IT-krimielle har, ligesom varmen skruet op for charmen, men det er ikke en rar oplevelse, som man vil ønske sig besøg af midt i en periode med sommerferie.

Ransomware er særligt i denne sommerperiode en helt overskyggende trussel mod danske virksomheder og offentlige myndigheder og de it-kriminelle lancerer kampagnerne i kaskader og med en høj grad af kreativitet. Vi har paraderne nede og det udnyttes!

Dette indlæg vil ikke gå i tekniske detaljer omkring den binære payload i ransomware. Alle kendte og persistente ransomware varianter har vi allerede pillet fra hinanden og analyseret. Der er udsendt i massevis af tekniske artikler på vores platinum alert liste. Hvis man ønsker at vide mere om CSIS platinium alert, så kontakt os via vores hjemmeside: https://www.csis.dk/da/csis/contact/

Tre Randomware familier rammer Danmark
Ransomware, som rammer Danmark er groft fordelt i tre malware familier: Cryptowall, CTB-Locker og FileCoder. De spredes via to centrale metoder: spamkampagner med vedhæftede filer og ved brug af "drive-by" angreb.

Høj kreativitet
Når vi taler om kreativitet ses det bl.a. ved den seneste kampagne som er blevet skudt i gang i dag. Denne anvender Google Drive som platform til infektionen. Den første fase udføres ved at indlejre scripts på legitime websider. Disse scripts flytter ofret (uden dennes viden) over på et større antal dedikerede domæner, som udfra en stribe kriterier, hverunder browsertype og GeoIP, bestemmer hvordan maskinen skal beskydes og ikke mindst hvilken payload der skal leveres. I den konkrete kampagne er der gjort brug af RIG exploitkit som beskyder Flash Player, JavaJRE og Adobe Reader. Er systemet sårbart leveres payloaden som trækkes fra Google Drive. Et saniteret udsnit herunder:

https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBQm1XcVZ3SXhwdlk
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBQnVhbFR0NXhSa2s
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBR2ZvZkJRWHprNk0
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBRE1KZGNUYkpWb1U
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBSFNURHVhal8zV2s
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBUFh4X20xZU5sclE
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBVDJ3d1FEbFdRSEk
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBc2NoVFgtNnlhNk0
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBcHUxd0toanNBNVE
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBdFZzSUxad2I2aWM   

Disse URLs returnerer en dropper "resume.zip" (my_resume_pdf_id-4535-4553-293.scr). Denne forbinder sig herunder til en stribe kompromiterede websider, hvor den henter og kører Cryptowall3. Et lille udsnit herunder (saniteret af CSIS)

http://furnishingsuk[.]com/wp-includes/certificates/e2.php
http://getstarstar[.]com/wp-content/plugins/e5.php 
http://henleybond[.]com/wp-includes/js/tinymce/plugins/e1.php 
http://izzhoga[.]su/css/e5.php 
http://lovetarianway[.]com/wp-includes/js/tinymce/plugins/e3.php 
http://mccollougharchitecture[.]com/wp-content/uploads/2014/04/e2.php

Fra det øjeblik er Cryptowall3 på maskinen og vil injekte sig i "dwwin.exe" processen, mens den spawner en process der igangsætter selve kryptering af data lokalt og i det tilgængelige netværk. Den vil samtidig sprede sin binære kode via den selvsamme metode hvorved nye ofre i netværket kan eksponeres for koden.

Risiko for datalækage
Cryptowall opnår generelt kun begrænset antivirus detektion i infektionsvinduet. De seneste varianter af Cryptowall indeholder forskellige funktioner der kan åbne for fjernadministration af inficerede maskiner i netværket, ligesom den er i stand til at mutere. Det kan udover kryptering af data også føre til datalækage.

CSIS har blokeret alle kendte Cryptolocker domæner i CSIS Secure DNS hvilken også beskytter brugere af Heimdal PRO og corporate.

Gode råd:
1) Sikre at virksomhedens backup systemer fungerer og gennemfører en test inden man tager på sommerferie.
2) Etabler en incident reponse funktion, så man rettidigt og korrekt kan bremse denne trussel i en tidlig fase af komrpomittering.
3) Etabler og sikre at firmaet har patch management på plads så sårbart software, som misbruges til at plante denne trussel, er behørigt opdateret
4) Bloker domæner på perimeter som anvendes til at levere ransomware
5) Sikre, at mailgateway eller leverandør, har filtype politik på plads og at der scannes med en eller flere antivirus løsninger
6) Skab awareness for brugere så de ikke ukritisk klikker på alt der modtages via eksempelvis e-mail
7) Find en it-sikkerhedspartner som teknisk er i stand til at isolere og håndtere disse angreb, så nedetid følgeskader begrænses til et minimum

Mere læsning om Ransomware fra CSIS:
https://www.csis.dk/da/csis/blog/3655/
https://www.csis.dk/da/csis/news/3528/
https://www.csis.dk/da/csis/blog/4577/

Mange danske virksomheder og kommuner har bøvlet med ransomware i sommerferien. I særdeleshed har kidnapningssoftwaren "Cryptowall3" været særligt aktiv, og det er der en god grund til. I det følgende finder du årsagen.

CSIS har analyseret de akutuelle incidents, som vi har været involveret i, og der tegner sig et tydeligt mønster.

Alene herhjemme i Danmark er flere end 250 websider blevet systematisk kompromitteret, og it-kriminelle har brugt denne lejlighed til at indsætte et ondsindet script (se skærmdump herunder) flere centrale steder på websiden.


Det pågældende script (base64 kodet) flytter brugeren til det kommercielle exploitkit, kendt som AnglerEK, via forskellige domæner som løbende roterer.

Som nævnt har vi positivt bekræftet flere end 250 websider herhjemme i Danmark - og flere end 70.000 på globalt plan.

Herunder et lille udsnit af websider herhjemme, som desværre også tæller flere store og velbesøgte websites, hvilket forklarer det stigende antal af incidents relateret til Cryptowall3 ransomwaren:

kunde[.]statoil[.]dk
p360[.]dk
plo-e[.]dk
slankeklubben[.]dk
blitz[.]envo[.]dk
f35[.]dk
videoad[.]dk
matchbiler[.]dk
socval[.]dk
bandana[.]minus-akasse[.]dk
peterpackroff[.]dk
danskemarketing[.]dk
agrodata[.]dk
biostata[.]dk
bisontelt[.]dk
heatweed[.]dk
foodsense[.]dk
thermo-fug[.]dk
pjank[.]dk
cuma[.]dk
paraplyshop[.]dk
eventcom[.]dk
riven[.]dk
nemliga[.]dk
danskenetspil[.]dk

AnglerEK beskyder Flash og Java
AnglerEK affyrer exploits rettet mod nyere versioner af Flash Player og JavaJRE. Hvis systemet er sårbart vil dette tvangsfodre maskinen med Cryptowall3. Se tidligere analyse af Cryptowall varianter som er postet på vores webside eller udsendt via vores platinum alert service.

Vores analyse afslører, at de mange kompromitterede websider kører CMS software som ikke er behørigt opdateret. Derved er det lykkedes at lave masse kompromitteringer og injekte det uønskede script på de mange websider. Blandt de positive mål, som udsættes for automatiseret kompromittering, finder vi: Wordpress, Joomla, Drupal m.fl.

AnglerEK leverer kun payloaden en gang per IP adresse som besøger EK gatewayen. Den indeholder derudover en lang blackliste over IP adresser, som aldrig modtager nogen payload, og det besværliggør indlysende reproduktion af payloaden. 

