DÔLEŽITÉ VAROVANIE: Zvýšená aktivita TrickBot-Ryukhttps://aec.cz/sk/novinky/Stranky/dolezite-varovanie-zvysena-aktivita-trickbot-ryuk.aspxDÔLEŽITÉ VAROVANIE: Zvýšená aktivita TrickBot-Ryuk<p> <strong>Za posledných 48 hodín došlo k výraznému nárastu aktivity malwaru TrickBot a ransomwaru Ryuk. Náš tím technológií zaznamenal túto aktivitu v zákazníckej báze AEC, a to hneď v niekoľko rôznych segmentoch. <span style="color:red;">Preto odporúčame aby ste brali toto upozornenie s maximálnou vážnosťou.<br></span><br></strong></p><hr /><h2>Aktualizácia 2. 11. 2020:</h2><p>Pridané sú ďalšie identifikátory kompromitácie súvisiace okrem iného s botnetom Emotet. Pri investigácii incidentov u našich zákazníkov sme identifikovali ďalšie IOC, ktoré sú novo pridané v tabuľke nižšie.</p><hr /><p> </p><p>Tento škodlivý software môžete poznať z úspešne uskutočnených útokov v súčasnom a aj minulom roku, malware TrickBot a ransomware Ryuk boli taktiež súčasťou útoku na Benešovskú nemocnicu minulý rok v decembri. O tomto útoku a ďalších aktivitách útočníkov, ktorí využívajú botnet Emotet alebo zmienený malware sme už niekoľkokrát písali [1, 2].</p><p style="text-align:center;"> <img class="maxWidthImage" alt="TrickBot Ryuk" src="/cz/PublishingImages/news/2020/aec-TrickBot-Ryuk.jpg" data-themekey="#" style="margin:5px;width:650px;" /> </p><p>V stredu 28. 10. 2020 informovala The Cybersecurity and Infrastructure Security Agency (CISA) o zvýšenej aktivite tohto malwaru a o pravdepodobných útokoch na nemocnice a zariadenia poskytujúce zdravotnú starostlivosť [3]. Na zvýšenú aktivitu botnetu Emotet na začiatku októbra upozornil aj český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) [4].</p><p>Aktuálna verzia malwaru TrickBot už nie je len bežným bankovým trojanom. Útočníci majú po napadnutí počítača v súčasnosti aj možnosť odcudziť prihlasovacie údaje, e-mailové správy, ťažiť kryptomeny, odcudziť dáta z platobných systémov alebo stiahnuť ďalší malware, či ransomware do napadnutého systému.</p><p>Všetkým našim zákazníkom odporúčame skontrolovať aktuálnosť ich riešení na ochranu koncových staníc a rovnako vykonať sken zraniteľností, pretože práve zneužitím zraniteľností sa tento malware najčastejšie šíri v sieti. Firmy, ktoré disponujú nástrojom na vyhľadávanie IOC, môžu prehľadať spravované zariadenia na IOC, ktoré sú uvedené v tabuľke nižšie. <br> <br></p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:33px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" style="text-align:center;"><h3> <span style="color:#ffffff;">Typ IOC</span></h3></td><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" style="text-align:center;"><h3> <span style="color:#ffffff;">IOC</span></h3></td><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" style="text-align:center;"><h3> <span style="color:#ffffff;">Poznámka</span></h3></td></tr><tr><td class="ms-rteTable-default" rowspan="2"> <strong>Názov súboru</strong></td><td class="ms-rteTable-default">12 znakov (vrátane „.exe“)</td><td class="ms-rteTable-default" rowspan="2">Napríklad mfjdieks.exe</td></tr><tr style="border-bottom-color:#6773b6;border-bottom-width:2px;border-bottom-style:solid;"><td class="ms-rteTable-default">anchorDiag.txt</td></tr><tr><td class="ms-rteTable-default" rowspan="3"> <strong>Umiestenie podozrivého súboru v adresári</strong></td><td class="ms-rteTable-default">C:\Windows\</td><td class="ms-rteTable-default" rowspan="3"></td></tr><tr><td class="ms-rteTable-default">C:\Windows\SysWOW64\</td></tr><tr