sexta-feira, 7 de agosto de 2020

Black Hat: Hackers estão usando chaves mestra para atingir fornecedores de chips.

  Crédito da imagem:ZDNet

A Operação Chimera se concentra no roubo de valiosos projetos de propriedade intelectual e semicondutores.

Ataques direcionados contra empresas de semicondutores em Taiwan podem não ser bem conhecidos, mas isso não significa que o efeito cascata de um hack bem-sucedido não seja sentido em todo o mundo.

Na última década, Taiwan se estabeleceu lentamente como um viveiro para empresas de chips, tanto em desenvolvimento quanto em produção. A Taiwan Semicondutor Manufacturing Company (TSMC) é uma empresa importante no campo e, com o tempo, o valor de mercado do setor de fabricação de equipamentos e semicondutores em geral aumentou no país.

O setor de tecnologia é o principal alvo de grupos avançados de ameaças persistentes (APT), dada a propriedade intelectual frequentemente lucrativa e valiosa - e também os dados dos clientes - que as empresas do setor protegem.

Na Black Hat USA na quinta-feira, os pesquisadores da CyCraft Technology Chung-Kuan Chen e Inndy Lin descreveram um conjunto de ataques que se acredita terem sido conduzidos pelo mesmo grupo APT chinês na busca por designs de semicondutores, código-fonte, kits de desenvolvimento de software (SDKs), e outras informações proprietárias.

"Se esses documentos forem roubados com sucesso, o impacto pode ser devastador", disseram os pesquisadores. "O motivo por trás desses ataques provavelmente vem de concorrentes ou mesmo de países que buscam obter uma vantagem competitiva sobre os rivais."

De acordo com a equipe, ataques foram lançados contra vários fornecedores de semicondutores localizados no Parque Industrial Hsinchu Science em Taiwan. Até o momento, acredita-se que pelo menos sete fornecedores - bem como suas subsidiárias - foram atacados pelo mesmo grupo APT no que a equipe chama de "ataques precisos e bem coordenados".

Chamada de Operação Chimera, também conhecida como Esqueleto, a APT lançou uma série de ataques ao longo de 2018 e 2019 com uma variedade de ferramentas, incluindo Cobalt Strike - uma ferramenta legítima de teste de penetração que os agentes de ameaças abusam - e uma chave de esqueleto personalizada derivado do código extraído do Dumpert e do Mimikatz.

Em dois estudos de caso descritos no white paper da CyCraft (.PDF), uma variedade de endpoints e contas de usuário foram comprometidas no momento em que as infecções por malware foram detectadas.

O acesso inicial veio de uma ID corporativa válida - potencialmente roubada em uma violação de dados separada - e uma conexão de rede privada virtual (VPN) no primeiro caso.

"Muitas empresas muitas vezes negligenciar este vetor de ataque, por padrão confiando conexões VPN e acolhendo-os em sua intranet, e Quimera é um dos atores mais ameaças qualificados que temos visto em abusar políticas VPN", os pesquisadores adicionados .

No estágio seguinte da cadeia de ataque, um protocolo de desktop remoto (RDP) foi usado para obter acesso aos servidores da empresa.

Durante o segundo ataque Chimera, anormalidades foram descobertas durante uma atualização de rede em que a carga de malware foi injetada diretamente na memória do sistema, possibilitada por scripts PowerShell codificados.

Depois de carregado em uma rede comprometida, uma versão adaptada do Cobalt Strike mascarada como uma função do Google Update (GoogleUpdate.exe), ao mesmo tempo em que estabelece beacons backdoor e mecanismos de persistência.

Para exfiltrar dados de uma máquina infectada, o Chimera usa uma versão antiga do RAR, um programa de arquivamento legítimo, que também foi adulterado para fins maliciosos. A ferramenta personalizada, batizada de ChimeRAR, arquiva os dados coletados de uma rede e os transfere para um servidor de comando e controle (C2) controlado pelos ciberataques.

