektywy Redirect pochodzącej z modułu alias:
[ czytaj całość… ]

LinkedIn = DataOut ?

18/02/2017 w Pen Test 1 komentarz.

B

ardzo wiele osób zawsze zadaje sobie pytanie: Jak mój adres e-mail znalazł się w bazie spam? Odpowiedź może być prosta: Sam(a) go przekazał(a)eś. Tak. Np. za pomocą portalu LinkedIn. Jak możemy przeczytać na stronie jest to „największa sieć specjalistów, licząca ponad 467 milionów użytkowników w 200 krajach i terytoriach na całym świecie„. Pytanie ilu z tych użytkowników jest pacynkami ze skarpetek do wyciągania danych?
[ czytaj całość… ]

Botnety – zmora lat ostatnich

17/08/2010 w Magazyny Możliwość komentowania Botnety – zmora lat ostatnich została wyłączona

C

hociaż wszyscy mogą dostrzec zewnętrzne okoliczności, nikt oprócz mnie nie powinien rozumieć sposobu, w jaki zwyciężam. Dlatego po osiągnięciu zwycięstwa nie powtarzam tej samej taktyki, lecz w następnej walce odpowiadam na zaistniałe okoliczności. – Sun Tzu
[ czytaj całość… ]

ClamAV, czyli jak to robią małże…

03/04/2010 w Magazyny Możliwość komentowania ClamAV, czyli jak to robią małże… została wyłączona

M

ałże internetowe nastawione na kradzież danych bądź transformację komputera ofiary w maszynkę do robienia pieniędzy, to już dzisiaj standard. Wieloletnia wojna z nimi pokazała, że najlepszą strategią jest bezpośrednia eliminacja zagrożeń na poziomie serwerów pocztowych. Tu z pomocą przychodzi oprogramowanie Open Source, które oferuje gamę rozwiązań do walki ze spamem i przynajmniej jeden program do bezpośredniej walki ze złośliwym oprogramowaniem, który zostanie opisany w tym artykule. Problem zalewu niechcianej poczty dotyczy nas wszystkich, zarówno administratorów systemów, jak i zwykłych użytkowników Internetu, który w ostatnich latach stał się łakomym kąskiem dla szeroko pojętej branży marketingowej oraz wszelkiej maści przestępców, zainteresowanych głównie kilkoma numerami z naszych kart kredytowych. Ataki typu phishing czy robaki.
[ czytaj całość… ]

Malware jak wojna to wojna!

20/03/2010 w Magazyny Możliwość komentowania Malware jak wojna to wojna! została wyłączona

M

alware to potoczne określenie złośliwego oprogramowania (ang. malicious software). Jest ono szeroko rozpowszechnione w Internecie, infekując tysiące komputerów na całym świecie. Wiedza hakerów jest bardzo duża, a współczesne programy typu malware są coraz bardziej zaawansowane.
[ czytaj całość… ]