On 6/1/2017 7:04 AM, Tomasz Gorbaczuk wrote:
> Taki atak jest bardzo prosty do zablokowania (w firmie mam to codziennie).
> Te maile są wysyłane z komputerów (zainfekowanych atakiem
> automatycznym), które już od miesięcy są na wszelakich listach. Zwykłe
> sprawdzanie wiarygodności serwera nadawcy wycina 99% procent takich
> ataków. W firmie taki atak nie jest żadnym zagrożeniem, jest łatwy do
> wykrycia, zidentyfikowania i zablokowania.

No to jedziemy.

Ponieważ jestem częstym targetem (z niejasnych przyczyn) to i czesto
dostaje takie "chwilówki".

Masz pecha, bo dostalem dzisiaj. Około 12.30 przyszedł taki mail:

https://drive.google.com/open?id=0B_tdetIhaLvaTHlpSH
BuNVNteW8

W polu from znajduje się całkowicie legalne konto na wp.pl. W polu To i
Cc znajdują się moi koledzy w zasięgu 10 metrów ode mnie w firmie.
Nadawca nadawał z *.it ale kto zabrania pojechać na wczasy do Italii?

Anyway, w załaczniku jest plik excela. Oczywiscie, poniewaz jestem
typowym idiota, zamiast go otworzyć wrzuciłem na hybrid analysis:

https://www.reverse.it/sample/3085745ee62bee1fa4bdc5
775ec13f916e85b16510ad5cd13c1124f99fb81234?environme
ntId=100

Byłem przekonany że to kolejny dropper który po kilku chwilach zrzuci w
końcu plik .exe na dysk. Ale tym razem nie. Jest znacznie sprytniejszy,
nie robi nic zasadniczo podejrzanego. Ot, zrzuca kilka plików o
niejasnych bebechach i cisza. Nic sie nie dzieje. Inne tego typu ataki
zazwyczaj po kilku sekundach dropuja jakiś exec o znanej syganturze a tu
nic.

Czyli wszelakie AI w AV poszły właśnie spać.

Oczywiście nie omieszkałem tego pliku wrzucić do virus totala.

Efekt o 12:35 wyglądał tak:

https://drive.google.com/open?id=0B_tdetIhaLvabVhQSU
U0aGZFejA

Czyli anie jednego AV flagowego, same antywirusy o których nikt nie słyszał.

Efektem czego:
a) pudełko z bullshit bingo nic nie może zrobić (poczta w połaczeniu
szyfrowanym)
b) antywirusy nic nie moga zrobić (kto bogatemu zabroni otwierac pliki z
makrami które *nic* nie robią?)

>> Niedawny atak wannacry jest pierwszym od wielu lat atakiem
>> zautomatyzowanym
> Już po tym zdaniu widać, że piszesz tak "jak Ci się wydaje, że jest" -
> nie masz na co dzień styczności z problemami bezpieczeństwa IT w firmach.

Ale jestem programista. Całkiem niezłym. Doskonale wiem jak działają
mechanizmy które sie eksploituje w takich wypadkach. Wiem jak działa
wannacry i wiem jak nieskończenie tępi sa ludzie postulujacy aby hodować
systemy bez aktualizacji. Tu na takich trafiło. ot, zwykła ewolucja.
Tylko że prawdziwe zagrożenia sie gdzie indziej.

> Jeszcze mi się nie zdarzyło aby flagowy AV nie wykrył nowego zdarzenia w
> 3-4 godziny po jego powstaniu.

Sprawdźmy więc po około 10 godzinach:

https://www.virustotal.com/pl/file/3085745ee62bee1fa
4bdc5775ec13f916e85b16510ad5cd13c1124f99fb81234/anal
ysis/

O, nareszcie, kaspersky. Pozostale AV jeszcze sie nie pozbierały. Sorry,
twoje urojenia o jakości AV sa inwalidne.