Para mascarar ainda mais sua atividade, o grupo de ameaças também hospedou vários C2s na plataforma Google Cloud e por meio do Microsoft Azure, bem como por meio de outros serviços de nuvem pública.

A chave mestra, no entanto, é talvez a arma mais interessante no arsenal de Chimera. A Unidade de Contador de Ameaças da Dell Secureworks documentou pela primeira vez o uso de uma chave-esqueleto capaz de contornar as verificações de autenticação nos servidores Active Directory (AD) em 2015, dando aos cibercriminosos acesso irrestrito a serviços de acesso remoto.

A ferramenta da Chimera, chamada "SkeletonKeyInjector", foi projetada para ser implantada em servidores AD e controladores de domínio (DC), permitindo que os ciberataques se movam lateralmente por uma rede e façam chamadas diretas, evitando assim o software de segurança existente.

Os trechos de código retirados do Mimikatz e do Dumpert fornecem ao malware a capacidade de contornar o monitoramento de API, um mecanismo de defesa comum usado pelas soluções atuais de proteção antivírus e de endpoint. 

"O malware alterou o programa de autenticação do New Technology LAN Manager (NTLM) e implantou uma chave de esqueleto para permitir que os invasores se conectassem sem a necessidade de credenciais válidas", disseram os pesquisadores. "Uma vez que o código na memória foi alterado, os invasores ainda podem obter acesso às máquinas comprometidas, mesmo após redefinir as senhas."

A equipe acrescenta que, como as máquinas AD raramente recebem uma reinicialização, isso pode significar que as chaves de esqueleto podem passar despercebidas por longos períodos e também facilitar os desejos dos agentes de ameaças de se moverem lateralmente pelas redes sem detecção. Em um dos estudos de caso da empresa, o grupo APT esteve presente por cerca de um ano antes de ser removido da rede comprometida.

"Com base nos dados roubados, inferimos que o objetivo do ator era colher segredos comerciais da empresa", diz CyCraft. "O motivo pode estar relacionado à competição empresarial ou à estratégia industrial de um país."

A ZDNet entrou em contato com os pesquisadores para fazer perguntas adicionais e será atualizada quando tivermos uma resposta

Fonte:ZDNet
Por Charlie Osborne para Zero Day | 6 de agosto de 2020 às 21:59 GMT (14:59 PDT) | Tópico: Security

quarta-feira, 5 de agosto de 2020

Hacker vaza senhas para mais de 900 servidores VPN corporativos

EXCLUSIVO: A lista foi compartilhada em um fórum de hackers de língua russa, frequentado por várias gangues de ransomware.


Link de compartilhamento de postagem do fórum para a lista de nomes de usuário e senhas do servidor Pulse Secure VPN

Crédito da Imagem: Bank Security

Um hacker publicou hoje uma lista de nomes de usuário e senhas em texto sem formatação, além de endereços IP para mais de 900 servidores corporativos VPN Pulse Secure.

O ZDNet, que obteve uma cópia desta lista com a ajuda da empresa de inteligência contra ameaças KELA, verificou sua autenticidade com várias fontes na comunidade de cibersegurança.

De acordo com uma revisão, a lista inclui:

Endereços IP dos servidores Pulse Secure VPN
Versão de firmware do servidor Pulse Secure VPN
Chaves SSH para cada servidor
Uma lista de todos os usuários locais e seus hashes de senha
Detalhes da conta de administrador
Últimos logins da VPN (incluindo nomes de usuário e senhas de texto não criptografado)
Cookies de sessão VPN

Crédito da imagem: ZDNet

O Bank Security, um analista de inteligência de ameaças especializado em crimes financeiros e que descobriu a lista hoje mais cedo e a compartilhou com o ZDNet, fez uma observação interessante sobre a lista e seu conteúdo.

O pesquisador de segurança observou que todos os servidores Pulse Secure VPN incluídos na lista estavam executando uma versão de firmware vulnerável à vulnerabilidade CVE-2019-11510.