Antivirus detektion for AnglerEK er generelt lav og payloaden roterer løbende, hvilket betyder at den rette løsning er at implementere fuld patch management af kritiske trejdepartsprodukter hen over hele netværket samt eksterne arbejdsspladser, og med særlig vægt på Flash Player, Adobe Reader/Acrobat og JavaJRE. Det er samtidig vigtigt også at opprioritere fokus på webserver sikkerheden og navnligt applikationer som tjener til formålet at styre og ændre indholdet på websiderne. Hvis disse applikationer ikke er korrekt opdateret - eller plugins er installeret uden at de er blevet løbende vedligeholdt - er det en tikkende bombe under virksomheden, som kan skade besøgende og samarbejdspartnere.

Alle skadelige domæner er blokeret i CSIS Secure DNS og Heimdal. 

Virksomheder, som ikke gør professionelt brug af Flash Player, kan overveje at afinstallere/deaktivere dette plugin.

CSIS har opsamlet og analyseret en ny "Smishing" kampagne som skydes ud mod mobiltelefoner i Danmark via SMS. Målet er at fiske brugernavn og password samt nøglekort til NemID. Smishing er et fænomen hvor der sendes en SMS til vilkårlige modtagere og som ligesom klassisk phishing så lokker modtageren til at opgive sensitive oplysninger.

Den pågældende SMS afsendes spoofet fra en SMS gateway der skjuler SenderID hvorfor den ser ud til at komme fra NemID.

Se skærmdump af SMS modtaget på en iPhone:


Det pågældende link er en URL-forkorter som flytter trafikken videre til en hacket WordPress side (saniteret af CSIS):

http://bit[.]ly/1LZbH3T
-->
http://www.aiyachtclub[.]com/nemid/run/update/ca906658cc22ae7d37cecb0555b20f84/mpp/update/

På en Apple iPhone ser den forfalskede webside ud som følgende. Bemærk, at der med denne kampagne også er medtaget forsøg på at lokke naivne ofre til at uploade deres NemID kort.


Det pågældende domæne er allerede blokeret i CSIS Secure DNS og dermed er også Heimdal PRO brugere beskyttet.

Data som indtastes på den forfalskede webside, sendes til en PHP gateway på følgende adresse (saniteret af CSIS)
http://juppifruit[.]nl/get.php

Også dette domæne er blokeret i CSIS Secure DNS.

Vi har tidligere advaret flere gange omkring Smishing angreb:
https://www.csis.dk/da/csis/blog/4659/

Slet disse uønskede beskeder og alternativt rapporter forsøg til phishing_@_csis.dk.

Vi har set mange friske apps, som henover det seneste år har lokket naive Facebook med at kunne ændre udseenet på Facebook. Typisk er lokkemaden at disse app's kan anvendes til at få nye farver og et anderledes frisk look af Facebook. Når denne kampagne, som netop nu er skudt i gang, spreder sig blandt Facebook brugere hævder den bl.a. "Aldrig mere samme kedelige blå tema".

Som altid er det dog et fluepapir, og den pågældende kampagne har et helt andet formål: at indsamle dit brugernavn og password og sprede sig til andre godtroende Facebook brugere.

Hele denne phishing kampagne (som vi vist roligt kan kalde den) udspringer via websiden: facebooktheme.net. Websiden gør ikke brug af en app men derimod regulær phishing til at sprede sig videre til andre brugere. Se skærmdump herunder:


En interessant observation i forhold til den pågældende fupside er de registrerede whois data:

Domain Name: FACEBOOKTHEME.NET
Registry Domain ID: NA
Registrar WHOIS Server: whois.enom.com
Registrar URL: www.enom.com
Updated Date: 2015-09-09T04:20:00.00Z
Creation Date: 2015-09-09T11:20:00.00Z
Registrar Registration Expiration Date: 2016-09-09T11:20:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Reseller: NAMECHEAP.COM
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: BILL LIEW
Registrant Organization:
Registrant Street: PUDONG AVENUE 599
Registrant City: SHANGHAI
Registrant State/Province: NONE
Registrant Postal Code: 200120
Registrant Country: CN
Registrant Phone: +86.1381607021
Registrant Phone Ext:
Registrant Fax: +86.13816070219
Registrant Fax Ext:
Registrant Email: bill.liew@hotmail.com

Er det ikke samme e-mail adresse, som bl.a. står bag: viralpop.com, meetthemes.com, sugiharaanri.com? Jo, præcist og dem skal man også holde sig fra!

På facebooktheme.net lokkes ofret til at logge på Facebook, hvorved at login data som brugernavn og password, overdrages til trejdepart. I næste fase anvendes de login oplysninger som man netop har givet bagmændene til at sprede budskabet videre til andre Facebook brugere med følgende indhold:


Godt råd:
Hvis du ser venner og bekendte sprede dette indhold, så fortæl dem at de skal skifte deres brugernavn og password til Facebook.

Vi har blokeret det pågældende domæne i CSIS Secure DNS og i Heimdal PRO/corporate for at beskytte vores kunder mod datalækage og kontoovertagelse.

Du skal aldrig opgive dit brugernavn og password på websider, som ikke tilhører Facebook, ligesom en god ide er at aktivere 2-faktor autentifikation. Det yder et ekstra lag af sikkerhed.

Vi har været ude med talrige advarsler omkring phishing og faren ved at lade sig lokke til at klikke ukritisk på links i uønskede e-mails. De phishing kampagner som målrettes Danmark er rent trækplaster for mange nysgerrige danskere. Det skal helst ændre sig. Det er en farlig leg.

I denne artikel kigger vi på lidt statistik, som vi har opsamlet i forbindelse med en phishing kampagne, som rullede ind over Danmark i sidste uge. Lokkemaden var en e-mail, som foregav at komme fra NETS. Som hovedparten af andre phishing kampagner, rettet mod Danmark, er det uønskede og forfalskede indhold hostet på en kompromitteret hjemmeside. Her skal ofret lokkes ind og skræmmes/lokkes til at indtaste brugernavn og password til NemID. Det alene gør det naturligvis ikke, da ofret i næste fase også lokkes til at tage et billede af sit nøglekort, og uploade det via den forfalskede webside. Med de to vigtige og personlige oplysninger i hånden kan de it-kriminelle gennemføre alle tænkelige transaktioner, ja reelt overtage ofrets identitet. Men hvor mange besøger så reelt disse phishing sider? Er vi ikke blevet kloge nok til at gennemskue denne type svindel? Her taler vores statistik desværre sit helt tydelig sprog.

1038 kliks på 36 minutter!
I den konkrete måling, gennemført af CSIS med hjælp fra en hosting udbyder, som ufrivilligt havde phishing indholdet hostet, kan vi afsløre at der i den konkrete NETS phishing kampagne blev observeret ikke færre end 1038 unikke besøgende indenfor blot 36 minutter. Det er rigtigt mange naive kliks. De mange besøgende kommer, som det ses af illustrationen herunder, fra alle dele af landet, og dog med en høj koncentration omkring region hovedstaden.


Det er indlysende ikke alle, som går hele vejen og - udover at besøge den forfalskede webside, så også videregiver yderst personlige oplysninger til de it-kriminelle. Vi gætter på, at hovedparten af de personer som klikker på disse links, reelt blot er nysgerrige. Men det kan være risikabelt at klikke på links man modtager i uønskede e-mails.

Kønsfordeling og alder
Vi kan endda gå endnu dybere, og se nærmere på f.eks. kønsfordeling og alder. Her gælder det naturligvis de ofre, som har været letsindige nok til at videregive oplysninger til disse forfalskede websider.