style="border-bottom-color:#6773b6;border-bottom-width:2px;border-bottom-style:solid;"><td class="ms-rteTable-default">C:\Users\\AppData\Roaming\</td></tr><tr><td class="ms-rteTable-default" rowspan="2"> <strong>String</strong></td><td class="ms-rteTable-default">Global\fde345tyhoVGYHUJKIOuy</td><td class="ms-rteTable-default">Typicky prítomný v bežiacej pamäti</td></tr><tr style="border-bottom-color:#6773b6;border-bottom-width:2px;border-bottom-style:solid;"><td class="ms-rteTable-default">/anchor_dns/[COMPUTERNAME]_<br>[WindowsVersionBuildNo].[32CharacterString]/</td><td class="ms-rteTable-default">Typicky prítomný v komunikácii na C&C server</td></tr><tr style="border-bottom-color:#6773b6;border-bottom-width:2px;border-bottom-style:solid;"><td class="ms-rteTable-default"> <strong>Plánovaná úloha</strong></td><td class="ms-rteTable-default">[random_folder_name_in_%APPDATA%_excluding_Microsoft]<br>autoupdate#[5_random_numbers]</td><td class="ms-rteTable-default"></td></tr><tr><td class="ms-rteTable-default" rowspan="2"> <strong>CMD príkaz</strong></td><td class="ms-rteTable-default">cmd.exe /c timeout 3 && del C:\Users\[username]\[malware_sample]</td><td class="ms-rteTable-default"></td></tr><tr style="border-bottom-color:#6773b6;border-bottom-width:2px;border-bottom-style:solid;"><td class="ms-rteTable-default">cmd.exe /C PowerShell \"Start-Sleep 3; Remove-Item C:\Users\[username]\[malware_sample_location]\"</td><td class="ms-rteTable-default"></td></tr><tr><td class="ms-rteTable-default" rowspan="6"> <strong>DNS</strong></td><td class="ms-rteTable-default">kostunivo[.]com</td><td class="ms-rteTable-default" rowspan="6">DNS názvy spájané s Anchor_DNS (súčasť malwaru TrickBot)</td></tr><tr><td class="ms-rteTable-default">chishir[.]com</td></tr><tr><td class="ms-rteTable-default">mangoclone[.]com</td></tr><tr><td class="ms-rteTable-default">onixcellent[.]com</td></tr><tr><td class="ms-rteTable-default">innhanmacquanaogiare[.]com<span style="color:#6773b6;"> - aktualizácia 2020-11-02</span></td></tr><tr style="border-bottom-color:#6773b6;border-bottom-width:2px;border-bottom-style:solid;"><td class="ms-rteTable-default">edgeclothingmcr[.]com <span style="color:#6773b6;">- aktualizácia 2020-11-02</span></td></tr><tr><td class="ms-rteTable-default" rowspan="8"> <strong>DNS</strong></td><td class="ms-rteTable-default">ipecho[.]net</td><td class="ms-rteTable-default" rowspan="8">DNS názvy použité na overenie konektivity</td></tr><tr><td class="ms-rteTable-default">api[.]ipify[.]org</td></tr><tr><td class="ms-rteTable-default">checkip[.]amazonaws[.]com</td></tr><tr><td class="ms-rteTable-default">ip[.]anysrc[.]net</td></tr><tr><td class="ms-rteTable-default">wtfismyip[.]com</td></tr><tr><td class="ms-rteTable-default">ipinfo[.]io</td></tr><tr><td class="ms-rteTable-default">icanhazip[.]com</td></tr><tr style="border-bottom-color:#6773b6;border-bottom-width:2px;border-bottom-style:solid;"><td class="ms-rteTable-default">myexternalip[.]com</td></tr><tr><td class="ms-rteTable-default" rowspan="11"> <strong>IP adresa</strong></td><td class="ms-rteTable-default">23[.]95[.]97[.]59</td><td class="ms-rteTable-default" rowspan="11">IP adresy C&C serverov</td></tr><tr><td class="ms-rteTable-default">51[.]254[.]25[.]115</td></tr><tr><td class="ms-rteTable-default">193[.]183[.]98[.]66</td></tr><tr><td class="ms-rteTable-default">91[.]217[.]137[.]37</td></tr><tr><td class="ms-rteTable-default">87[.]98[.]175[.]85</td></tr><tr><td