O Bank Security acredita que o hacker que compilou esta lista examinou todo o espaço de endereço IPv4 da Internet em busca de servidores Pulse Secure VPN, usou uma exploração da vulnerabilidade CVE-2019-11510 para obter acesso aos sistemas, despejar detalhes do servidor (incluindo nomes de usuário e senhas), e depois coletou todas as informações em um repositório central.

Com base nos carimbos de data e hora na lista (uma coleção de pastas), as datas das verificações ou a data em que a lista foi compilada aparecem entre 24 de junho e 8 de julho de 2020.

Imagem: ZDNet

ZDNet também entrou em contato com a Bad Packets, uma empresa de inteligência de ameaças sediada nos EUA que analisa servidores vulneráveis ​​da Pulse Secure VPN na Internet desde agosto de 2019, quando a vulnerabilidade CVE-2019-11510 foi tornada pública.

"Dos 913 endereços IP únicos encontrados nesse dump, 677 foram detectados pelas varreduras CTI da Bad Packets como vulneráveis ​​ao CVE-2019-11510 quando a exploração foi tornada pública no ano passado", disse o co-fundador e diretor de pesquisa da Bad Packets. ZDNet hoje.

Da lista, parece que as 677 empresas não foram corrigidas desde a primeira varredura da Bad Packets no ano passado e as varreduras de junho de 2020 realizadas pelo hacker.

Mesmo que essas empresas consertem seus servidores Pulse Secure, elas também precisam alterar as senhas para evitar que hackers abusem das credenciais vazadas para assumir o controle de dispositivos e depois se espalhar para suas redes internas.

Isso é muito importante, pois os servidores Pulse Secure VPN geralmente são empregados como gateways de acesso às redes corporativas, para que a equipe possa se conectar remotamente a aplicativos internos de toda a Internet. Esses tipos de dispositivos, se comprometidos, podem permitir que os hackers acessem facilmente toda a rede interna de uma empresa - daí a razão pela qual as APTs e as gangues de ransomware já tinham usado esses sistemas no passado.

LISTA COMPARTILHADA EM FÓRUM FREQUENTADO POR GANGUES DE RANSOMWARE

Para piorar a situação, a lista foi compartilhada em um fórum de hackers que é frequentado por várias gangues de ransomware. Por exemplo, as gangues de ransomware REvil (Sodinokibi), NetWalker, Lockbit, Avaddon, Makop e Exorcist têm tópicos no mesmo fórum e o usam para recrutar membros (desenvolvedores) e afiliados (clientes).

Muitas dessas gangues realizam invasões nas redes corporativas, alavancando dispositivos de borda de rede, como os servidores Pulse Secure VPN, e depois implantam sua carga útil de ransomware e exigem enormes demandas de resgate.

A publicação desta lista como um download gratuito é um nível literal de perigo do DEFCON 1 para qualquer empresa que não conseguiu consertar sua Pulse Secure VPN no ano passado, pois é provável que algumas das gangues de ransomware ativas neste fórum usem a lista para ataques futuros.

Como o Bank Security disse ao ZDNet, as empresas precisam corrigir suas VPNs Pulse Secure e alterar senhas com a máxima urgência.

*** O dump do Pulse Secure VPN foi anunciado como uma lista de 1.800 servidores vulneráveis, mas nossas verificações encontraram apenas 900, por isso, usamos um título de artigo apropriado, apesar da primeira imagem deste artigo.

Post:Traduzido
Créditos: Por Catalin Cimpanu para Zero Day | 4 de agosto de 2020 - 22:44 GMT (15:44 PDT) | Tópico: Security

FONTE:ZEDNet

segunda-feira, 3 de agosto de 2020

Processo de gerenciamento de incidentes graves



Introdução

À medida que as medidas de segurança cibernética estão melhorando a cada dia, os atores de ameaças também estão sendo sofisticados e criando ataques de alto nível para evitar os modernos sistemas de defesa . Esses ataques resultam na geração de incidentes importantes, que são os incidentes de maior urgência e impacto que podem afetar muitas pessoas ou empresas ao mesmo tempo, privando dados críticos ou dificultando operações comerciais críticas.