Risikabelt at klikke hovedløst på links
En anden statistik, som er baseret på tal indsamlet over hele 2014 afslører nemlig, at flere end 73,4% af alle infektioner sker ved at it-kriminelle misbruger huller i ikke opdateret software. Det er den type angreb som vi kalder "drive by" angreb og de udføres netop ved at lokke et offer ind på en webside og derfra forsøge at tvangsfodre maskinen med malware/virus. Det kan bl.a. ske hvis ofret ikke har opdateret vigtige trejdepartsprogrammer sm f.eks. Adobe Flash Player, Adobe Reader/Acrobat, Microsoft Silverlight, JavaJRE, Quicktime og browseren.

Beskyt dig med Heimdal
Når vi kan dokumentere, at så mange klikker på links i uønskede e-mails, er en naturlig foranstaltning og krav, at man som minimum sørger for at vigtige programmer er korrekt opdaterede. Og til det formål har vi udviklet Heimdal Security Agent. Det lille brugervenlige værktøj kan hentes helt gratis og bruges til privat formål. Hvis du vil vide mere om Heimdal, så besøg hjemmesiden på: https://heimdalagent.com.

Sådan undgår du at blive svindlet - et par gode råd
- Slet spam. Undlad at åbne spammails. Du skal afstå fra at klikke på indhold eller svare på uønsket post da det blot bekræfter at du modtager dem med den konsekvens at du kan risikere at modtagere endnu mere.

- Du skal ikke klikke ukritisk på links i mails, tekstbeskeder, popup-vinduer eller chatbeskeder. Hvis du modtager en e-mail fra en bank eller offentlig myndighed, som skræmmer dig til at ændre password, så besøg istedet hjemmesiden via browserens adressefelt eller brug den vej eller det bogmærke, som du er vant til.

- Du skal også udvise forsigtighed og sund fornuft med at klikke ukritisk på vedhæftede filer. En stor del af de grimme trusler kommer via spammails med vedhæftede filer som lokker med alt lige fra en pakke, fax, bestilling, rejse osv. En stor andel af disse spammails ankommer som f.eks. en zip fil men de mere raffinerede kan sagtens ankomme som dokumenter.

- Vær forsigtig, når du giver personlige eller finansielle oplysninger fra dig online.

- Vælg et godt password og lad være med at bruge det samme password til både din bank og på tværs af andre websider.

- Undlad at anvende netbank, online shopping eller betale regninger, hvis du sidder på en offentlig eller delt computer, eller over et åbent trådløst netværk.

Sikker post og chat med Ghostmail
Som en ekstra sikkerhed har CSIS også været med til at udvikle en sikker og brugervenlig e-mail og chat tjeneste, som hedder Ghostmail. Den er gratis, og du kan tilmelde dig, kvit og frit via: https://www.ghostmail.com

CSIS løfter med øjeblikkelig virkning vores trusselsvurdering fra medium til høj. Det sker som konsekvens af en ny massiv spambølge som i dag rammer Danmark og som leverer rendyrket og ondsindet ransomware. Vi har flere virksomheder, som i dag har henvendt sig til CSIS, og som ønsker hjælp efter de er ramt af denne ransomware. 

Den pågældende spammail foregiver at komme fra PostNord/Postdanmark. Med den uønskede e-mail følger et link, som hvis klikkes på, vil flytte ofret over på en webside, hvorfra man vil blive tilbudt filen "forsendelse.zip -> forsendelse.exe".


Infektionskæde, ved et klik på ovenstående link, er gengivet herunder:

http://dshome.ru/cLkKV6jnihC5g.php?id=(email adresse på modtageren)
(1)  --> postdanmark-portal.com -> forsendelse.zip
(2)  --> sync.security.pp.regruhosting.ru

Hvis denne fil åbnes af en uforsigtig bruger (og flere advarsler ignoreres) vil en ransomware med navnet "crypt0l0cker" droppes til maskinen. Denne malware vil injekte sig i flere processer og dernæst igangsætte kryptering af data lokalt samt på alle tilgængelige netværksressourcer. Det kan føre til tab af data og give massive driftsforstyrrelser.

Det pågældende link anvender en "jumpstation" med en referal til [%modtager e-mailen%] (derved bekræfter de også at modtageren er aktiv), som har klikket på linket. Referal ID'et skaber en base64 kodet identifikator, som gør at ransomwaren kun tilbydes en gang. Hvis man efterfølgende forsøger at genskabe problemet, og forsøger at hente koden vil man blive videredirigeret til Google. Snedigt.

Den binære kode kopierer sig til windows mappen med et vilkårligt filnavn f.eks."ohuhycpg.exe", hvorefter den forbinder sig til en server i Rusland på IP adressen (saniteret af CSIS): 109.120[.]155.159. Det sker ved at injekte sig i explorer.exe processen. Serveren oversættes via DNS fra følgende domæner: 

ejkoesc[.]net
oroxwey[.]com 
mqweodhy[.]com


Alle kidnappede data vil blive tilføjet filendelsen ".encrypted". Samtidig opretter den filen "HOW_TO_RECOVER_FILES.html" på skrivebordet. Denne fil indeholder instruktioner om betaling for at opnå adgang til data. Se skærmdump herunder:


Koden opretter en runas værdi som sikrer at koden aktiveres ved en genstart af maskinen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run agukelub

Den deaktiverer endvidere diverse antiphishing filtre f.eks. i IE:
HKEY_USERS\Software\Microsoft\Internet Explorer\PhishingFilter Disabled

Vi har blokeret disse domæner i CSIS Secure DNS. Antivirus detektion er yderst lav.
https://www.virustotal.com/da/file/1b41c32c55de43ddb3871260fd0ea30d067dc27840b7f63d857afa7f9267c73a/analysis/1442488273/

Derudover har vi blokeret for mere end 100 domæner der anvendes som "jumpstationer" i CSIS Secure DNS og Heimdal PRO/corporate.

En sværm af nye Postdanmark/PostNord spamkampagner har kostet flere virksomheder herhjemme massive driftsforstyrrelser her til morgen. Den nye kode er blevet finpudset på flere omrpder og det danske sprog er blevet markant forbedret hvilket øger risikoen for at brugere klikker på de skadelige e-mails.

I går aftes kl. 20.34 opsamlede CSIS de første spammails relateret til en ny spambølge som foregiver at komme fra Postdanmark/Postnord. I lighed med tidligere kampagner inkluderer den uønskede e-mail et link. Hvis det pågældende link, klikkes på, af en uforsigig bruger, vil denne via en mellemstation flyttes over på et domæne der leverer en ransomware i Cryptolocker2 familien. Også denne kampagne har desværre held med at ramme mange danske virksomheder, og vi har modtaget talrige henvendelser hen over formiddagen i dag.

Den uønskede e-mail ankommer med emnelinjen:
"PostNord - Forsendelse meddelelse"

Som tidligere nævnt anvendes et link, som via en mellemstation, sender ofret videre til den skadelige kode.

I første fase anvendes følgende mellemstationer (udsnit):

http://perevozki.org
http://mycolledge.org
http://spectronlab.ru

- hvor et PHP script eksempelvis "1ebiljse.php" flytter trafikken til et af følgende domæner:

postdanmark-portal24.net
postdanmark-portal24.com

Payloaden hentes i sidste fase fra: "downloader.disk.yandex.com" som "forsendelse.zip = forsendelse.exe". Det snedige er at ofret skal indtaste en "captcha" inden filen tilbydes.

