Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Ransomware u novosadskim službama

elitemadzone.org :: MadZone :: Ransomware u novosadskim službama

Strane: 1 2

[ Pregleda: 6546 | Odgovora: 28 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Ransomware u novosadskim službama06.03.2020. u 18:56 - pre 49 meseci
Citat:
mjanjic:
Sve je to OK, ne pričamo mi ovde o nekom crvu ili klasičnom virusu, nego o najverovatnije JS fajlu koga je neko pokrenuo na svom računaru. Ako je admin dobar, on će na Proxy server namestiti da takve stvari ne prolaze (pošto taj JS dolazi u arhivi koja nije enkriptovana, nije problem da se na proxy serveru skenira i odmah obriše mejl sa takvim prilogom).

Ako ti kazes... Antivirus koji skenira na proxy-ju moze samo da detektuje signature. Znas koliko je vremena potrebno da promenis js fajl da mu md5 (sha, sta god) hash bude razlicit? U sekundama? :) Veilki problem u zastiti od script language virusa je upravo beskonacna mutabilnost istih, zato signature based virusi ne prolaze.

Alternativa su blockeri koji blokiraju poznate IP adrese i domene gde se hostuje mallware (na osnovu redovno update-ovanih listi) i EDR detekcija, koja jeste post facto, ali omogucava brz odgovor. Ako klijentski racunar ima sve podatke u cloud-u steta je minimalna...
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.178.*

Sajt: angelstudio.org


+392 Profil

icon Re: Ransomware u novosadskim službama07.03.2020. u 04:31 - pre 49 meseci
Tako je i sa exe/dll fajlovima ima mogucnosti da se promene u hex editoru, da se izvrsavanje ne izmeni, no samo promene nebitne vrednosti (stringovi koji su nebitni poput copyrighta runtime biblioteke koja je koriscena, polja u headeru koja se ne koriste itd).

Lako.

A ako imas sors, samo jefinises jednu konstantu, recimo string, koji ne koristis, i on ce se pojaviti u exe/dll, pa ga samo menjas.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Ransomware u novosadskim službama07.03.2020. u 05:31 - pre 49 meseci
Ne verujem, (nisam istrazivao sta tacno skeniraju)
Ali mislim da kod binary-ja skeniraju code patterne. Svakako ako skeniraju i podatke to moze lako da se izmeni
i nema smisla raditi.
To da skeniraju code patterne govori u prilog tome da uglavnom nesto pisano u assembleru ili gusto pakovano
sto ne koristi C ili C++ kompajler kao sto je recimo Forth interpreter markiraju kao virus.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Ransomware u novosadskim službama07.03.2020. u 07:22 - pre 49 meseci
Ali ovo nije binary Bane, vecina ovih virusa je ili javascript ili powershell. Onda povuce sa neta binary, ali u kriptovanom obliku, sa predefinisanim kljucem - koji se stalno menja, kao i domen/IP sa koga se vuce. A "code pattern" je "download, unpack, execute", to moze da se napise na 300 nacina, plus nije sam po sebi sumnjiv.... Plus, kazem, velika vecina antivirusa radi samo hash / signature. Ovo o cemu ti pricas, neka analiza koda, to ne rade antivirusi, to su vec mnogo ozbiljniji (i skuplji) alati, koji po pravilu rade sandbox analize i slicno.... Vodi racuna, ima nacina i da se sandbox izbegne.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

Ali Imam

Član broj: 341650
Poruke: 81



+96 Profil

icon Re: Ransomware u novosadskim službama07.03.2020. u 07:55 - pre 49 meseci
Da li je istina da ovi što rade u Informatici mogu da falsifikuju dokumenta?
Na primer izvod iz matične knjige rodjenih/venčanih/umrlih i slično.
Tj. kakvi mehanizmi postoje u informacionom sistemu opštinskih službi da se spreče takve zloupotrebe?

 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Ransomware u novosadskim službama07.03.2020. u 08:47 - pre 49 meseci
Citat:
nkrgovic:
Ali ovo nije binary Bane, vecina ovih virusa je ili javascript ili powershell. