Chat & Support

КиберВойны, КиберДиверсии и КиберТеррор

Третья Мировая Война
Диктатура США vs МногоПолярного мира
Борьба США за абсолютное мировое господство
Сводки с фронтов геополитического противостояния
Аватара пользователя
Изумрудный Йожыг
Сообщения: 18
Зарегистрирован: 2017-05-12 11:24:33

КиберВойны, КиберДиверсии и КиберТеррор

Непрочитанное сообщение Изумрудный Йожыг » 2017-05-13 13:55:52

2017-02 криптер WCry v1.0 был опробован в действии.

2017-05-12 активирован WCry v2.0. Он использует SMB-эксплоит АНБ из инструментария,
опубликованного ранее хакерской группой The Shadow Brokers.

>300`000 компьютеров в >150 странах подверглись кибератаке
WannaCry (он же WCry, Wana Decrypt0r, WannaCrypt0r, WannaCrypt).
Общий ущерб = $1 млрд.

По всему миру зафиксировано 302 факта уплаты выкупа,
в результате чего хакеры смогли заработать $116`000.

КриптоВымогатель WannaCry использует дыру в защите Windows,
заплатка на которую была сделана в марте 2017.

Карта атаки в реальном времени (по клику)

Изображение

КриптоВымогатель WannaCry

1. по TCP сканирует port=445 (Server Message Block/SMB)

 КриптоВымогатель WannaCry использует IP

.

2.3.69.209:9001

38.229.72.16
50.7.161.218:9001
79.172.193.32
81.30.158.223
89.45.235.21

128.31.0.39
146.0.32.144:9001
188.138.33.220
188.166.23.127:443
193.23.244.244:443

212.47.232.237
213.61.66.116
217.79.179.77

.



2. клонирует себя на вскрытые сервера,

3. блокирует интерфейс сервера,

4. криптует найденные на нём файлы.

 Типы файлов шифруемых КриптоВымогателем WannaCry

.

.3ds, .3dm,
.accdb, .arc, .asm, .asp, .asf, .avi,
.backup, .bak, .bat, .bmp,
.class, .cmd, .cpp, .crt, .csr, .csv,
.dbf, .der, .dif, .dotm, .dot, .docm, .docx, .doc, .dwg,
.fla, .flv,
.gif,
.iso,
.jsp, .java, .jar, .jpg, .jpeg,
.key,
.ldf,
.m3u, .m4u, .max, .mdb, .mdf, .mid, .mov, .mp3, .mp4, .mpeg, .mpg, .mkv, .msg,
.odb, .odp, .ods, .odt,
.p12, .pas, .pem, .pdf, .pfx, .php, .psd, .png, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt,
.rar, .raw, .rtf,
.slk, .stc, .stw, .svg, .sxc, .sxd, .sxw, .swf, .sch, .std, .sxm, .sqlite3, .sqlitedb, .sql, .sldm, .sldx, .sti, .sxi,
.tar, .tgz, .tiff, .tif, .txt,
.vbs, .vob, .vmdk, .vdi,
.wav, .wb2, .wma, .wmv, .wk1, .wks,
.xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls,
.zip,

.



5. отображает на дисплей условие дешифровки: сроки, суммы в БитКоинах, адрес оплаты.

Изображение

Услуга дешифровки стоит $300 в течение 3 дней в биткоинах.
С 4-го дня цена удваивается - $600
На 7-й день все файлы будут уничтожены.

GitHub.com

Аватара пользователя
Изумрудный Йожыг
Сообщения: 18
Зарегистрирован: 2017-05-12 11:24:33

Распространение КриптоВымогателя WannaCry приостановлено покупкой домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Непрочитанное сообщение Изумрудный Йожыг » 2017-05-13 20:51:06

Распространение КриптоВымогателя WannaCry приостановлено,
специалистом по кибербезопасности, известным в твиттере как @MalwareTechBlog.
Он с помощью коллеги Дариена Хусса обнаружил,
что КриптоВымогатель WannaCry обращается с запросом по незарегистрированному адресу
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Доменный адрес был куплен им за $10,69 и превращен в BlackholeDNS,
после чего на доменное имя стало поступать тысячи запросов ежесекундно.