Se skærmprint af den skadelige webside herunder:


Der er ikke, i lighed med tidligere kampagner, et max antal begrænsninger for hentning af den skadelige kode, og det gør muligvis analyse af selve koden nemmere, men det øger samtidig risikoen for flere infektioner.

Det pågældende spamrun er rettet mod Skandinavien og er sprogtilpasset. Der er andre domæner som er oprettet for henvendelse Norge og Sverige, hvor lokkemaden er PostNord.

Den skadelige kode er Cryptolocker2 (crypt0l0cker). I lighed med tidligere, varianter, som vi har analyseret, vil denne ved kørsel kryptere data både lokalt og på delte netværksresourcer. Den sletter endvidere den lokale shadow copy.

Cryptolocker2 indeholder flere funktioner. Dels, så binder den maskinen ind i et BOTnet, hvor data sendes til omkring infektionen. Det inkluderer - men er ikke begrænset til: "computernavn", "IP adresse", "installationstidspunkt" og "BOTid". Vi har for længst blokeret alle disse domæner, samt mellemstationer og payload domæner i CSIS Secure DNS og Heimdal PRO/corporate.

I den sidste del af infektionen åbnes et ONION link til TOR. Her leveres instruktioner om hvordan man betaler for at genvinde de kidnappede data. Se skærmprint herunder.


På udsendelsestidspunktet var der yderst lav antivirus detektion af den skadelige kode (1/55)
https://www.virustotal.com/da/file/30ef75ebbbc7c27500dcbbf1db1aaab35be6a8e72e60a7a0ca91a621e4f62e6a/analysis/1443030595/

Vi har tidligere bragt en advarsel omkring disse yderst ondsindede spamkampagner:
https://www.csis.dk/da/csis/news/4726/

Vil du dygtiggøre dig indenfor it-sikkerhed og undervises af de bedste og mest kompetente i markedet? Nu har du chancen!

Vi har lyttet til vores kunder og deres behov for uddannelse, og har netop lanceret følgende CSIS Academy kurser for 2016:

- Fraud analyst
- Infrastucture security
- Secure development.

Der er således noget for enhver smag, hvis man arbejder professionelt med it-sikkerhed. Kurserne spænder mellem opbygning af sikker og kritisk infrastruktur, sikker udvikling og programmering samt bekæmpelse og forbyggelse af svindel og elekronisk krimialitet.

lere oplysninger kan findes på vores hjemmeside:
https://www.csis.dk/da/academy/courses/

I dag har Finansrådet og Digitaliseringsstyrelsen i tæt samarbejde lanceret en kampagne som skal skabe mere awareness og forståelse omkring sikker internet adfærd.

Det er et faktum at alt for mange danskere bliver svindlet og snydt på nettet. Det skal denne kampagne gerne være med til at ændre på ved at påvirke vores adfærd, så vi bliver mere opmærksomme på de faldgruber som findes derude og som dagligt misbruges af it-kriminelle i phishing og andre fupkampagner.

Hos CSIS Security Group A/S støtter vi varmt dette initiativ, og håber det kan tjene til at skabe mere oplysning omkring it-sikkerhed.

Vi har i forbindelse med denne kampagne bearbejdet alt data, som vi har indsamlet i løbet af 2015 og som er relateret til phishing. Det kan bruges til at skabe et overblik over problemets omfang.


Grafen er baseret på CPR-numre afleveret af brugere på phishing sites i 2015, hvilket kun har været muligt at opsamle i en mindre del af tilfældene. Det samlede antal er 712 mænd og 602 kvinder.




Felix, som optræder i denne oplysningsvideo, har til anledningen fået udstedt et "licens til snyd". Klik på billedet herunder for at se videoen.


Kampagnens officielle webside kan findes på:
http://sikkerpaanettet.dk/

Værsgo en gratis iPhone 6? Skønt, ik? Men lyder det for godt til at være sandt? Det er det også. Der er en åbenlys catch!

Bag denne kampagne, som spredes viralt på Facebook via det tvivlsomme domæne (saniteret af CSIS): http://applecentral.xyz, står Orville Media. Kender i dem? De vil nemlig gerne lære dig at kende! Og ved lejlighed, indrulle dig i en omfattende abonnementskarusel, hvor du tilmed accepterer deres ublu vilkår.  

Men hvad fanger vores øje? Jo, det faktum at denne kampagne markedsføres viralt via Facebook (som er strid med Facebooks markedsføringspolitik) og ved brug af føromtalte domæne "applecentral.xyz". Dette domæne er beskyttet ved brug af tjenesten "whoisguard", så man ikke kan se ejeroplysninger. Hvorfor ville man gøre det, hvis der var tale om en legitim kampagne? Den slags koster nemlig ekstra!

Domain Name: APPLECENTRAL.XYZ
Domain ID: D11328258-CNIC
WHOIS Server: whois.namecheap.com
Referral URL:
Updated Date: 2015-10-26T12:12:57.0Z
Creation Date: 2015-10-26T12:12:54.0Z
Registry Expiry Date: 2016-10-26T23:59:59.0Z
Sponsoring Registrar: Namecheap
Sponsoring Registrar IANA ID: 1068
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registrant ID: 4VPQU25IHRGCUYWS
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama

Et eksempel på hvordan du indrulles som "iPhone tester" hos Orville Media er illustreret herunder:


Vi har blokeret domænerne i CSIS Secure DNS og Heimdal PRO/corporate. Vi betragter dette som åbenlys bondefangeri.

CSIS har opsamlet en større spam kampagne, som via et vedhæftet zip-arkiv, og et obfuskeret javascript, vil forsøge at downloade malware/ransomware til maskinen. Det sker hvis indholdet aktiveres af en uforsigtig modtager og flere advarsler ignoreres. 

Den uønskede e-mail ankommer med følgende indhold:


Den pågældende .js fil vil forsøge at downloade tre filer fra forskellige kompromitterede websider (saniteret af CSIS)

http://babykucomel.com/wp-admin/js/73.exe
http://balwindersingh.in/bsdemo/js/73.exe
http://avtimespg.com/73.exe

Se skærmdump af obfuskeret og deobfuskeret javascript payload herunder:


En ny bølge af samme bande og med en ny/modificeret payload er sendt i omløb søndag morgen.

Hovedkomponenten er i Cryptowall klassen og dropper sig som "dwjxe-a.exe". Som alle moderne ransomware gennemfører den med det samme en række indgreb på maskinen, som skal besværliggøre gendannelse af systemet efter infektionen. Det sker ved at spawne følgende kommandoer:

bcdedit.exe /set bootems off
bcdedit.exe /set advancedoptions off
bcdedit.exe /set optionsedit off
bcdedit.exe /set bootstatuspolicy IgnoreAllFailures
bcdedit.exe /set recoveryenabled off
vssadmin.exe delete shadows /all /Quiet

Den kontakter herefter yderligere to domæner som anvendes til at indrulle maskinen i et BOTnet ved en GET request til /misc.php? på (saniteret af CSIS):

nhansu1000.net
oriindia.com

Ransomwaren forbinder sig automatisk til:
http://gfhshhf.home7dfg4.com/B186EFC31B48037

Denne URL giver ofret instruktioner om hvordan data kan købes tilbage. Se skærmdump.


Derudover droppes følgende filer indeholdende krav til ofret på den lokale maskine:

how_recover+fuv.htm
how_recover+fuv.txt

Filerne kopieres til windows start mappen, så de vises hver gang maskinen genstartes, eksempelvis:
C:ProgramDataMicrosoftWindowsStart MenuProgramsStartuphow_recover+fuv.htm

Cryptowall krypterer automatisk samtlige datafiler på maskinen.