Para impedir que incidentes importantes produzam efeitos adversos para sua organização, é necessário criar um processo de resposta a incidentes bem coordenado para minimizar seus impactos ou pôr um fim neles. Neste artigo, aprenderemos sobre as principais etapas e elementos principais do processo de resposta a incidentes graves.
Quais são as principais etapas do processo de gerenciamento de grandes incidentes?

Abaixo estão as quatro etapas do processo de gerenciamento de resposta a incidentes graves:

Etapa 1: Identificação do Incidente Maior

Identificar o incidente principal é o primeiro passo. A identificação ocorre com base em certas regras que podem ser definidas na política de segurança da empresa. Um incidente grave pode ter vários atributos, como o intervalo de computadores que afeta ou a quantidade específica de perda em que ocorre.
Etapa 2: Comunicação e Colaboração

Depois que o incidente principal é identificado, é imperativo informar e envolver todas as partes interessadas, incluindo parceiros de negócios, clientes, usuários ou qualquer outro fornecedor associado. A comunicação pode ser realizada verbalmente dentro da organização, ou por e-mails, faxes ou pequenos avisos manuscritos. Além disso, a comunicação e a colaboração entre as equipes do SOC e os responsáveis ​​pela resposta a incidentes são cruciais para preparar uma resposta coletiva e poderosa contra o incidente principal.
Etapa 3: Resolvendo o Incidente Maior

A resolução do incidente principal é uma das etapas cruciais que envolve a resolução do incidente e todos os incidentes filhos associados .
Etapa 4: Revisão pós-incidente

Também é importante realizar uma revisão dos principais incidentes. Fazer isso pode ajudá-lo a entender as brechas e vulnerabilidades de segurança que os invasores usaram para invadir sua rede corporativa. Com base nas análises, os respondentes de incidentes devem corrigir vulnerabilidades e aprimorar o sistema com segurança multicamada, que deve envolver Firewalls, IDS, IPS, sistema SIEM e solução SOAR.
Quais são os pré-requisitos para um processo eficaz de gerenciamento de incidentes graves?

As organizações devem ter um processo eficiente e eficaz de resposta a incidentes graves. Para esse fim, eles devem atender aos seguintes requisitos:

    Garanta que todas as partes interessadas sejam informadas sobre as degradações, interrupções de serviço e resoluções.
    Certifique-se de que sua empresa tenha uma equipe de resposta a incidentes de segurança de computadores (CSIRT) confiável ou respondedores de incidentes para lidar efetivamente com incidentes importantes. 
    Os responsáveis ​​pela resposta a incidentes devem atenuar o impacto do incidente principal e restaurar os serviços críticos e as operações comerciais o mais rápido possível.
    Eles devem criar um problema para a análise da causa raiz.
    Criando documentação do incidente principal.

Conclusão

Sem dúvida, incidentes importantes são sinais preocupantes que podem levar às maiores violações de dados, perdas de reputação e moeda em massa em termos de não conformidade e durante o processo de fixação de incidentes. No entanto, medidas de segurança eficazes podem salvar sua empresa de um grande pesadelo. Para esse fim, você precisa usar a segurança multicamada, como a instalação de Firewalls, SIEM ou / e soluções SOAR .
Referências

https: / https: //purplegriffon.com/blog/major-incident-management

https://docs.servicenow.com/bundle/newyork-it-service-management/page/product/incident-management/concept/major-incident-management-process.html

Crédito da Imagem: Ryan McGuire por Pixabay

domingo, 2 de agosto de 2020

O que é forense digital. História, processo, tipos e desafios.

O que é Digital Forensics?
O Digital Forensics é definido como o processo de preservação, identificação, extração e documentação de evidências de computador que podem ser usadas pelo tribunal. É a ciência de encontrar evidências de mídia digital de um computador, telefone celular, servidor ou rede. Ela fornece à equipe forense as melhores técnicas e ferramentas para resolver casos complexos relacionados à crime digital.