class="ms-rteTable-default">81[.]214[.]253[.]80 <span style="color:#6773b6;">- aktualizácia 2020-11-02</span></td></tr><tr><td class="ms-rteTable-default">94[.]23[.]62[.]116 <span style="color:#6773b6;">- aktualizácia 2020-11-02</span></td></tr><tr><td class="ms-rteTable-default">104[.]28[.]27[.]212 <span style="color:#6773b6;">- aktualizácia 2020-11-02</span></td></tr><tr><td class="ms-rteTable-default">172[.]67[.]169[.]203 <span style="color:#6773b6;">- aktualizácia 2020-11-02</span></td></tr><tr><td class="ms-rteTable-default">104[.]28[.]26[.]212 <span style="color:#6773b6;">- aktualizácia 2020-11-02</span></td></tr><tr style="border-bottom-color:#6773b6;border-bottom-width:2px;border-bottom-style:solid;"><td class="ms-rteTable-default">93[.]114[.]234[.]109 <span style="color:#6773b6;">- aktualizácia 2020-11-02</span></td></tr></tbody></table><p> </p><p> <span style="color:red;"><strong>Pokiaľ by ste zaznamenali niektoré z vyššie uvedených IOC vo Vašej sieti, alebo aj inú podozrivú aktivitu, neváhajte sa na nás <a href="mailto:matej.kacic[@]aec.cz">priamo obrátiť</a> vo veci konzultácie, analýzy incidentu alebo implementácie konkrétnych bezpečnostných opatrení. <br><br></strong></span></p><hr /><h3>Zdroje:</h3><p>[1]: <a href="/cz/novinky/Stranky/zprava-o-bezpecnosti-v-prosinci-2019.aspx" target="_blank">https://aec.cz/cz/novinky/Stranky/zprava-o-bezpecnosti-v-prosinci-2019.aspx</a><br>[2]: <a href="https://www.antivirus.cz/Blog/Stranky/pozvanka-na-vanocni-vecirek-poradany-botnetem-emotet.aspx" target="_blank">https://www.antivirus.cz/Blog/Stranky/pozvanka-na-vanocni-vecirek-poradany-botnetem-emotet.aspx</a><br>[3]: <a href="https://us-cert.cisa.gov/ncas/alerts/aa20-302a" target="_blank">https://us-cert.cisa.gov/ncas/alerts/aa20-302a</a><br>[4]: <a href="https://www.nukib.cz/cs/infoservis/hrozby/1638-upozorneni-na-zvysenou-aktivitu-malwaru-emotet/" target="_blank">https://www.nukib.cz/cs/infoservis/hrozby/1638-upozorneni-na-zvysenou-aktivitu-malwaru-emotet/</a><br></p>
Zerologon: Kritická zraniteľnosť Windows ADhttps://aec.cz/sk/novinky/Stranky/zerologon-kriticka-zranitelnost-windows-ad.aspxZerologon: Kritická zraniteľnosť Windows AD<p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-color:initial;text-decoration-style:initial;"><span lang="SK" style="color:#696158;line-height:107%;font-family:"arial",sans-serif;font-size:10.5pt;">Názov zraniteľnosti úzko súvisí s hlavným vektorom útoku, ktorý zraniteľnosť zneužíva – jedná sa o chybu v nastavení inicializačného vektoru (IV) pri šifrovaní správ Netlogon Remote Protokolu (MS-NRPC), vďaka čomu môže interný útočník šifrovanie úplne prelomiť a vydávať sa za ľubovoľný počítač v sieti.</span></p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-color:initial;text-decoration-style:initial;"> </p><p style="text-align:center;"> <img class="maxWidthImage" alt="Samsung zranitelnost" src="/cz/PublishingImages/news/2020/aec-zerologon.png" data-themekey="#" style="margin:5px;width:650px;" /> </p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-color:initial;text-decoration-style:initial;"> </p><p>Dopad zraniteľnosti je obrovský, v dôsledku čoho sa jej závažnosť v Common Vulnerability Scoring Systéme (CVSS) vyšplhala až na kritických 10 z 10. Jej úspešné zneužitie umožňuje útočníkovi, ktorý je schopný naviazať TCP spojenie s doménovým radičom (Domain Controller), eskalovať svoje privilégia až na úroveň doménového administrátora, čím dochádza k celkovej kompromitácii celej domény a všetkých systémov k nej pripojených. Vo väčšine prípadov (pokiaľ nie je doménový radič dostupný verejne z internetu) je útok možné uskutočniť iba z vnútornej siete, čím je šanca jeho zneužitia znížená.