Vi har blokeret samtlige af disse domæner i CSIS Secure DNS og Heimdal PRO/corporate.

Anbefalinger:
Generelt kan der gives flere råd omkring ransomware men det bedste råd er fortsat at udvise sund fornuft og ikke åbne indhold fra ukendt kilde. Derudover anbefaler vi at man installerer et software som kan hjælpe til at holde tredjepartssoftware opdateret. I den sammenhæng er vores klare anbefaling at man bruger Heimdal som kan hentes gratis til privat forbrug på https://heimdalsecurity.com

Det er IKKE en løsning at betale løsesummen. Det fodrer et voksende kriminelt marked og vil direkte medvirke til at problemet vokser sig endnu større end det allerede er.

Det sidste råd er at sikre at man til enhver tid har en opdateret backup af værdifuld data. Det ikke alene på grund af ransomware men af 1000 andre gode grunde!

DorkBOT er et IRC-baseret BOTnet, som har været persistent siden mindst 2011. Alene i Danmark har vi bekræftet ca. 2.400 inficerede maskiner, som med denne operation, er blevet løsrevet dette fjendtlige BOTnet og nu ikke længere er i risiko for datatyverier og medvirke i DDoS angreb mod DorkBOT udvalgte mål.

DorkBOT spreder sig via USB drev, instant messaging og sociale medier. DorkBOT er en informationstyv som målrettet også går efter online banker.

Med denne operation har CSIS i samarbejde med Microsoft, CERT.PL, ESET og flere andre samarbejdspartnere, delt intelligence med hinanden med henblik på at "sinkhole" DorkBOT og derved afmonte denne trussel.

Operationen blev effektueret i går, og pt. er DorkBOT lammet, og vil næppe være i stand til at genvinde de løsrevne BOTs, også selvom de fortsat er inficeret.

CSIS Threat Intelligence kunder vil løbende blive notificeret omkring infektion.

CSIS Secure DNS og Heimdal PRO/corporate kunder er allerede proaktivt beskyttet.

Yderligere oplysninger:
http://www.itworld.com/article/2732719/security/facebook-worm-spreads--formidable-set-of-malware--posing-as-blonde-women.html
https://www.csis.dk/en/csis/news/3387/

CSIS har observeret en betragtelig stigning i infektioner forårsaget af en ransomware under navnet Teslacrypt. Teslacrypt er en "klon" af Cryptolocker2 og indeholder i grove træk de samme skadelige funktioner/egenskaber. Det er særligt private brugere, små- og mellemstore virksomheder samt offentlige institutioner som er i farezonen.

Den har i de seneste dage ramt flere danske virksomheder, og den fortsætter med at blive spredt via spammails og et vedhæftet zip arkiv som indeholder en .js fil der ved kørsel vil hente Teslacrypt fra flere kompromitterede websider. 

Den uønskede e-mail ankommer med følgende indhold (se skærmdump herunder). 


Ved kørsel, af en uforsigtig modtager, vil det medfølgende obfuskerede javascript forbinde sig til følgende URLs, hvorfra den skadelige hovedkomponent hentes og køres på systemet (saniteret af CSIS):

http://artskorat[.]com/html/images/69.exe?1
http://adopteuncompagnon[.]com/69.exe?1
http://aycenergy[.]com/wp/wp-includes/fonts/69.exe?1
http://46.151.52[.]197/69.exe?1

C&Cs:

--> http://kochstudiomaashof[.]de/media/misc.php
--> http://testadiseno[.]com/img/gal/thumb/misc.php
--> http://diskeeper-asia[.]com/tmp/misc.php
--> http://gjesdalbrass[.]no/media/misc.php
--> http://garrityasphalt[.]com/media/misc.php
--> http://grassitup[.]com/media/misc.php 

I næste fase vil der dannes en privat nøgle som bruges til at kryptere alle data på den lokale maskine samt tilgængelige netværksdrev ved brug af en AES-256-CBC algoritme med "session_priv" som nøgle. 

Koden, som er skrevet i C++ vil dernæst, som tidligere nævnt gennemsøge alle tilgængelige drev og kryptere samtlige filer med følgende filendelse:
.r3d .css .fsh .lvl .p12 .rim .vcf.3fr .csv .gdb .m2 .p7b .rofl .vdf .7z .d3dbsp .gho .m3u .p7c .rtf .vfs0 .accdb .das .hkdb .m4a .pak .rw2 .vpk .ai .dazip .hkx .map .pdd .rwl .vpp_pc .apk .db0 .hplg .mcmeta .pdf .sav .vtf .arch00 .dba .hvpl .mdb .pef .sb .w3x .arw .dbf .ibank .mdbackup .pem .sid .wb2 .asset .dcr .icxs .mddata .pfx .sidd .wma .avi .der .indd .mdf .pkpass .sidn .wmo .bar .desc .itdb .mef .png .sie .wmv .bay .dmp .itl .menu .ppt .sis .wotreplay .bc6 .dng .itm .mlx .pptm .slm .wpd .bc7 .doc .iwd .mov .pptx .snx .wps .big .docm .iwi .mp4 .psd .sql .x3f .bik .docx .jpe .mpqge .psk .sr2 .xf .bkf .dwg .jpeg .mrwref .pst .srf .xlk .bkp .dxg .jpg .ncf .ptx .srw .xls .blob .epk .js .nrw .py .sum .xlsb .bsa .eps .kdb .ntl .qdf .svg .xlsm .cas .erf .kdc .odb .qic .syncdb .xlsx .cdr .esm .kf .odc .raf .t12 .xxx .cer .ff .layout .odm .rar .t13 .zip .cfr .flv .lbf .odp .raw .tax .ztmp .cr2 .forge .litemod .ods .rb .tor .crt .fos .lrf .odt .re4 .txt .crw .fpk .ltx .orf .rgss3a .upk. Alle filerne omdøbes til .vvv eller .zzz og tilføjes et "blob" i headeren.

Som payload slettes den lokale shadow copy og følgende filer kopieres til alle mapper:

Howto_Restore_FILES.BMP
Howto_Restore_FILES.TXT *
how_recover+mln.html

Disse filer indeholder instruktioner om hvordan man ved betaling af Bitcoins kan opnå adgang til de krypterede data. Se skærmdump herunder.


Vi har naturligvis allerede blokeret for samtlige domæner i CSIS Secure DNS, ligesom vi har oprettet filtre der forhindrer inficerede maskiner i at forbinde sig til C&C serveren. Vores DNS blokkering forhindrer maskinen i at danne den private nøgle og vil derved forhindre selve krypteringen af data. Heimdal PRO og corporate kunder er også beskyttet mod denne trussel.

I denne kampagne skal løsesummen betales med Bitcoins via TOR og mere specifikt følgende links (saniteret af CSIS):

https://o7zeip6us33igmgw[.]onion.to
http://vrd463xcepsd12cd[.]crsoftware745.com
http://vr6g2curb2kcidou[.]expay34.com
http://tsbfdsv.extr6mchf[.]com/4CD6FA41D7BD8DA3

Vi fraråder, at man betaler løsesummen. Løsningen er at sikre sin perimeter og endpoints samt tilsikre, at en brugbar og funktionel backup strategi er på plads.

Vi har tidligere delt gode råd omkring ransomware og hvordan man bedst beskytter sig. Se tidligere platinum alerts for yderligere information, ligesom vi også tidligere har analyseret Teslacrypt.