O Digital Forensics ajuda a equipe forense a analisar, inspecionar, identificar e preservar as evidências digitais que residem em vários tipos de dispositivos eletrônicos.

Neste tutorial forense digital vamos mostrar :

O que é Digital Forensics?

História da ciência forense digital

Objetivos da computação forense

Processo de análise forense digital

Tipos de Forense Digital

Desafios enfrentados pela Digital Forensics

Exemplos de usos do Forense Digital

Vantagens da análise forense digital

Desvantagens da Digital Forensics

História da ciência forense digital

Aqui estão alguns marcos importantes da história da Digital Forensics:

Hans Gross (1847 -1915): Primeiro uso de estudo científico para liderar investigações criminais.

FBI (1932): Criou um laboratório para oferecer serviços forenses a todos os agentes de campo e outras autoridades legais nos EUA.

Em 1978, o primeiro crime informático foi reconhecido no Florida Computer Crime Act.

Francis Galton (1982 - 1911): Realizou o primeiro estudo gravado de impressões digitais

Em 1992, o termo Computer Forensics foi utilizado na literatura acadêmica.

1995: Organização Internacional de Provas de Computador (IOCE).

Em 2000, foi estabelecido o primeiro laboratório forense de informática regional do FBI.

Em 2002, o Grupo de Trabalho Científico sobre Evidência Digital (SWGDE) publicou o primeiro livro sobre forense digital chamado "Melhores práticas para computação forense".

Em 2010, Simson Garfinkel identificou problemas enfrentados pelas investigações digitais.

Objetivos da computação forense

Aqui estão os objetivos essenciais do uso da computação forense:

Ajuda a recuperar, analisar e preservar computadores e materiais relacionados de maneira que ajude a agência de investigação a apresentá-los como evidência em um tribunal.

Ajuda a postular o motivo por trás do crime e da identidade do principal culpado.

Conceber procedimentos em uma cena de crime suspeita, o que ajuda a garantir que as evidências digitais obtidas não sejam corrompidas.

Aquisição e duplicação de dados: Recuperando arquivos e partições excluídos da mídia digital para extrair as evidências e validá-las.

Ajuda você a identificar as evidências rapidamente e também permite estimar o impacto potencial da atividade maliciosa na vítima.

Produzir um relatório forense de computador que ofereça um relatório completo sobre o processo de investigação.

Preservar a evidência seguindo a cadeia de custódia.


Processo de análise forense digital

O forense digital envolve as seguintes etapas:



Identificação
Preservação
Análise
Documentação
Apresentação
Processo de Forense Digital

Vamos estudar cada um em detalhes

Identificação

É o primeiro passo no processo forense. O processo de identificação inclui principalmente coisas como quais evidências estão presentes, onde estão armazenadas e, por fim, como são armazenadas (em qual formato).

A mídia de armazenamento eletrônico pode ser computadores pessoais, telefones celulares, PDAs etc.

Preservação

Nesta fase, os dados são isolados, protegidos e preservados. Isso inclui impedir que as pessoas usem o dispositivo digital para que as evidências digitais não sejam violadas.

Análise

Nesta etapa, os agentes de investigação reconstroem fragmentos de dados e tiram conclusões com base nas evidências encontradas. No entanto, pode levar várias iterações de exame para apoiar uma teoria específica do crime.

Documentação

Nesse processo, um registro de todos os dados visíveis deve ser criado. Ajuda a recriar a cena do crime e revê-la. Envolve documentação adequada da cena do crime, além de fotografar, esboçar e mapear a cena do crime.

Apresentação

Nesta última etapa, o processo de resumo e explicação das conclusões é realizado.

No entanto, deve ser escrito nos termos de um leigo usando terminologias abstratas. Todas as terminologias abstraídas devem fazer referência aos detalhes específicos

Tipos de Forense Digital

Os tipos de análise forense digital são:

Análise Forense do Disco:

Ele lida com a extração de dados da mídia de armazenamento, pesquisando arquivos ativos, modificados ou excluídos.