</p><p>V súčasnej dobe sa už internetom pohybuje niekoľko skriptov, ktoré úspešne zraniteľnosť zneužívajú (prevažne ako dôkazy konceptu), a na základe dát z niektorých honeypot systémov (systémov, ktoré sú úmyselne zraniteľné a prístupné z internetu, v prípade ktorých sú aktívne monitorované pokusy o ich zneužitie) už niekoľko hackerských skupín zraniteľnosť aktívne a automatizovane zneužíva v globálnej miere.</p><p>Microsoft oznámil dve záplaty opravujúce chybu, ktorá umožňuje túto zraniteľnosť. <a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472"><span lang="SK" style="text-decoration:underline;">Prvá záplata bola vydaná 11. augusta 2020</span></a> a bola označená ako kritická. Táto záplata opravuje chybu, ktorá útok umožňuje a dovoľuje útočníkovi autentizovať sa ako ľubovoľný stroj v AD. Záplata by mala byť dostačujúcim spôsobom, na zamedzenie zneužitia chyby. Z tohto dôvodu veľmi odporúčame záplatu aplikovať a čo najskôr aktualizovať všetky doménové radiče.</p><p>Druhá záplata je plánovaná na začiatok budúceho roka, a zaoberá sa vlastnosťami protokolu RPC týkajúcich sa Podpisovaniu a Pečateniu RPC správ (RPC Signing and Sealing). Táto vlastnosť, nastavená hodnotou v hlavičke každej správy, určuje, či je komunikácia medzi klientom a DC šifrovaná. Jednoduchým nastavením hodnoty hlavičky na 0 môže útočník túto vlastnosť vypnúť a tým mu je umožnené posielať správy bez znalosti šifrovacieho kľúča. Táto záplata nie je kritická pre zamedzenie zraniteľnosti, pretože na jej zneužitie je nutné byť autentizovaný voči doménovému radiču, čo je už zamedzené prvou záplatou.</p><h2>Technické detaily</h2><p>Zraniteľnosť bola publikovaná v <a href="https://www.secura.com/pathtoimg.php?id=2055"><span lang="SK" style="text-decoration:underline;">správe vydanej v septembri 2020 bezpečnostným výskumníkom Tomom Tervoortom</span></a> v mene firmy Secura, ktorá popisuje nedostatky v implementácii šifrovania protokolu Netlogon Remote Protokol (MS-NRPC) a spôsob, ktorým sa dá na základe jednoduchého útoku hrubou silou autentizovať voči doménovému radiču za ľubovoľný stroj nachádzajúci sa v sieti, vrátane samotného doménového radiča.</p><p>Protokol MS-NRPC je v prostredí AD používaný k úlohám spojeným s autentizáciou užívateľských a strojových účtov. Najčastejšie sa jedná o prihlasovanie k serverom použitím NTLM protokolu, ale taktiež napríklad ku zmene užívateľského hesla v doméne.</p><p>Zvláštnosťou tohto protokolu je, že nepoužíva klasické doménové autentizačné mechanizmy, ako napríklad Kerberos, ale namiesto toho využíva iný postup. Zjednodušene, na úspešnú autentizáciu si klient a server vymenia náhodné čísla (challenges), ktoré skombinovaním s hashom užívateľského hesla vytvorenia spoločný šifrovací kľúč. V momente, keď sa kľuč vygenerovaný klientom zhoduje s kľúčom vygenerovaným serverom, je dokázané, že klient pozná užívateľove heslo a môže byť teda autentizovaný.</p><p>Problém nastáva v spôsobe, akým je tvorený šifrovací kľúč, ktorý dokazuje, že klient pozná svoje heslo. Na tvorbu kľúča je použité šifrovanie AES v relatívne obskúrnom móde CFB-8, ktorý je navyše aj nesprávne použitý, pretože vždy obsahuje inicializačný vektor v tvare 16-bitov núl (Inicializačný vektor je jedným z hlavných mechanizmov zaisťujúcich správnu funkciu tohto druhu šifier a musí byť vždy náhodný). V priebehu výskumu sa ukázalo, čo táto chyba spôsobuje. S nulovým IV pre náhodne zvolený šifrovací kľúč, v jednom zhruba z 256 prípadov, sa dáta obsahujúce iba nuly zašifrujú len ako nuly (viď. obrázok).