Отклик на GET-запрос к домену:

Изображение

определяет дальнейшие действия КриптоВымогателя WannaCry:
продолжить распространение либо остановиться.

 Алгоритм работы КриптоВымогателя WannaCry

.

01.
mssecsvc.exe запускает tasksche.exe.

02.

Проверяет домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,
после чего создает службу mssecsvc2.0.

03.

Служба mssecsvc2.0 исполняет файл mssecsvc.exe с иной точкой входа,
нежели во время первого запуска.

2-й запуск берёт IP-адрес зараженной машины
и пытается подключиться к порту 445 TCP каждого IP-адреса внутри подсети.

04.

По факту успешного подключается к удаленной машине,
устанавливает соединение и передаёт данные.
Передача данных проходит успешно если не было применено обновление MS 17-010.

05.

tasksche.exe проверяет все диски, внешние накопители,
включая доступные по сети каталоги.

06.

На них ищет файлы с расширениями согласно списка

07.
tasksche.exe криптует найденные файлы используя RSA 2048-bit.

08.

Параллельно с шифровкой файлов, создаёт каталог /Tor,
в него пишет:
/Tor/tor.exe + 9 файлов *.dll.

08-1

Создаёт: taskdl.exe и taskse.exe.

08-2

taskdl.exe с помощью WMIC.exe, vssadmin.exe и cmd.exe
удаляет все временные файлы, рабочие копии и фрагменты файлов использованные при шифровании,
тем самым снижая шансы на самостоятельное восстановление файлов.

08-3

taskse.exe - запускает @wanadecryptor@.exe,
который создаёт окно с требованием об оплате
на 28 языках - в каждой стране на своем.

Изображение

@wanadecryptor@.exe :
Ваши файлы были зашифрованы.
Ваши документы, фотографии, видео, базы данных и прочие файлы больше недоступны,
потому что были зашифрованы.
Наверное, вы пытаетесь найти способ вернуть ваши файлы, но не тратьте время напрасно.
Этого не может сделать никто, кроме нашей шифровальной службы


09.
@wanadecryptor@.exe запускает
/Tor/tor.exe

Новый процесс начинает соединение с узлами Tor.
Таким образом WannaCry сохраняет анонимность,
проводя весь свой трафик через сеть Tor.


.


Аватара пользователя
Изумрудный Йожыг
Сообщения: 18
Зарегистрирован: 2017-05-12 11:24:33

Re: Распространение КриптоВымогателя WannaCry приостановлено покупкой домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.c

Непрочитанное сообщение Изумрудный Йожыг » 2017-05-14 23:44:46

Изумрудный Йожыг :Распространение КриптоВымогателя WannaCry приостановлено


2017-05-15 выйдет версия вымогателя пропатченная на домен

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com :
sinkhole.tech - where the bots party hard and the researchers harder.


Аватара пользователя
Изумрудный Йожыг
Сообщения: 18
Зарегистрирован: 2017-05-12 11:24:33

Защита от КриптоВымогателя WannaCry

Непрочитанное сообщение Изумрудный Йожыг » 2017-05-15 12:40:13

1.
Поскольку заплатка MicroSoft опубликовал в марте 2017, по итогам атаки 2017-02,
то первым делом надо обновить Windows
и убедиться в установке обновления MS17-010.


2.
Заблокировать входящий трафик по протоколу SMB на порты 139 и 445.


3.
Поскольку КриптоВымогатель WannaCry живой и адаптируется
работать в инете через другие системы Linux, MAC и т.п.


 Признак заражения КриптоВымогателем WannaCry- появление файлов

.

2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d taskse.exe

402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c r.wnry
4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 taskdl.exe

97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6 t.wnry

b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 u.wnry
d5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa b.wnry
e18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b s.wnry

.



