Malvertising - šta čuči u reklami ?

Korisnici Interneta svakodnevno su izloženi novim pretnjama. To ne znači da je Internet opasno mjesto,  (mada može da bude), već da treba podizati svijest o pretnjama i opasnostima.

Najnovija se zove “Malvertajzing” ( eng. malvertising) , i prisutna je u svakodnevnom korišćenju Interneta. Radi se o naizgled reklamnom oglasu, koji je zapravo kontrolisan od kriminalnih grupa i koji ima potencijal da inficira personalne ili kompanijske računare.

To može biti oglas na bilo kom sajtu - često baš na onima koje posjećujete kao dio vašeg svakodnevnog korišćenja Interneta. Da  je ovo rastući problem dokazano je i u nedavnom izvještaju američkog Senata gdje je uspostavljeno i specijalno tijelo pod nazivom  Trust In Ads za kontrolu reklama na Internetu.

Dok je  tehnologija koja se koristi u pozadini veoma napredna, način na koji se predstavlja potencijalnoj žrtvi je jednostavan.  Na prvi pogled,  oglas izgleda isto kao i svaki drugi, ali je postavljen od strane kriminalaca. Bez vašeg znanja mali dio koda sakriven  duboko u oglas čini da vaš računar uspostavi vezu sa udaljenim  serverima. Tamo zatim prikupljaju detalje o vašem računaru i vrše analizu, prije nego što odaberu  koji dio malvera da vam se pošalje. Za to ne treba novi prozor pretraživača i vi nećete ništa znati o tim akcijama u pozadini.

Prvi znak se najčešće pojavi  kada je malver već instaliran i počinju pretnje, traži se novac za uklanjanje virusa, lažne forme za unos  broja računa, kartice i slično.

Danas je uobičajena praksa da preduzeća prepuste reklamiranje na sajtovima trećoj strani, specijalizovanim agencijama. Tu su i firme koje preprodaju prostor  i obezbjeđuju softver koji omogućava ljudima da postave svoje vlastite reklame, što je najčešće istaknuto  kao ponuda za malu sumu novca ili licitaciju sa desne strane,  gdje najviše upada u oči.

Ovo često predstavlja slabu tačku, i sajber kriminalci imaju brojne pametne načine za ubacivanje svoje zlonamjerne reklame u ovoj self-service platformi.  Jednom postavljeno, sve što treba da urade je da podese cijenu oglašavanja i  da se takmiče sa legitimnim oglašivačima, i tako puste malver uživo.

Ljudi su danas sve više  svjesni  i prepoznaju pojave na Internetu  koje izgledaju "pogrešno",  bilo da se radi o nekom čudnom linku, neobičnom zahtjevu  da preuzmete neke  programe ili poruke na ( obično društvenim i multimedijalnim) sajtovima,  melodije za alarm zvona na telefonu itd.  

Stvarna opasnost od malvertajzinga  je upravo u tome što  korisnikovo rasuđivanje ovdje nema nikakvog uticaja. Naprosto, ne morate da kliknete ništa, da posjetite nikakav sajt, da pratite bilo kakav link.

Umjesto toga, idete na sajt u koji  imate povjerenja (vijesti koje redovno čitate ili slično), a desi se tajno  injektiranje malicioznog  softvera na vaš računar. To znači da se infekcija može desiti i  samo od pregleda jutarnjih  naslova ili posjete profilu na društvenim mrežama.

Lično sam dva puta imala slučaj ovakve vrste infekcije,oba puta na sajtovima informativnih portala i oba puta se radilo o pretraživačkim programima  koji se postave kao home-page u sve pretraživače, u trenutku, bez klika na bilo šta. Zato je jako važno znati koji je difoltni pretraživač, i odmah reagovati ako se u prozoru pojavi nešto drugo.

U mom slučaju to su bili DeltaHomes i  iStartSurf virusi, nije ih uklanjao antivirus program, i morala sam ručno da ih uklanjam iz setovanja pretraživača, iz registara , prečica, startap fajlova …

Postoji još nekoliko nekoliko stvari koje ljudi mogu da urade kako bi se smanjio rizik da budu zaraženi od strane malvertajzinga:

-  podsjetnici na pretraživačima da se ažuriraju, Flash, Java itd…  Nemojte ih ignorisati!