Antivirus detektion er desværre lav:
https://www.virustotal.com/en/file/d8d14223267f5378f65bed1d5a0aa914a001c4d0aaebb7ff3b92a11e2ec3c7d5/analysis/1449666957/

I løbet af de seneste 3 dage har de it-kriminelle, som anvender Postnord og anden lokkemad i spammails, genstartet deres skadelige kampagner. 

Målet er at lokke vilkårlige modtagere til at klikke på et link som flytter trafikken til flere kompromitterede websider. CSIS har allerede blokeret flere end 100 domæner i CSIS Secure DNS relateret til disse nye kampagner. Payloaden er Cryptolocker2 og antivirus detektion er desværre yderst lav.

De ankommer med et indhold, som minder om tidligere spam kampagner, men det sprogmæssige indhold er imidlertid blevet lettere forfinet.

Et eksempel herunder:

Fra: [Spoofet / forfalsket afsender adresse]

Emnelinje:  

[%navn på modtageren%] Paketet inte har levererats (Norge)
[%navn på modtageren%] PostNord - Forsendelse Meddelelse (Danmark)
frakt Anmalan Forsandelse [postnummer] (Sverige)

Indhold: (skærmdump af indholdet er gengivet herunder)


Som det fremgår af ovenstående skærmdump, så gøres der brug af et link, som anvender en dynamisk genereret mappe på den kompromitterede server til at levere indholdet. 

Indholdet af mappen kan se ud som følgende:


Bemærk, at disse filer også dannes dynamisk. En analyse afslører at den pågældende payload, som leveres som en zip-fil, kun kan leveres en gang og at man fra de it-kriminelles side har blokeret flere IP adresser som CSIS anvender. Det er formentligt gjort for at besværliggøre vores analyser. Derudover leveres payloaden udelukkende til IP adresser i Skandinavien.

Et lille udsnit af domæner, som misbruges i det seneste spamrun, findes herunder (saniteret af CSIS)

romashka-plus[.]ru
goldcomfort[.]ru
fastparket[.]ru

Der er i alle de tilfælde, som vi har observeret, været tale om Joomla installationer som kompromitteres. 

Den fil der leveres er som nævnt pakket i zip. Den binære kode kamoufleres som et PDF dokument og leveres som "info_[5 vilkårlige tal].zip og hentes fra (saniteret af CSIS). 

downloader.disk.yandex[.]com

Denne binære kode er lettere modificeret fra tidligere og bærer flere og flere ligheder med Teslacrypt.

Man kan med god effekt blokere for ord der optræder i indholdet af disse spammails på sin email gateway. Der er flere ord i indholdet, som i kombination med hinanden, næppe vil blive sendt til danske virksomheder med legitime formål. 

CSIS planlægger at lancere en ny mailfirewall service i 2016 som i højere grad kan adressere disse mere og mere lokaliserede spamkampagner som internationale udbydere simpelthen ikke opsnapper tids nok. Mere om det i begyndelsen af det nye år.

I mellemtiden så uddan brugeren og varsko dem om disse skadelige PostNord kampagner og beskyt din infrastuktur med CSIS Secure DNS eller Heimdal PRO/corporate.

En Android informationstyv, som vi har døbt Acecard, også kendt som "Slembunk", spreder sig i forklædning af en Flash Player opdatering. Den leveres fra tvivlsomme websider, som ofret surfer ind på, eller på anden vis kan lokkes til at besøge.

Den uønskede APK (Android applikation) anvender websider, hvor Android brugere typisk søger efter applikationer eller søger efter pornografisk materiale. Et script, som er indsat på den pågældende webside, laver først et simpelt browser check (user agent), hvorefter applikationen tilbydes via browseren i smartphonen. Hvis ofret derfra kan lokkes til at installere den uønskede APK vil Android maskinen blive kompromitteret. Se skærmdump herunder af den trojaniserede Flash Player når den forsøges installeret:


Den pågældende applikation, som vi har analyseret, har følgende egenskaber:

Appnavn: Adobe Flash Player Update
Pakke: org.slempo.service
MD5: 288ad03cc9788c0855d446e34c7284ea
SHA-1: c8ba3108c7332146e7d3e3b7eaa5ba3194a351e5
Version: 3.4.543d
Signatur: CN=Android Debug, O=Android, C=US

Applikationen vil søge at opnå følgende rettigheder på enheden:

android.permission.CALL_PHONE
android.permission.GET_TASKS
android.permission.INTERNET
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_SMS
android.permission.SEND_SMS
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WAKE_LOCK

Mens den understøtter følgende funktioner (udsnit):

android.provider.Telephony.SMS_RECEIVED
android.content.pm.PackageManager.getInstalledApplications
android.telephony.SmsMessage.createFromPdu
android.telephony.SmsMessage.getOriginatingAddress
android.telephony.SmsMessage.getMessageBody

Den opmærksomme læser ser hurtigt, at denne APK er i stand til at opsamle SMS'er. Formålet er at omgå 2FA (2 faktor autentifikation). Derudover kan den indsamle data om opkald, numre og kontakter, applikationer installeret på enheden osv. En anden interessant detalje er, at angriberen til enhver tid, via den hardkodede C&C server (se skærmdump), kan udstede en wipe kommando: android.app.admin.DevicePolicyManager.wipeData


Den nye Acecard understøtter ikke færre end 21 sprog, herunder engelsk, tysk, dansk, spansk, portugisisk, svensk, norsk, finsk, hollansk, belgisk, italiensk osv.

Den binær APK afslører i udpakket stand at den laver et overlay af indholdet på mobiltelefonen hvor den foregiver at være en opdatering af Google Wallet. Her anmoder den ofret om kreditkort data (strengdump fra udpakket APK):

0009EFDD  Gadenavn
0009EFE8  Naviger op
0009EFF5  Flere muligheder
0009F00F  Opdater Google Play-tjenester
0009F02F  Adgangskode
0009F03D  Annuller
0009F046  Angiv den faktureringsadresse, som skal gemmes p
0009F07A   Google-kontoen.
0009F08D  Kontrolkode
0009F09B  Kortholderens navn
0009F0AE  Angiv de kreditkortoplysninger, som du vil bruge med Google Wallet.
0009F0F6  Ryd foresp
0009F102  rgslen
0009F10B  Efternavn
0009F11A  geforesp
0009F124  rgsel
0009F12C  Stemmes
0009F135  gning
0009F13D  Se alle
0009F14C  Del med %s
0009F159  Fornavn
0009F163  Del med
0009F16D  Telefonnummer
0009F184  Postnummer
0009F191  Kortnummer
0009F1F2   Google Wallet

Kommunikation med C&C serveren sker via funktionen:
org.apache.http.impl.client.DefaultHttpClient.execute (URL: "http://5.196.121[.]148:2080/", POST data

Den opretter en autostart funktion, så applikationen indlæses ved en genstart af mobilen: org.slempo.service.hujnkij8uijkjlmj;->onReceive (heraf navnet "Slembunk).

Udover at angribe kreditkort oplysninger, er den også på jagt efter online bank udbydere. En af de online banker, som er på "target listen" er dansk. Den pågældende bank er allerede underrettet om problemet igennem vores eCrime Services.

Vi har set flere Acecard varianter i de første uger af det nye år. Vi har allerede blokeret en stribe domæner der anvendes som download platform i CSIS Secure DNS og Heimdal PRO/corporate.

