Qualquer pessoa pode rastrear você online em menos de 10 minutos — e é completamente legal. Visual: tela preta + cursor piscando. Subtítulo: "O que é OSINT e por que isso muda tudo para sua empresa." 02 Slide OSINT não é espionagem. É investigação com dados que você mesmo deixou para trás. Open Source Intelligence = inteligência gerada a partir de fontes públicas: redes sociais, registros, domínios, metadados. Tudo legal. Tudo disponível. E tudo sobre você. 03 Slide Empresas perdem processos por não saber o que está publicado sobre elas. Documentos vazados, e-mails esquecidos, fotos com metadados, contratos em cache. A prova que condena sua empresa pode estar indexada no Google agora. 04 Slide Provas digitais têm validade legal — mas só se coletadas corretamente. Print de tela não serve em juízo. Hash criptográfico, timestamp certificado e cadeia de custódia são o que diferenciam evidência de suposição. 05 Slide O erro mais comum: descobrir a prova e destruí-la sem querer ao ...
Gerar link
Facebook
X
Pinterest
E-mail
Outros aplicativos
O malware Zeus ressurge como Zbot / Terdot, integra aplicações legítimas
Malware contém aplicativos genuínos usados para fins nefastos
Malware contém aplicativos genuínos usados para fins nefastos
Uma variante do malware da Zeus, cujo código-fonte vazou em 2011, reapareceu como novo malware contendo aplicativos legítimos.
De acordo com um pesquisador de segurança conhecido como Hasherezade, o malware usa aplicativos legítimos para fins maliciosos.
Em um blog, ela disse que os sistemas foram infectados com o Zbot através do kit de exploração Sundown, bem como anexos de e-mail malicioso.
Ela acrescentou que geralmente para malware, uma carga útil DLL "não começa no início da página de memória, mas após o shellcode". Se uma conexão com a Internet for detectada, o Zloader carregará o segundo estágio (o bot principal) e o injetará em msiexec.exe. Injetado módulo balizas para o CnC e downloads outros módulos.
"CnC responde com um novo arquivo PE - o módulo do malware: (client32.dll). Downloader descriptografa-lo na memória e injeta ainda mais: depois de um tempo, podemos ver o explorador terminando e outro programa sendo implantado: msiexec. O executável de malware inicial é excluído ", disse Hasherezade.
Ela disse que o módulo principal do bot carrega e retira alguns novos elementos para a pasta temporária.
"Surpreendentemente, esses arquivos são não-malware. Podemos ver o certutil aplicativo junto com suas dependências - DLLs legítimos ", disse ela. Existem também alguns certificados falsos plantados na mesma pasta com a ajuda da aplicação certutil. Isso permite que o malware realize ataques man-in-the-middle.
"É fácil adivinhar que este malware tem como alvo navegadores da web. Na verdade, se executamos um navegador e tentamos visitar algum site através de HTTPS, veremos que os certificados originais são substituídos por um malicioso. Veja exemplos abaixo - chamar a atenção que o assunto do certificado contém o domínio válido - apenas o campo do emissor pode nos permitir reconhecer, que o certificado não é legítimo ", disse Hasherezade.
Ela acrescentou que os navegadores não alertam sobre qualquer inconsistência em torno dos certificados e qualquer usuário que não estava vigilante o suficiente para verificar os detalhes do certificado, pode ser facilmente enganado.
O malware também usa a aplicação legítima php.exe e php5ts.dll, bem como algum código php ofuscado. O aplicativo php descriptografa um arquivo e isso se torna o executável Zloader.
Curiosamente, o malware está programado para evitar atacar computadores com pacotes de idioma russo instalados. O malwares também pode usar consultas SQL para ler e manipular cookies do navegador armazenados na forma de bancos de dados SQLite.
O pesquisador de segurança disse que o malware foi preparado com atenção aos detalhes, e ela suspeita que é um trabalho de profissionais. "Ela é ativamente desenvolvida, distribuída e mantida - então, a probabilidade é alta, que estaremos vendo mais no futuro", disse ela.
Fraser Kyne, Diretor Técnico da EMEA da Bromium, disse à SC Media UK que os autores de malwares freqüentemente retornarão a modelos e métodos antigos, já que continuamente modificam seus ataques para maior efeito.
"É sobre atacar com algo insuspeitado; E sabendo que as pessoas estão tão ocupadas concentrando-se em novas ameaças que talvez eles começam a negligenciar os mais velhos. Muitas vezes vemos as tendências do passado voltar, como o ressurgimento de ataques de malware baseados em macros em documentos em 2016 ", disse ele.
Ele acrescentou que pode haver uma série de razões pelas quais o malware às vezes contém aplicativos legítimos.
"Em alguns casos, pode ajudar a mascarar a intenção maliciosa por trás de um ataque. Se o usuário vê que um aplicativo em que confia foi instalado, eles provavelmente têm menos probabilidade de perceber que foi um ataque ou questioná-lo mais. No entanto, os hackers também podem usá-lo como um meio de instalar um backdoor que não será detectado por software antivírus.
"Vulnerabilidades presentes em algumas aplicações podem ser exploradas com ataques de injeção de código, de modo que os hackers possam estar incluindo software legítimo com explorações conhecidas, com a intenção de usar isso como um ponto de entrada oculto no dispositivo do usuário em uma data posterior".
Andy Norton, diretor de risco EMEA da SentinelOne, disse à SC que, como o malware contém aplicativos legítimos, ele poderia ser classificado como um ataque de arquivo branco.
"Um programa legítimo php.exe é instalado no sistema, e executa um arquivo de script que entrega Zbot, Zbot é então injetado nos outros processos legítimos da vítima. Isso reduz o número de arquivos distintivos usados para maliciousness e, ao fazê-lo, reduz as chances de detecção ", disse ele.
"O que os atacantes não são capazes de mudar é o que o Zbot é usado e como ele se comporta, então se você instrumentar o ponto de extremidade e monitorar os comportamentos, independentemente do que os arquivos ou mesmo a falta de arquivos causam, a atividade maliciosa ainda será interrompida . "
Comentários
Postar um comentário