-  pokrenuti neki od specijalizovanih programa  (ja koristim MalwarebytesAnti-Exploit)

-  programi koji blokiraju reklame takođe mogu da mogu da pomognu

Bezbjedno surfovanje!

Predlog za čitanje: LINK

Životni ciklus APT napada

Jedna od najčešće pominjanih pretnji za bezbjednost informacija unutar organizacije su takozvani APT (eng. Advanced Persistent Threat), za sada bez dobrog prevoda, uglavnom radi se o napadu koji nije momentalan već predstavlja perzistentnu pretnju za informacioni sistem. O tome sam već pisala prošle godine ovdje, ali budući da se radi o važnoj temi, ovaj put ću obraditi anatomiju jednog ovakvog napada.

APT su dizajnirani da pristupe mreži, prikupljaju podatke i tajno „posmatraju“ targetirani sistem u dužem vremenskom periodu. Karakteristično je da su ovakvi napadi usmjereni upravo protiv specifičnih državnih, obavještajnih i finansijskih organizacija, odnosno tamo gdje se radi sa puno ličnih i finansijskih podataka. Kradu se podaci od vrednosti kao što su intelektualna imovina, elektronski novac, personalni podaci.

Termin „Advanced“  označava sofisticirane tehnike koje koriste malvere i poznate ranjivosti da pristupe unutar sistema. „Persistent“ znači da postoji proces ili komanda unutar sistema, koji u kontinuitetu monitorišu i prikupljaju podatke sa specifične lokacije. Pretnja, odnosno „Threat“  je indikator prisustva ljudskog faktora u organizaciji samog napada. 

U osnovi, APT je napad na mrežu. Autorizovana osoba (ili neko ko sebi na neki način ostvari autorizovan pristup)  obezbijedi da komad malicioznog koda pristupi mreži i ostane tu dok ne otvori „zadnja vrata“ ( eng.back door), kroz koji se dozvoli pristup napadaču, prikupe se potrebni podaci i napusti se sistem. Sve ovo govori da APT može ostati neprimjećen – dok se ne uoči počinjena šteta, kad je već kasno.

Na primjer, u 2006. prijavljen je jedan APT napad, dok je u 2014 bilo preko 50 prijavljenih, utvrđenih i dokumentovanih APT (izvor: APTnotes.) Ova vrsta napada se razvija i postaje sve više i više sofisticirana, u smislu da se teško ili nikako otkriva putem tradicionalnih mjera bezbjednosti. Štaviše, savremeni APT napadi su karakteristični i po tome da po inicijalnom prikupljanju podataka ne napuštaju nužno napadnuti sistem, već ponekad tu ostaju konstantno prateći aktivnosti, i istovremeno mijenjajući svoj kod, čineći se težim za pronalaženje ( obfuskacija, Polimorfizam)

Mnogi APT napadi dizajnirani su tako da koriste takozvane „ZeroDay“ ranjivosti . Najpoznatiji takav napad u 2014. Je bio onaj koji je oskoristio ranjivost Internet Explorera (CVE-2014-1776), koja se sastoji od phishing e-pošte poslate na ciljane grupe ljudi iz sektora odbrane,  energetike i istraživačkih univerziteta. Ta phishing e-pošta sadrži link koji vodi do zlonamernih sajtova koji hostuju zero-day zlonamjerni kod.

Oni su poslali veliki broj poruka širem skupu ciljeva, pokušavajući da zaraze što više krajnjih tačaka prije nego što zakrpa bude objavljena.  Napadači su  takođe svakodnevno obnavljali  šablon i teme mejla da zadrže kampanju "svježom" i  izbjegnu detekciju od strane spam pravila formiranog na bazi prethodnih poruka.

FireEye uvodi pojam „kill chain“ , koji postaje opšteprihvaćen za opisivanje životnog ciklusa APT napada.