Et lille udsnit herunder (saniteret af CSIS):

xxxvideotube[.]org
f8gr8e8tg[.]com
australiamms[.]com
gexmails[.]com
brutalmobiletubes[.]com
adobeupdate[.]org

-> AdobeFlashPlayerUpdate.apk.

Acecard har udviklet sig markant i sofistikation i løbet af de seneste måneder og meget tyder på at dataindsamlende malware rettet mod smartphones vil stige i 2016.

"Dagens Nyheder" er navnet på en viral app på Facebook, som lokker med spændende indhold som f.eks.:

Ny edderkoppeart fundet i Danmark. Graver sig ind under din hud og lægger æg
Nu stiger priserne på smøgerne; se hvor meget her.
Til foråret kan du bestille en charterrejse til lommepenge!
Er dette en flyvende tallerken?
Dansk belieber lægger sag an mod Christian's falske giveaway.
Kometen Satira, kan ses med det blotte øje i aften.
Nu bliver børnepenge sparet væk: se her hvor meget du mister
Du får muligvis ikke gavn af det danske sommervejr i år
Danmark står i vente for orkanen Heidi..
På grænsen til Sjælland: Nu er den første ulv blevet set

Se skærmdump, som eksempel herunder:

Den pågældende Facebook applikation opnår adgang til private data, som f.eks.:

Navn,
Køn
Alder
Lan
Email adresse

Det hele leveres via webssiden "vimulo.com" som igen ser ud til at være et aggressiv viral markerting stunt fra Larsen Medier. Fra websiden http://vimulo.com/betingelser.php hedder det:

Undersøgelsen udbydes af LarsenMedier, undersøgelsen har til formål at give dig kendskab til vores annoncører og deltagelse er derfor betinget af at du accepter at modtage markedsføring fra undersøgelsens sponsorer samt LarsenMediers nuværende og fremtidige samarbejdspartnere via e-mail.

Præmiens brand, sponsorer og andre selskaber nævnt i undersøgelsen har intet at gøre med opbyggelse af undersøgelsen, teknisk udvikling, konkurrencen eller andet. Derfor skal alle henvendelser vedrørende denne undersøgelse stilles til LarsenMedier

LarsenMedier
Præståvej 109D STTV
4700 Næstved
Denmark.
Email: larsenmedier@hotmail.com

Når du accepterer betingelserne bekræfter du, at du er over 18 år og, at du er bosiddende i Danmark.

Ved deltagelse bliver du automatisk tilmeldt vores sponsorers nyhedsbrev. Du kan dog max modtage nyhedsbreve fra 6 partnere som du til enhver tid kan framelde dig igen.

Her kommer listen over nyhedsbreve

Ditgavekort.net
Sweetwalls.dk
Avisa.dk
Dagligtnyt.dk

Du kan modtage henvendelser i kategorierne:

Lån
Helse
Telefoni
Konkurrencer
Bolig
Sport
Fagforening
Økonomi
A-kasse
Internet / bredbånd
Fordelsklubber
Rejser
Mode og skønhed
Magasiner / aviser
Postordre
TV
Velgørenhed
Forbruger analyse

E-mail adressen kan knyttes direkte til Patrick Larsen og Larsen Medier:
https://www.biq.dk/companies/LarsenMedier+v+Patrick+Larsen+Sv%C3%A6rke/17710770

CSIS har blokeret samtlige domæner i CSIS Secure DNS og Heimdal PRO/corporate. Selvom kampagnerne ser spændende og indbydende ud, så skal man ikke acceptere den pågældende app. Har man accepteret den, bør man med det samme gå ind i indstillinger på Facebook, og fjerne den pågældende app. Den optræder som "Dagens tilbud".

CSIS og SecureDevice inviterer til gratis seminar med fokus på IBM QRader SIEM og CSIS Security Analytics Centre (SAC) Proaktiv Incident Response. Seminaret afholdes i både København og Århus.

Efter stigende efterspørgsel fra kunder og samarbejdspartnere har CSIS valgt at udvide vores eksisterende "Security Analytics Center" (SAC) i hjertet af København. Målet med indsatsen er at etablere et globalt CSIS SAC center, der kan forene vores massive mængde intelligence og data, med en 24/7/365 netværksovervågning af nuværende og kommende kunder.

CSIS Security Analytics Center (SAC) tilbyder realtids overvågning af alle relevante sikkerhedshændelser i virksomhedens netværk, så der kan iværksættes rettidig og præcis incident respons på hændelser som bekræftes af CSIS SAC team.

Cybertrusler er i hastig vækst og angrebene bliver mere og mere raffinerede og målrettede. Det kræver i stigende grad, at virksomhederne forbereder sig på at kunne håndtere og imødegå et angreb, når det finder sted. Respons på et angreb skal ske hurtigt og rettidigt for at undgå tab af data og omdømme, afpresning, spionage m.v.

Allan Mortensen, Administrende direktør i CSIS udtaler: "Vi har i flere år drevet et operationelt Security Analytics Centre (SAC) på vegne af en stribe af vores større kunder. Vi har imidleretid indenfor de seneste 6 måneder, oplevet en stigende efterspørgsel på denne type service, hvorfor vi har opnormeret resoucer. Dette seminar er en perfekt lejlighed for eksisterende og nye kunder til at høre mere om hvad vi kan indenfor dette voksende område".

Formålet med det gratis seminar er følgende: 
- At give indsigt i CSIS SAC med henblik på at mindske perioden, fra man er blevet kompromitteret til det konstateres
- At anvende CSIS Security Intelligence til at optimere dit Incident Response når uheldet er ude
- At automatisere og outsource dele af sikkerhedsovervågningen til eksterne specialister


Program:
08.00 - 08.30
Morgenmad og registrering

08.30 - 08.40
Velkomst v. Michael Albek, SecureDevice

08.40 - 09.20
Trusselsbilledet anno 2016 v. Peter Kruse, CSIS Trusler og trends indenfor IT-sikkerhed imod danske virksomheder

09.20 - 10.00
Log Management, SIEM, SOC eller SAC? - v. Michael Albek, SecureDevice Gennemgang af de forskellige løsningsmuligheder, så din virksomhed bliver i stand til at træffe det rigtige valg

10.00 - 10.20
Pause og netværk

10.20 - 11.00
CSIS SAC - 24/7/365 v. Jan Kaastrup, CSIS Indblik i Danmarks ledende Security Analytics Center.

11.00 - 11.20
Paneldiskussion / Q & A's

11.00 - 12.00
Stående frokostbuffet med lette anretninger og netværk

Hvornår:
Holte: 1/3 2016 kl. 08.00-12.00
Århus: 14/3 2016 kl. 08.00-12.00

Tilmelding:
sacseminar@csis.dk. Angiv venligst om du ønsker at deltage i København eller Århus.

Om CSIS:
CSIS er den førende leverandør af anti-eCrime services i Norden, og samarbejder med alle de danske banker samt en række af de største finansielle institutioner og organisationer i Europa. CSIS Security Analytics Center (SAC) tilbyder 24/7 overvågning af alle relevante sikkerhedshændelse fra virksomhedens netværk (bl.a. IBM QRader)

Om SecureDevice:
SecureDevice er en specialiseret IT sikkerhedspartner og har modtaget talrige nationale og globale anerkendelser bl.a. fra IBM Security. SecureDevice har over 10 års erfaring med IBM's Security produkter bl.a. IBM QRadar og vi tør godt sige at ingen i Norden kender IBMs globalt markedsledende løsning bedre end os.