Аватара пользователя
Изумрудный Йожыг
Сообщения: 18
Зарегистрирован: 2017-05-12 11:24:33

Вирус Petya.A

Непрочитанное сообщение Изумрудный Йожыг » 2017-06-27 20:35:00

На поле виртуального боя вышел вирус Petya.A.
Блокирует компьютеры и вежливо предлагает
оплатить услугу дешифровки файлов: $300 на счёт Bitcoin.

Изображение

 Описание работы вируса Petya версии 2016-04 от Malwarebytes Labs

.

Вирус Petya распространялся как письмо с резюме сотрудника.
HR-специалист получает фальшивое письмо со ссылкой на DropBox,
по которой якобы можно перейти и скачать резюме.
Вот только файл по ссылке является не безобидным текстовым документом,
а самораспаковывающимся архивом с расширением .EXE.

По клику на него открывалась Windows-программа,
требовавшая прав администратора.

Если невнимательный пользователь соглашался,
то программа-установщик показывает «синий экран смерти»:
сообщение о сбое, предлагающее перезагрузить компьютер.

На этой стадии, как пишут исследователи, жесткий диск еще не зашифрован,
и данные можно спасти — например, если выключить компьютер
и подключить жесткий диск к другому, но не загружаться с него.
В этой ситуации все данные можно будет скопировать.

После перезагрузки Petya запускает программу, маскирующуюся под утилиту CHKDSK.
На самом деле она не проверяет жесткий диск на предмет ошибок, а шифрует его,
причем, как установили исследователи из Malwarebytes Labs, не целиком, а лишь частично.

В «Лаборатории Касперского» в конце марта 2016 года утверждали,
что метод шифрования, применяемый в Petya,
позволяет с помощью специалистов восстановить все данные.

После завершения шифрования MFT (главную таблицу файлов) блокирует систему.
Компьютер показывает красный экран с сообщением
«Вы стали жертвой вируса-вымогателя Petya» и предложением заплатить 300 долларов в биткоинах.
Подробная инструкция, как купить необходимую сумму в биткоинах
и как ее перечислить, содержалась на сайте в «дарквебе».

С начала 2016 года Petya неоднократно видоизменялся.
Существуют версии с желтым оформлением экрана с требованием выкупа,
существуют и такие, где название вируса не указывается.

.



Современная версия Petya, зараженным пользователям
предлагается написать на указанный почтовый адрес
и в обмен на доказательство перечисления средств
получить код для расшифровки жесткого диска.

Petya, перехватывает управление компьютером на самом раннем этапе загрузки.
Она написана высококвалифированными программистами.

Судя по масштабу заражения, вирус доработан и имеет более сложную систему распространения.

На данный момент на указанный счёт поступило более $2300.

Наиболее сильно от вируса Petya.A пострадала Украина.
Среди пострадавших — ЗапорожьеОблЭнерго, ДнепроЭнерго, Киевский метрополитен, Украинские мобильные операторы КиевСтар, LifeCell, УкрТелеКом, магазин Ашан, ПриватБанк, аэропорт Борисполь и другие организации и структуры.


Наиболее простой метод защиты от Petya и аналогичных вирусов-вымогателей
не кликать вложения в письмах от незнакомых людей.

Аватара пользователя
Изумрудный Йожыг
Сообщения: 18
Зарегистрирован: 2017-05-12 11:24:33

C:\windows\perfc.dll ReadOnly - защита от вируса Petya.A компании Symantec.

Непрочитанное сообщение Изумрудный Йожыг » 2017-07-01 00:10:51

1.
Создай пустой текстовый файл.
C:\windows\perfc. (без расширения) или
C:\windows\perfc.dll

2.
Сделай файл доступным только для чтения.

Обнаружив этот файл, Petya.A делает вывод,
что попал на уже обработанный им компьютер и прекращает работу.

Изображение

Security Response

Аватара пользователя
Изумрудный Йожыг
Сообщения: 18
Зарегистрирован: 2017-05-12 11:24:33

2018-04-06. Всемирная атака на оборудование Cisco. Уязвимость CVE-2018-0171 по шкале CVSS=9,8 балла.