Očigledno je da se radi o lancu brižljivo planiranih i izučenih koraka, koji uključuju izradu skice infrastrukture organizacije targetiranog  sistema, pripremu zlonamjernih programa, napade socijalnim inženjeringom i načine neotkrivenog prikupljanja podataka. Lanac se može posmatrati kao niz koraka:

1.       Izbor cilja

Napadač analizira potencijalne mete, i prikuplja se što je više moguće podataka o njihovim poslovima i informacijama koje imaju. Koristi se socijalni inženjering, društvene mreže, sajtovi, kontakt sa zaposlenima …

2.       Prikupljanje informacija

Nakon što se odredi meta, prikupljaju se informacije o konkretnoj infrastrukturi žrtve, da bi se odredio način pristupa i organizacija budućih koraka

3.       Tačka ulaska

Na osnovu podataka prikupljenih o sistemu, kao i primjenjenim mjerama zaštiote, napadač istražuje način kako da „uđe“ u sistem. Obično je to iskorištavanje neke ranjivosti sistema, najčešće pretraživača, ili samog MS Office paketa.

4.       Postavljanje malvera na targetiranu mašinu

Nakon što je iskorištena ranjivost, i maliciozni kod našao put do targetirane mašine,  on se koristi da otvori „back doors“ za ozbiljniji program, koji će omogućiti daljinsko upravljanje, eskalaciju privilegija i prikupljanje podataka.

5.       Eskalacija privilegija

Napadač najprije definiše privilegovani pristup, a onda ta prava ukrade( Keylogger, ARP spoofing i slični alati )i dodijeli inače neprivilegovanom korisniku koji će u ovom slučaju, ne znajući, raditi za njega.

6.       „Command and Control “ komunikacija

Ovo je zapravo komunikacija između pravog napadača, i korisnika računara koji, ne znajući, izvršava maliciozne radnje. Ovo je zapravo metodologija rada bilo koje botnet mreže

7.       Bočno kretanje kroz mrežu

Osim što prikuplja podatke sa jednog mjesta, napadač takođe vrši radnje skrivanja, postavlja nove maliciozne instance u mreži, pravi nove botove, premješta se, čime povećava polje djelovanja, i istovremeno smanjuje vjerovatnoću da bude otkriven.

8.       Otkrivanje interesantnih lokacija na opremi

Razne vrste skeniranja portova i analiza mrežnog saobraćaja koriste se u otkrivanju interesantnih lokacija u mreži sa kojih se mogu prikupljati podaci.

9.       Prikupljanje  podataka

Ovo je ključni proces za napadača, trenutak kad se iz mreže žrtve iznose ukradeni podaci. Obično se prije prenosa prikupljeni podaci arhiviraju, kompresuju i enkriptuju .  Za sve ovo na mašinu žrtve se postavljaju alati (najčešće opet  kao dio koda u legalne procese), kao i alati koji obezbjeđuju  da se iznošenje podataka ne odrazi kao primjetno povećanje saobraćaja.

10.   Sakrivanje tragova

Nakon što je prikupio podatke, napadač uklanja sve dokaze svog prisustva na sistemu koji bi ga kasnije mogli optužiti, kad se ukradeni podaci iskoriste za pridobijanje koristi.

Načini za korišćenje ukradenih podataka su obično:

-          Prodaja podataka

-          Ucjena pretnjom da će se podaci objaviti

-          Zahtijevanje otkupnine od vlasnika podataka

Targetirani APT napadi uglavnom prolaze neopaženi  pored tradicionalnih bezbjednosnih  kontrola.  Najčešće ni zaposleni u oblasti bezbjednosti ne povjeruju kad im se saopšti da su napadnuti.  Tajna uspjeha APT napada je u njihovoj sporosti i dobrom planiranju. Tačka na koju se jedino može uticati da se oni spriječe je upravo svjesnost zaposlenih da ne budu iskorišteni u socijalnom inženjeringu kao ona tačka u kojoj će se „otvoriti vrata“ zlonamjernom softveru.

Odbrana od APT može se sprovoditi pažljivom detekcijom i analizom „u dubinu“.  U analizi mreže i eventualnom pronalaženju malvera može pomoći intenzivno praćenje mreže putem savremenih rješenja za rano otkrivanje malvera na osnovu posmatranja ponašanja u mreži i specifičnih indikatora da je neki malver instaliran na neku mašinu u mreži. Logovanje na SIEM je važno zbog obezbjeđivanja forenzičkih dokaza.