Rede Forense:

É um sub-ramo da investigação forense digital. Está relacionado ao monitoramento e análise do tráfego da rede de computadores para coletar informações importantes e evidências legais.

Forense sem fio:

É uma divisão forense de redes. O principal objetivo do forense sem fio é oferecer as ferramentas necessárias para coletar e analisar os dados do tráfego da rede sem fio.

Forense de banco de dados:

É um ramo da análise forense digital relacionado ao estudo e exame de bancos de dados e seus metadados relacionados.

Análise forense de malware:

Este ramo lida com a identificação de códigos maliciosos, para estudar sua carga útil, vírus, worms etc.

Email Forensics

Lida com a recuperação e análise de emails, incluindo emails, calendários e contatos excluídos.

Forensics da memória:

Ele lida com a coleta de dados da memória do sistema (registros do sistema, cache, RAM) na forma bruta e, em seguida, esculpindo os dados do dump Raw.

Forense do telefone móvel:

Ele lida principalmente com o exame e análise de dispositivos móveis. Ajuda a recuperar contatos telefônicos e SIM, registros de chamadas, SMS / MMS recebidos e enviados, áudio, vídeos, etc.

Desafios enfrentados pela Digital Forensics



Aqui estão os principais desafios enfrentados pelo Digital Forensic:

O aumento dos PCs e o uso extensivo do acesso à Internet
Fácil disponibilidade de ferramentas de hackers
A falta de evidências físicas dificulta a acusação.
A grande quantidade de espaço de armazenamento em Terabytes que dificulta esse trabalho de investigação.
Quaisquer mudanças tecnológicas exigem uma atualização ou alterações nas soluções.


Exemplos de usos do Forense Digital

Nos últimos tempos, as organizações comerciais usaram o forense digital nos seguintes casos:

Roubo de propriedade intelectual
Espionagem industrial
Litígios de emprego
Investigações de fraude
Uso inadequado da Internet e e-mail no local de trabalho
Assuntos relacionados a falsificações
Investigações de falências
Questões relacionadas à conformidade regulamentar

Vantagens da análise forense digital

Aqui estão os prós / benefícios do forense digital

Para garantir a integridade do sistema do computador.
Para produzir provas no tribunal, o que pode levar à punição do culpado.
Ajuda as empresas a capturar informações importantes se seus sistemas ou redes de computadores 
estiverem comprometidos.
Rastreia de forma eficiente os cibercriminosos de qualquer lugar do mundo.
Ajuda a proteger o dinheiro e o tempo valioso da organização.
Permite extrair, processar e interpretar as evidências factuais, para provar a ação ciber criminosa no 
tribunal.

Desvantagens da Digital Forensics

Aqui estão as principais desvantagens de usar o Digital Forensic

Evidência digital aceita em tribunal. No entanto, é necessário provar que não há adulteração
Produzir registros eletrônicos e armazená-los é um assunto extremamente caro
Profissionais do direito devem ter amplo conhecimento em informática
Necessidade de produzir evidências autênticas e convincentes
Se a ferramenta usada para forense digital não estiver de acordo com os padrões especificados, 
no tribunal, as evidências poderão ser reprovadas pela justiça.
A falta de conhecimento técnico do investigador pode não oferecer o resultado desejado.

Resumo:
Digital Forensics é a preservação, identificação, extração e documentação de evidências de 
computador que podem ser usadas no tribunal.

O processo de análise forense digital inclui:
1) Identificação, 
2) Preservação, 
3) Análise, 
4) Documentação e, 
5) Apresentação

Diferentes tipos de Digital Forensics são Disk Forensics, Network Forensics, Wireless Forensics, 
Database Forensics, Malware Forensics, Email Forensics, Memory Forensics, etc.

A ciência forense digital pode ser usada em casos como: 
1) roubo de propriedade intelectual, 
2) espionagem industrial 
3) disputas de emprego, 
4) investigações de fraude.

Fonte:SaM Edutech / Onehack

Ads Inside PostM

Teste