Непрочитанное сообщение Изумрудный Йожыг » 2018-04-07 12:50:59

Под ударом провайдеры по всему миру.
Оборудование Cisco использует большинство провайдеров.

 Список уязвимого оборудования Cisco

.

Catalyst 4500 Supervisor Engines
Catalyst 3850 Series
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2960 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs

.



Уязвимость позволяет хакерам получать к нему удалённый доступ
благодаря технологии Smart Install, которая позволяет
автоматизировать процесс первоначальной настройки конфигурации
и загрузки актуального образа операционной системы
для нового сетевого коммутатора.

Компания Cisco сообщала в 2017-02 о проблеме всплеска сканирований,
в попытке обнаружить незащищенные устройства,
на которых активирована Smart Install.
Информировала, что хакерские группировки
могут использовать Smart Install
для получения копий конфигураций затронутых устройств клиентов.
Сообщалось, что злоумышленники используют
инструмент Smart Install Exploitation Tool (SIET).
с открытым исходным кодом для сканирования в поиске уязвимых систем.

Он работает для неаутентифицированных RCE-атак.

Уязвимость получила идентификатор CVE-2018-0171
и набрала по шкале CVSS 9,8 балла.

После чего Cisco опубликовала патч, решающий проблему,
но он установлен далеко не на все устройства.
Компания назвала проблему критической.

В мире, минимум 8,5 миллионов устройств, уязвимых для подобных атак.

В России о проблемах сообщили провайдеры:
в Королёве, в Железногорске, , провайдер Imaqlic,
московский оператор Скайнет, RiNet, МГТС, Акадо.
Хостинг RuWeb,
сайты изданий:
Фонтанка,
47news,
Комсомольской правды,
московский театр Современник.

Бот сканирует адреса провайдеров и устройств
по всему миру в поисках уязвимости.
Если он обнаруживает дыру,
то стирает конфигурацию и оставляет «послание»
в виде американского флага.

Изображение

Cisco обратилась с новым заявлением

Cisco :
Cisco в курсе значительного роста числа попыток сканирования
в поисках уязвимых устройств с активированной Smart Install.

В результате успешной атаки
злоумышленник может изменить файл конфигурации,
принудительно перезагрузить устройство,
загрузить на устройство новое изображение IOS,
выполнить команды CLI с высокими правами.

Инструкции для администраторов
по отключению протокола на уязвимых устройствах.



и предоставила инструмент для сканирования сетей
для поиска уязвимых устройств.


В атаках подозревают группировки:
Dragonfly,
Crouching Yeti,
Energetic Bear.

Рекомендовано установить обновление
или отключить в настройках устройства технологию SMI,
предназначенную для автоматизации начальной настройки
и загрузки прошивки для новых коммутаторов.

Проблема связана с тем, что многие владельцы не настраивают
или не отключают протокол SMI,
и клиент продолжает ожидать команд «установки/настройки» в фоновом режиме.

Воспользовавшись уязвимостью,
злоумышленник может модифицировать настройки TFTP-сервера
и извлечь конфигурационные файлы через протокол TFTP,
изменить общий конфигурационный файл коммутатора,
заменить образ ОС IOS,
создать локальные учетные записи
и предоставить возможность атакующим
авторизоваться на устройстве и выполнить любые команды.

Для эксплуатации уязвимости атакующему
нужно обратиться к TCP-порту 4786, который открыт по умолчанию.

Проблема может использоваться и в качестве DoS-атаки,
уводя уязвимые устройства в бесконечный цикл перезагрузок.

В настоящее время в Сети доступно 168 тысяч коммутаторов с поддержкой SMI.
В общей сложности в Интернете обнаружено
более 8,5 миллионов устройств с открытым портом 4786,
и заплатки, устраняющие критическую уязвимость,
не установлены примерно на 250 000 из них.


Вернуться в «WW3»