Više o anatomiji APT napada u:

http://resources.infosecinstitute.com/anatomy-of-an-apt-attack-step-by-step-approach/

Šta je ransomware ?

Ransomware (eng.) je zlonamjerni kod, malver napravljen za krađu podataka, koji iskorišćava ranjivosti Internet  pretraživača ( eng. browser), na način da napadač enkriptuje podatke žrtve, i zatim traži novac za ključ za dekripciju.

Ransomware se širi preko mejl priloga (attachments), inficiranih programa i kompromitovanih sajtova. Ransomware zlonamjerni kod je poznat i pod nazivima kriptovirus, kriptotrojan i kriptocrv.

Napadači koriste nekoliko različitih načina da izvuku novac od žrtava:

-          Nakon što žrtva otkrije da ne može da otvori fajl , prima mejl sa zahtjevom za otkup u kom će se tražiti relativno mala suma novca (oko 10e) u zamjenu za privatni ključ za enkripciju. Napadač upozorava da će, ukoliko se novac ne pošalje u zadanom vremenskom periodu, privatni ključ biti uništen, a podaci zauvijek izgubljeni

-          Žrtva je prevarena da vjeruje da je predmet istrage policije . Nakon što je obaviještena da je na njenom računaru pronađen softver bez dozvole ili nezakonit sadržaj, žrtvi se daju instrukcije kako da  plati kaznu .

-          Zlonamjerni kod krišom šifrira podatke žrtve ali ne čini ništa drugo . U ovom pristupu , otmičar podataka predviđa da će žrtva tražiti na Internetu način  kako da riješi problem i postavlja programe za čišćenje od ransomware softvera na legitimne sajtove, ali za prodaju, i tako zarađuje novac.

Da bi se zaštitili od otmice podataka, jedan od načina je redovan bekap podataka. Ako dođe do napada ne plaćati otkup . Umjesto toga , obrišite disk i vratite čiste podatake iz bekapa.

Prethodnih dana, u susjednoj Hrvatskoj je primjećena povećana aktivnost ransomware softvera (a odnosi se na čitav region, jer Internet ne poznaje granice, a naša država još nema formiran CERT pa su nam korisna upozorenja iz okruženja).

Nacionalni CERT Hrvatske je došao do saznanja da se poznati kripto ransomware širi preko web portala. Do potencijalne infekcije može doći klikom miša na reklamu (banner) koja se nalazi na web stranici portala. Postoje naznake da se moguće zaraziti se i samo posjetom web stranici portala, bez klika na reklamu. Kao što je već poznato, radi se o malveru koji po izvršavanju šifrira sadržaj na računaru (uključujući i eksterne i mrežne diskove) nakon čega napadači ucjenjuju žrtvu da otkupi ključ kojim ga je moguće dešifrovati.

Hrvatski CERT korisnike savjetuje da u slučaju zaraze, ne plaćaju otkupninu. Preporučuje se takođe redovno ažuriranje operativnog sistema, web pretraživača te Adobe Flash i Java softvera.

Na ovom LINKU  je dostupan besplatni specijalizovani alat koji može otkriti prisutnost kriptovirusa na računaru i blokirati ga.

7 trikova socijalnog inženjeringa na koje treba obratiti pažnju

1.     „Pronađena“ USB Fleš memorija

Ljudi vole besplatne stvari. Zato se obraduju kad na parkingu ili ulici pronađu nešto što izgleda lepo, deluje skupo i ima upotrebnu vrednost. USB fleš memorije mogu biti tako dizajnirane, da su naprosto neodoljive. Upravo zato, jedna od vrlo uspešnih  od metoda socijalnog inženjeringa je „slučajno“ ostavljanje USB fleša sa malicioznim softverom na parkingu preduzeća koje želi da se napadne. Nakon što zaposleni pokupi savršeno dizajniranu modernu „flešku“, velika verovatnoća je da će se ista vrlo brzo naći priključena na kompanijski kompjuter.