</p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-color:initial;text-decoration-style:initial;">  </p><p style="text-align:center;"> <img class="maxWidthImage" alt="Samsung zranitelnost" src="/cz/PublishingImages/news/2020/zerologon-01.png" data-themekey="#" style="margin:5px;width:650px;" /> </p><p>Zraniteľnosť Zerologon sa spolieha na túto vlastnosť a obchádza výpočet výzvy klienta, ktorý požaduje server na dokázanie toho, že klient pozná správnu hodnotu šifrovacieho kľúča vypočítaného pre prípad tejto relácie. Hodnota, ktorú server požaduje, je vypočítaná zašifrovaním zvoleného náhodného čísla (ktoré si zvolí klient v predchádzajúcom kroku autentizácie) za použitia šifrovacieho kľúča vygenerovaného na základe oboch náhodných čísel (od klienta a od servera). Vzhľadom k vyššie popisovanej chybe šifrovania, je možné túto odpoveď podvrhnúť. V prípade, že si klient zvolí svoje náhodné číslo v tvare samých núl, bude zašifrovaná hodnota pri 1 z 256 šifrovacích kľúčov, rovná reťazcu núl.</p><p>Útočníkovi stačí proces prihlasovania zopakovať zhruba 256krát, kým k tomuto javu nedôjde. Takto sa úspešne autentizuje a získava možnosť uskutočňovať akcie týkajúce sa užívateľského účtu, ako je napríklad zmena hesla.</p><p>Na úspešné dokončenie útoku je nutné zneužitie druhej časti zraniteľnosti, týkajúce sa RPC Podpisovania a Pečatenia správ. Táto vlastnosť určuje, či bude zvyšok komunikácie medzi serverom a klientom šifrovaný (za použitia šifrovacieho kľúča získaného v predchádzajúcom bode), alebo či bude komunikácia prebiehať bez šifrovania. Súčasťou autentizačného handshaku je hlavička určená klientom, ktorá umožňuje túto vlastnosť vypnúť, čím je útočníkovi (ktorý nepozná šifrovací kľúč, pretože samotné prihlásenie uskutočnil bez jeho znalosti zneužitím prvej časti zraniteľnosti Zerologon), umožnené bez obmedzenia posielať ďalšie požiadavky na server a pokračovať až k celkovej kompromitácii servera zmenou hesla pre doménového administrátora.</p><p style="text-align:center;"> <img class="maxWidthImage" alt="Samsung zranitelnost" src="/cz/PublishingImages/news/2020/zerologon-02.jpg" data-themekey="#" style="margin:5px;width:650px;" /> </p> <h2>Oprava zraniteľnosti</h2><p>Na zamedzenie zneužitia zraniteľnosti je nutné aplikovať bezpečnostné záplaty na všetky servery Windows Server 2008 a novšie, podľa informácií dostupných na: <a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472"><span lang="SK" style="text-decoration:underline;">https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472</span></a>.</p><h3 style="margin:auto;text-align:justify;color:#262626;text-transform:none;line-height:1.4em;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:bold;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-color:initial;text-decoration-style:initial;">Použité zdroje</h3><ul style="list-style:square;margin:0px;padding:0px 0px 0px 20px;text-align:justify;color:#696158;text-transform:none;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-color:initial;text-decoration-style:initial;"><li> <a href="https://www.secura.com/pathtoimg.php?id=2055" target="_blank" style="color:#5c72b7;text-decoration:none;">https://www.secura.com/pathtoimg.php?id=2055</a></li><li> <a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472" target="_blank" style="color:#5c72b7;text-decoration:none;">https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472</a></li><li> <a