CSIS har observeret en ny svindel kampagne, som er gennemført på fejlfrit dansk. Den kan opfattes som troværdig men giv agt! Det gode tilbud sendes nemlig via e-mail til vilkårlige modtagere i Danmark. I den pågældende e-mail stilles du i udsigt at kunne "Få alle dine regninger betalt i hele 3 måneder!. Skønt, ik?! Næppe! Læs med her.

Den uønskede e-mail ankommer følgende indhold:

Det pågældende link peger på følgende URL (bemærk reference ID som kan knytte kampagnen til en lykkelig skurk):
http://karatetrophy[.]com/inter/link.php?M=21851&N=6&L=1&F=H

Whois giver os ikke meget:

Domain Name: karatetrophy.com
Registrar URL: http://www.godaddy.com
Registrant Name: Registration Private
Registrant Organization: Domains By Proxy, LLC

Dette domæne flytter trafik videre til websiden "danlotto.com" som ønsker, at du med det samme (og uden yderligere betænkningstid) tilmelder dig deres sprængtilbud, ved blot at indtaste dine kreditkort data:



De indtastede data valideres, udefra et simpelt check:


Nok sendes dine kreditkort data over SSL, hvilket er ok, men det er ingen garanti for, at du modtager det, som du forventer. Vi siger NEJ TAK og det samme burde du! Det ligner mest af alt en abonnement karrusel, og at dømme af anmeldelserne på Trustpilot bør man holde sig langt væk: https://dk.trustpilot.com/review/www.danlotto.com

Vi har blokeret begge domæner, i CSIS Secure DNS og Heimdal PRO/corporate, for at beskytte vores kunder mod potentielt misbrug.

CSIS har analyseret en SMS der sendes til vilkårlige mobilnumre i Danmark. Den pågældende SMS/MMS ankommer med følgende indhold (saniteret af CSIS):

"Du har modtaget en MMS-besked fra +45 29284572. Følg linket http://www.mmsforyou[.]net/mms.apk for at få vist beskeden."

Hvis den pågældende APK (som er en programfil til Android) køres på en Android mobiltelefon, så opnås der følgende rettigheder på enheden, såfremt ofret tillader det:

- SEND_SMS
- RECEIVE_BOOT_COMPLETED
- INTERNET
- SYSTEM_ALERT_WINDOW
- WRITE_SMS
- ACCESS_NETWORK_STATE
- WAKE_LOCK
- GET_TASKS
- CALL_PHONE
- RECEIVE_SMS
- READ_PHONE_STATE
- READ_SMS
- ERASE_PHONE


Vi har identificeret den skadelige APK til at være "Mazar Android bot" som observeret her af Recordedfuture i November 2015: https://www.recordedfuture.com/mazar-android-bot/

Den skadelige pakke henter TOR ned på telefonen via følgende uskadelige URLs:
https://f-droid.org/repository/browse/?fdid=org.torproject.android
https://play.google.com/store/apps/details?id=org.torproject.android

- udpakker og afvikler TOR applikationen, som skal bruges til at forbinde enheden til serveren: http://pc35hiptpcwqezgs[.]onion.

I næste fase sendes en SMS til nummeret: 9876543210 med tekstbeskeden "thank you". Denne indeholder også lokalitetsdata på enheden.

Skræmmende mobil malware med mange muligheder
Med de muligheder der åbnes her, er der stor risiko for mange former for misbrug. En ting er, at SMS beskeder kan afsendes til overtakserende numre. En anden ting er, at der åbnes for overvågning og kontrol af Android telefonen med de konsekvenser det kan have. En af de mest grimme funktioner, som denne malware understøtter, er opsamling af SMS'er. Det kan bidrage til at omgå 2FA (2-faktor autentifikation). 

Polipo proxy og MiTM
Ved at implementere "Polipo proxy" (https://github.com/splondike/polipoid) kan de udnytte et utal af funktionalitet. Det er muligt at ændre trafik og sætte sig imellem telefonen og en tjeneste. Det giver indlysende en stribe udfordringer, da det i realiteten bliver et MiTM angreb.

Filerne kopieres til mobilen som mp3 filer:

122,933 polipo.mp3
1,885,100 tor.mp3

Dertil følger konfiguration af proxy m.v.:

174,398 debiancacerts.bks
574 torpolipo.conf
879 torpolipo_old.conf
212 torrc
276 torrc_old

Konfigurationen af TOR proxy'en er pænt straight forward:

proxyAddress = "127.0.0.1"
proxyPort = 8118
allowedClients = 127.0.0.1
allowedPorts = 1-65535
proxyName = "127.0.0.1"
cacheIsShared = false
socksParentProxy = "127.0.0.1:9050"
socksProxyType = socks5
diskCacheRoot = ""
localDocumentRoot = ""
disableLocalInterface = true
disableConfiguration = true
dnsUseGethostbyname = yes
disableVia = true
from,accept-language,x-pad,link
censorReferer = maybe
maxConnectionAge = 5m
maxConnectionRequests = 120
serverMaxSlots = 8
serverSlots = 2
tunnelAllowedPorts = 1-65535
chunkHighMark = 11000000
objectHighMark = 128

Chrome injektion
Udover at kunne stoppe opkald og foretage andre aggressive kommandoer på mobilen er MazarBOT også i stand til at injekte sig i Chrome:


Flere andre indstillinger og kommandoer, som kommer med MazarBOT, kan blive observeret herunder:


Vil ikke køre på russiske Android telefoner
Vi lod os heller ikke videre overraske, da vi så at denne malware ikke lader sig installere på mobiltelefoner med russiske sprogindstillinger. Bemærk, at den laver en "checklocale" der vil stoppe applikationen såfremt mobiltelefonen er i russiske hænder.

locale.getCountry()
equalsIgnoreCase("RU"))
Process.killProcess(Process.myPid());

Mazar BOT er blevet annonceret til salg på flere undergrundssider, men det er første gang at vi har set denne kode blive misbrugt i aktive angreb.


Antivirus detektion af den skadelige APK er lav (3/54):
https://www.virustotal.com/en/file/73c9bf90cb8573db9139d028fa4872e93a528284c02616457749d40878af8cf8/analysis/

En fupside, som er identisk med Ekstrabladet, spreder sig viralt på nettet.

Den lokker med flere kulørte overskrifter, og mest nævneværdig en breaking nyhed om, at digteren Yahya Hassan natten til fredag er tæsket til døde i detentionen i Århus.

Et skærmdump af fup websiden findes herunder:


Motivet for at lave en kopi af Ekstrabladet's hjemmeside, og via den sprede falske historier er ukendt, men vi vil understrege, at websiden ikke indeholder skadelig kode. Det ligner mest af alt en velorkestreret drengestreng, dog med det faktum, at bagmændene har formået at få websiden til at ligne Ekstrabladet, og samtidig beskytte WHOIS data med WhoisGuard.

Websiden befinder sig fysisk på IP adressen 52.17.179.191 og deler plads med 73 andre suspekt domæner. Vi noterer os i den sammenhæng særligt nedenstående domæner, som også lugter langt væk af potentiel konkurrence svindel (saniteret af CSIS):

gratisapple[.]club
appletester[.]club
applevinder[.]club
produkttester[.]space

Vores bedste bud er, at disse svindelsider skal anvendes som trampolin til konkurrence svindel. Vi er ikke i tvivl om, at bagmændene er danske.

Vi har blokeret en sværm af domæner, relateret til disse kampagner, i CSIS Secure DNS og Heimdal PRO/corporate for at beskytte vores kunder mod dette tidsspilde og potentielt tab af data og penge.