Niektóre z tych plików sa niewykrywane przez miesiące przez wiele
flagowych AV. Zapewne wiele z nich nigdy nie będzie. Prawde mówiąc
ostatnio musze pochwalić windowsowego Defendera, rozmoznaje podejrzane
pliki szybciej niż eset w wersji biznesowej (który prawie nigdy nie
rozpoznaje ;)

Wrzucilem tych cudaków z kilkadziesiąt, niektóre śledziłem z czystej
ciekawości. Nigdy, powtarzam, nigdy nie uzyskały pokrycia 100%
przynajmniej największych AV. Czyli jak by nie patrzeć w końcu ktoś
urwie Ci dupę.

> Wszelkie liczące się AV mają funkcję wczesnego rozpoznawania zagrożenia
> w oparciu o chmurę producenta.

A tak, zapomnialem. To jeszcze ktos używa bullshit bingo o nazwie
"chmura" żeby komukolwiek zaimponować? I wiesz jak ta "chmura" działa
czy tylko powtarzasz bullshit? Jeśli to ma być automatyczne to opiera
sie o statystykę. A krotkie kampanie scamowe nie powoduja żadnych
efektów statystycznych. Pstryk i znika. Jak ktoś taki jak ja się nie
zlituje i nie podesle próbki to nawet nie zauważą. Szum to zjada.

> Jak producent AV jest globalny (a o
> takich chyba piszesz) wykrywa wirusa na którego nie ma jeszcze sygnatury
> na podstawie analizy częstotliwości występowania zdarzenia danego typu.

Tak, jasne. To zdarzenie wystąpiło maksymalnie nascie razy (wyssane z
palca czyli z "wywiadu" z jednym z ludzi za tym stojących, robiących
podobne kampanie). Ide o zakład że dużo się nie pomylę. Tym się różni
scam półautomatyczny i ataki kierowane że AV tego nie skorelują. To nie
jest wysyłanie milardów maili. To wysylanie nastu maili i zmiana grupy
docelowej, treści i techniki.

Gdyby nie misie takie jak ja którzy to wcisskaja w hybrid analysis to
bidoki z kasperskego by nawet o tym nie słyszeli. Drogie pudełka z masa
dziurek i bullshit bingo tym bardziej.

> AV to nie tylko ochrona antywirusowa. To najczęściej, zaawansowana
> zapora

G. komu potrzebne w domu. Zapory internetowe robily karierę w 200x
głównie z powodu tego ze nikt nie pojmował o co w nich chodzi ale ciagle
informowały o tym że "straszliwy atak hackerski przez pinga
zablokowany!". Jeszcze to pamietam. Do dzisiaj mrozi krew w żyłach
przeciętnego kowalskiego że ktoś wyslał mu pakiet na port. Łomatko,
gdzie policja!

>, IDS

Ktory nie działa jeśli atak jest skierowany, poniżej progu szumu.

>, ochrona przed spamem

Który w domu nie działa po poczta pobiera się z zewnatrznych serwerów
połączeniem szyfrowanym i pudełku nic do tego.

>, analiza ruchu

To bardzo wazne mieć ruch zanalizowany. Podem taki kowalski siedzi i
szuka anomalii w pakietach jak redtube oglądal. Tak, to ważne że kilka
pakietów ma zle sumy kontrolne. Pewno radzieckie te sumy kontrolne!

>, ochrona przed
> zawirusowanymi stronami www

Które to strony zapierniczają w 50% na ssl więc pudełko może sobie co
najwyżej forwardować.

> i wiele innych.

O Panie, bullshit bingo może być dowolnie duże.

> Dla użytkownika domowego to niezbędne minimum gdy korzysta z Internetu.

Owszem, tylko że nie działa. Coś jak homeopatia.

Sugeruje doszkolić sie minimum z tematyki https i ogolnie szyfrowania
transmisji i od razu stanie się jasne jakie mozliwości maja pudełka z
dziurkami za grube tysiące dla Kowalskiego. Ja jeszcze bym to
wykorzystał, ale misio który nie wie nawet o co chodzi? Waź nie żartuj
sobie.

Niebezpiecznym jest uważanie że coś potrafi automatycznie wykrywać
istotne zagrożenia. Nie potrafi, jak się hacker uprze to nie jest
istotne ile $$$ władowaleś w śmieci w serwerowni.

A rada dla Kowalskich jest taka że backapujcie dane, aktualizujcie
system i oglądajcie mniej porno. I tyle.