Segurança

Muddywater

Nestes últimos dias alguém decidiu publicar código e informações adicionais sobre este grupo de ataques persistentes avançados. Este grupo mudou as sua estratégia para evitar deteção. Com a ultima campanha com o nome de código blackwater os investigadores de segurança estão a publicar informação mais detalhada sobre as técnicas do grupo. Se a campanha for concluída com sucesso os atacantes instalam uma porta de entrada baseada em powershell na máquina da vitima. Isto permite aos atacantes acesso remoto á maquina. Na tentativa de alcançar persistência na maquina é também usado um código ofuscado em VBA para inclusão de chave no registo que permite essa persistência, depois o script inicializa um "stager" em powershell para tentar passar á fase 2 da infeção onde comunica com um servidor e tenta fazer download…

Ransomware e problemas futuros̷

Nos últimos dias tem havido grande alarido por causa de uma versão do Petya ransomware. Estes senhores levaram o problema a uma situação em que a maquina fica inutilizada provocando uma negação de serviço aos utilizadores / empresas. Apesar de já existir desde Abril esta versão engloba um sistema idêntico ao do Wannacry alem de outras técnicas para se mover lateralmente e roubar todas as credenciais da maquina que acabou de infectar. Esta estirpe é um pouco diferente e muito mais difícil de detectar pois não utiliza ficheiros... Aqui fica a ligação para poderem compreender um pouco a dor de cabeça :) https://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/  

Vulnerabilidade no serviço SAMBA

Muitos ainda não superaram o problema do Wannacry e o exploit do serviço SMB e hoje aparecem mais problemas no mesmo serviço, desta vez nas máquinas Linux. Apesar de à primeira vista não parecer que seja um problema grave para a maioria dos utilizadores, na realidade é. A maioria dos utilizadores usa o Windows mas existe uma infinidade de sistemas que utilizam este serviço. Sejam eles gratuitos ou proprietários. O serviço pode existir num universo grande de sistemas que tem a possibilidade de partilhar ficheiros, tais como Televisões, Routers, Discos Rígidos de rede, computadores com o serviço instalado, impressoras etc. Neste caso aconselho a instalar o mais rapidamente possível os patches de segurança nos seus sistemas ou pelo menos acompanhar os fabricantes que estão expostos. Verifique se o seu sistema…

Como Mitigar o impacto do Malware W

[alert type="danger"] Atenção estes passos nao impedem a infeção inicial pois essa é causada pela abertura de um email malicioso. O que tenta ajudar é evitar a movimentação lateral (infeção de outros sistemas na mesma rede). A única forma eficiente de evitar ser infectado é ter em dia o seu sistema, antivirus e ter cuidado a abrir emails que desconhece. As acções  descritas neste artigo podem não ser suficientes para impedir a propagação do virus, tudo depende da informação disponível no momento da escrita do artigo. Tentarei manter actualizado o artigo dentro do possível. [/alert] O malware WannaCry propaga-se utilizando uma vulnerabilidade no serviço de SMB. Uma forma eficiente de mitigar a sua propagação na rede é aplicar todos os patches de segurança. Também inspeciona todas as sessões RDP existentes no sistema e cifra…