href="https://www.trendmicro.com/en_us/what-is/zerologon.html" target="_blank" style="color:#5c72b7;text-decoration:none;">https://www.trendmicro.com/en_us/what-is/zerologon.html</a></li><li> <a href="https://nukib.cz/cs/infoservis/hrozby/1636-upozorneni-na-zranitelnost-zerologon/" target="_blank" style="color:#5c72b7;text-decoration:none;">https://nukib.cz/cs/infoservis/hrozby/1636-upozorneni-na-zranitelnost-zerologon/</a></li><li> <a href="https://threatpost.com/zerologon-attacks-microsoft-dcs-snowball/159656/" target="_blank" style="color:#5c72b7;text-decoration:none;">https://threatpost.com/zerologon-attacks-microsoft-dcs-snowball/159656/</a></li><li> <a href="https://github.com/VoidSec/CVE-2020-1472" target="_blank" style="color:#5c72b7;text-decoration:none;">https://github.com/VoidSec/CVE-2020-1472</a></li><li> <a href="https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/hijacking-a-domain-controller-with-netlogon-rpc-aka-zerologon-cve-2020-1472/" target="_blank" style="color:#5c72b7;text-decoration:none;">https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/hijacking-a-domain-controller-with-netlogon-rpc-aka-zerologon-cve-2020-1472/</a></li><li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472" target="_blank" style="color:#5c72b7;text-decoration:none;">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472</a></li></ul><p> </p><table width="390" style="border-width:0px;color:#696158;text-transform:none;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;border-collapse:collapse;orphans:2;widows:2;background-color:#ffffff;text-decoration-color:initial;text-decoration-style:initial;"><tbody><tr><td width="100" align="center" valign="middle"><img alt="Mikuláš Hrdlička, AEC" src="https://www.antivirus.cz/Blog/PublishingImages/AEC-lidi/hacker-assessment-green.png" data-themekey="#" style="margin:5px;border:currentcolor;width:100px;max-width:690px;" /></td><td width="290" align="left" valign="top"><p style="margin:0px 0px 10px;line-height:1.6;"><strong>Mikuláš Hrdlička</strong><br>Cyber Security Specialist<br>AEC a.s.</p><p style="margin:0px 0px 10px;line-height:1.6;"><img src="https://www.antivirus.cz/Blog/PublishingImages/AEC-lidi/aec-sroubovice-dna-assessment.png" data-themekey="#" alt="" style="margin:5px;border:currentcolor;width:150px;max-width:690px;" /> </p></td></tr></tbody></table>
​Nový typ útokov vysáva bankomaty. Prvé banky zavádzajú protiopatreniahttps://aec.cz/sk/novinky/Stranky/novy-typ-utokov-vysava-bankomaty-prve-banky-zavadzaju-protiopatrenia.aspx​Nový typ útokov vysáva bankomaty. Prvé banky zavádzajú protiopatrenia<p> <strong>Finančné inštitúcie prevádzkujúce bankomaty od firmy Diebold Nixdorf ohrozujú nové typy útokov. Z testov uskutočnených expertmi od spoločnosti AEC vyplýva, že existujúce zariadenia s neaktualizovaným systémom, nie sú schopné odolať napadnutiu. Útoky na platobné terminály, ktoré vo veľkom používajú aj bankové domy v Slovenskej a Českej Republike, boli nedávno zaznamenané v mnohých európskych štátoch.</strong></p><p>O testovanie svojich bankomatov požiadala špecialistov z AEC, popredného poskytovateľa kybernetického zabezpečenia, významná  slovenská finančná inštitúcia. Uskutočnila tak potom, čo spoločnosť Diebold Nixdorf, jeden z najväčších dodávateľov bankomatov, zareagovala na útoky oficiálnym bezpečnostným varovaním. Z neho okrem iného vyplýva, že výrobca na zariadeniach skúma, ako je možné, že podvodníci boli zrejme schopný na neaktualizovanej verzii bankomatu odpočúvať komunikáciu vnútri zariadenia.