Poznat je slučaj kad je u holu velike firme ostavljena korpica sa 30 (zaraženih) fleševa na kojoj je pisalo „FREE“ . U roku od nekoliko sati svih 30 je nestalo …

Iako je zaštita od pokretanja izvršnog fajla sa eksterne memorije uključena u polisu, kao i skeniranje, socijalni inženjeri su izmislili nove načine. Fajlovi imaju neobične ekstenzije i primamljiva imena, i korisnik će ih iskopirati na svoj računar i tamo pokrenuti. Postoji mogućnost da se potpuno zabrani USB fleš, ali ovaj vid zaštite nije uobičajen, mnogo je bolje i razumniji pristup je razvijati svest kod zaposlenih o potencijalnim opasnostima putem obaveznih obuka iz računarske bezbednosti.

2.     Jedan (ne)običan mejl

„Phishing“ (fišing) mejlovi su danas jedan od najraširenijih, i još uvek najuspešnijih načina širenja malicioznog softvera. Mejl izgleda potpuno uobičajeno, pošiljalac se predstavlja obično kao vendor ili institucija od poverenja, neko ko kod zaposlenih neće izazvati pitanje ili nedoumicu. U mejlu se biranim rečima poziva na neku vrstu interakcije, bilo da se samo nudi da se pogleda neka interesantna informacija na linku, ili se traži da se učestvuje u istraživanju putem upitnika i slično. U svakom slučaju, radi se o linku na lokaciju koju napadač kontroliše. Jednom kad se klikne na takav link, šteta je počinjena. Najčešći oblik ovakve prevare izvodi se u obliku poziva da se „ponovo loguje na sistem“ zbog ažuriranja ili održavanja. Na taj način napadač na lak način dolazi do pristupnih podataka korisnika sistema. Zaposleni treba da budu svesni svih opcija prijavljivanja na sistem i aplikacije, te da prijave svaku formu za unos pristupnijh podataka koja je neuobičajena. Administratori sistema nikad neće slati zaposlenima mejl u kome im traže pristupne podatke. To je ono sa čime svi zaposleni treba da budu upoznati, kao i to da je svaki pokušaj traženja pristupnih podataka nešto što treba da se prijavi.

3.      Mejl sa poznate adrese

Nažalost, više se ne može reći da je neki pošaljalac „pouzdan“. Ovo pogotovo važi za mejl adrese sa besplatnih domena ili poruke sa društvenih mreža. Takva mesta lako bivaju hakovana, čak i ako vlasnik ne zna za to. Dakle, i ako je poruka stigla od prijatelja, a sadrži neobičan link ili prilog – treba bili oprezan. Pažljivim posmatranjem u najvećem broju slučajeva pokušaj prevare će postati jasan. Osim toga, uvek možemo pitati poznatu osobu da li nam je to poslala i šta je.

U svakom slučaju, dobar je običaj da se na link ne klikne, već da se on prepiše u komandnu liniju pretraživača.

Takođe, treba biti jako oprezan sa svojim imejl nalozima. Lozinku treba menjati često, a posebno paziti ukoliko je mejl nalog aktiviran na nekom od android uređaja koji može biti ostavljen na dohvat ruke zlonamernom napadaču ili izgubljen.

4.     Telefonski poziv

Jedan od čestih načina za prikupljanje podataka je telefonski poziv. Napadač se predstavi kao vendor, sistemska podrška, ili predstavnik neke institucije od poverenja, i traži podatke.

Dobar način odbrane je da se na primer od pozivaoca traže podaci i kaže mu se da ćemo mi nazvati njega, a zatim se provere. Takođe, dobro je ispitati pozivaoca o tome šta već zna. Najbolji način je da se nikakvi podaci, a pogotovo ne lični ili pristupni podaci za sistem, ne daju preko telefona. Nikome.