</p><p>AEC pri testovaní simulovala krok za krokom činnosť útočníka. Objavili, že najnovšie incidenty spadajú do kategórie označovanej ako ATM jackpotting, v ktorej sa útočník dostane pod kryt vybraného zariadenia. Tam sa za pomoci vlastného, špeciálne upraveného zariadenia, napojí na USB port bankomatu a komunikuje priamo s dispenserom, čiže zariadením, ktoré z bankomatu vydáva hotovosť. Ďalší preverovaný variant útoku bol taký, pri ktorom sa útočník po pripojení k USB portu bankomatu pokúša zvýšiť svoje prístupové práva na úroveň administrátora tak, aby následne mohol obchádzať obmedzenia a nahrať doň vlastný kód. </p><p> <em>„Overili sme si, že človek, ktorý vie kde hľadať, sa ku skrytému USB portu bankomatu dostane v priebehu pár sekúnd,"</em> upozorňuje Tomáš Sláma, šéf penetračných testerov spoločnosti AEC, a dodáva: <em>„</em><em>Výsledkom bolo zistenie, že tie bankomaty, ktoré nemali aktualizovaný firmware, nie sú dostatočne odolné proti takému typu útoku a dá sa z nich neoprávnene čerpať hotovosť."</em></p><p><img src="/cz/PublishingImages/news/2020/SON00908.jpg" data-themekey="#" alt="" style="margin:5px;width:650px;" /> </p><p>To je podľa Tomáša Slámu dôvodom, prečo by si mala každá zodpovedná banka nechať pravidelne overovať odolnosť svojich zariadení proti najrôznejším typom zraniteľností odborníkmi tak, ako to v tomto prípade urobila spomínaná finančná inštitúcia na Slovensku .</p><p>Etickí hackeri AEC sa za dobu svojho pôsobenia etablovali ako špička v obore kybernetickej bezpečnosti. Vďaka svojím rozsiahlym skúsenostiam, znalostiam a erudícii dokážu otestovať zabezpečenie systému akéhokoľvek bankomatu a preto sú pravidelne oslovovaní množstvom popredných svetových spoločností z oblasti bankovníctva. Tím AEC poskytuje komplexný bezpečnostný audit, na ktorého základe je schopný klienta upozorniť na slabé miesta v systéme testovaného zariadenia a ponúknuť mu odporúčania, ako zabezpečenie nastaviť lepšie a tým výrazne znížiť riziko zneužitia.</p><p> <em>„V tomto prípade klientom po otestovaní ich zariadení jednoznačne odporúčame aktualizovať firmware,"</em> hovorí šéf penetračných testerov AEC a upresňuje: <em>„</em><em>Aktualizácie zvyšujú úroveň zabezpečenia komunikácie medzi systémom, ktorý povoľuje vydávanie peňazí a dispenserom. Po ich inštalácii už zariadenie neakceptuje podvrhnuté príkazy útočníka." </em></p><p> </p><p style="text-align:center;"> <a href="/cz/Documents/Files/2020/AEC_ATM-jackpotting-SK.pdf" target="_blank"><img src="/cz/PublishingImages/news/2020/SK%20náhled%20ATM.png" data-themekey="#" alt="" style="margin:5px;width:276px;height:394px;" /></a> </p><p style="text-align:center;"> </p>

 

Blog

 

 

Čtvrtina útoků v prosinci cílila na heslahttps://www.antivirus.cz/Blog/Stranky/ctvrtina-utoku-v-prosinci-cilila-na-hesla.aspxČtvrtina útoků v prosinci cílila na hesla
Počet kyberútoků na nemocnice a zdravotnická zařízení dramaticky roste, nejhorší situace je ve střední Evropěhttps://www.antivirus.cz/Blog/Stranky/pocet-kyberutoku-na-nemocnice-a-zdravotnicka-zarizeni-dramaticky-roste-nejhorsi-situace-je-ve-stredni-evrope.aspxPočet kyberútoků na nemocnice a zdravotnická zařízení dramaticky roste, nejhorší situace je ve střední Evropě
ESET varuje před podvodnými investičními stránkamihttps://www.antivirus.cz/Blog/Stranky/eset-varuje-pred-podvodnymi-investicnimi-strankami.aspxESET varuje před podvodnými investičními stránkami