Lično sam nedavno imala poziv iz inostranstva gde se pozivalac predstavio kao zaposleni proizvođača opreme koju koristimo. Na pitanje zašto se ne obrate preko vendora, odgovorio mi je da prave istraživanje. Na pitanje otkud mu baš moji podaci, odgovorio je da ih je dobio od direktora IT sektora, a zatim je rekao ime jednog od kolega iz NBS koji čak nije u SIT-u. Nakon toga sam mu predložila da upitnik sa istraživanje preko vendora pošalju zvanično (i dalje nisam pominjala ni jedno ime ili imejl). Možda poziv nije bio zlonameran, ali opreza nikad dosta.

Takođe, bitno je znati da rukovodioci, administratori sistema i help-desk tehničari nikad ne traže pristupne podatke zaposlenih telefonom.

5.     Pazi ko te prati

Napadač može iskoristiti našu jutarnju užurbanost, preopterećenost i rasejanost. Koliko ljudi će obratiti pažnju da ga pri ulasku u firmu neko prati u stopu. Čak ukoliko i ne uspe da uđe u zgradu napadač, iskusan u socijalnom inženjeringu će pronaći neki način da uđe, a onda će pratiti „žrtve“ i tako se kretati kroz preduzeće.

Zato je važno, pogotovo za novozaposlene, da na vidnom mestu nose identifikacione kartice. Takođe, ukoliko vas neko prati kroz prostorije preduzeća, ili se kreće okolo izgledajući zaposleno,  a osoba vam je nepoznata i ne nosi obeležja preduzeća, ne treba oklevati nego pitati za identitet i funkciju.

Fizički pristup napadača u prostorije preduzeća je situacija koja ne sme da se potceni, jer jednom kad uđe u prostor preduzeća koje targetira, iskusan napadač ima širok spektar izvora informacija i potencijalnih napada na raspolaganju.

6.     Pomoć „profesionalca“

Velike organizacije koriste proizvode i pakete poznatih i proverenih proizvođača, i ta su imena svima poznata i ulivaju poverenje. Međutim, upravo tu može da dođe do zloupotrebe. Naime ako neko nazove ili se pojavi i predstavi se kao predstavnik ili podrška iz Majkrosofta, Orakla, Ciska … velika verovatnoća je da će zaposlenom da popusti pažnja i da je poverenje prema toj osobi nešto što se podrazumeva.

Važno je znati da pomoć vendora i partnera uvek ide po utvrđenoj proceduri, i čak i kad su prisutni u prostorijama preduzeća oni se ne kreću okolo, i ne komuniciraju samoinicijativno sa zaposlenima, bilo lično bilo telefonom. Isto važi i za mejlove.

Trenutno je u svetu jako raširen pokušaj napadača da se predstavljaju kao Windows tehnička podrška, i traže udaljen pristup da bi ispitali tobožnju štetu napravljenu od nove vrste malvera.

Svaki ovakav pokušaj treba prijaviti, jer čak i ukoliko bi se zaista radilo o podršci partnera, takav pristup je neprofesionalan i treba ga sprečiti u startu.

7.     Blago zakopano u kanti za smeće

Jednom odštampana informacija postaje potencijalno dostupna svima. Jedini način da se to spreči je da se, nakon upotrebe, uništi na propisan način. Iskusni napadači ponekad traže i nešto što se nama u trenutku ne čini kao poverljivo ili bitno. Na primer spisak godišnjih odmora radnika nekog organizacionog dela. Ili telefonski brojevi. Ili skice aplikacija, i šeme računarske mreže.

Testirajući svesnost svojih radnika, zaposleni u IT bezbednosti jedne američke banke, nakon radnog vremena su u kantama za otpatke pronašli više od 10.000 ID brojeva građana.

Zato je veoma bitno da se pazi šta se baca u kantu za otpatke.

Bitka sa napadačima na bezbednost informacija nikad ne prestaje. Ali, znanje je više od pola pobede. Naravno, organizacija se štiti na više slojeva. Tehnička dostignuća zaštite se prate i primenjuju redovno i po najvišim standardima, antivirus i antimalver programi rade najbolje što mogu, ali rizik nikad nije sveden na nulu, sve dok postoji ljudski faktor. Tehnologije nisu svemoguće. Ljudi su bitan sloj zaštite. Obučenost i neprestana svesnost zaposlenih i rukovodilaca su aspekt zaštite koji ne može i ne sme da se zanemari.