Herní průmysl zažívá boom, ale pozor na zranitelnosti. Check Point odhalil hned čtyři v síťové knihovně Steamhttps://www.antivirus.cz/Blog/Stranky/herni-prumysl-zaziva-boom-ale-pozor-na-zranitelnosti-checkpoint-odhalil-hned-ctyri-v-sitove-knihovne-steam.aspxHerní průmysl zažívá boom, ale pozor na zranitelnosti. Check Point odhalil hned čtyři v síťové knihovně Steam
Kyberzločinci prodávají na dark netu koronavirové vakcíny, množí se i vakcínový phishing a podvodné doményhttps://www.antivirus.cz/Blog/Stranky/kyberzlocinci-prodavaji-na-dark-netu-koronavirove-vakciny-mnozi-se-i-vakcinovy-phishing-a-podvodne-domeny.aspxKyberzločinci prodávají na dark netu koronavirové vakcíny, množí se i vakcínový phishing a podvodné domény
Hrozba pro stovky milionů uživatelů, aplikace v Google Play ohroženy nebezpečnou zranitelnostíhttps://www.antivirus.cz/Blog/Stranky/hrozba-pro-stovky-milionu-uzivatelu-aplikace-v-google-play-ohrozeny-nebezpecnou-zranitelnosti.aspxHrozba pro stovky milionů uživatelů, aplikace v Google Play ohroženy nebezpečnou zranitelností
Rok 2021 přinese další koronavirové kyberútoky, kybernetické konflikty a hrozby pro 5G a IoThttps://www.antivirus.cz/Blog/Stranky/rok-2021-prinese-dalsi-koronavirove-kyberutoky-kyberneticke-konflikty-a-hrozby-pro-5g-a-iot.aspxRok 2021 přinese další koronavirové kyberútoky, kybernetické konflikty a hrozby pro 5G a IoT
NSA upozorňuje na nebezpečné zranitelnosti, Česká republika mezi nejvíce napadenými zeměmihttps://www.antivirus.cz/Blog/Stranky/nsa-upozornuje-na-nebezpecne-zranitelnosti-ceska-republika-mezi-nejvice-napadenymi-zememi.aspxNSA upozorňuje na nebezpečné zranitelnosti, Česká republika mezi nejvíce napadenými zeměmi
Pozor na mobilní malware WAPDropper, přihlásí vás k odběru placených služebhttps://www.antivirus.cz/Blog/Stranky/pozor-na-mobilni-malware-wapdropper-prihlasi-vas-k-odberu-placenych-sluzeb.aspxPozor na mobilní malware WAPDropper, přihlásí vás k odběru placených služeb
Nejčastější hrozby pro Android za listopad: Experti varují před mobilním malwarem, který ohrožuje internetové bankovnictvíhttps://www.antivirus.cz/Blog/Stranky/nejcastejsi-hrozby-pro-android-za-listopad-experti-varuji-pred-mobilnim-malwarem-ktery-ohrozuje-internetove-bankovnictvi.aspxNejčastější hrozby pro Android za listopad: Experti varují před mobilním malwarem, který ohrožuje internetové bankovnictví

CDC info

 

 

Útok na SolarWindshttps://aec.cz/cz/cdc-info/Stranky/utok-na-solarwinds.aspxÚtok na SolarWindsHigh
Pozor na aplikaci com.desn.dagpshttps://aec.cz/cz/cdc-info/Stranky/pozor-na-aplikaci-com-desn-dagps.aspxPozor na aplikaci com.desn.dagpsHigh
TLS 1.3https://aec.cz/cz/cdc-info/Stranky/TLS-1.3.aspxTLS 1.3Info
Cisco ASA VPN XML Parser Denial of Service Vulnerabilityhttps://aec.cz/cz/cdc-info/Stranky/cisco-asa-vpn-xml-parser-denial-of-service-vulnerability.aspxCisco ASA VPN XML Parser Denial of Service VulnerabilityHigh
Kritická zranitelnost the GHOST vulnerability (CVE-2015-0234)https://aec.cz/cz/cdc-info/Stranky/Kriticka-zranitelnost-the-GHOST-vulnerability.aspxKritická zranitelnost the GHOST vulnerability (CVE-2015-0234)Critical
Kritická zranitelnost OpenSSL (CVE-2014-0160)https://aec.cz/cz/cdc-info/Stranky/Kriticka-zranitelnost-OpenSSL.aspxKritická zranitelnost OpenSSL (CVE-2014-0160)Critical
Kritická zranitelnost v Bash (CVE-2014-6271) https://aec.cz/cz/cdc-info/Stranky/Kriticka-zranitelnost-v-Bash.aspxKritická zranitelnost v Bash (CVE-2014-6271) Critical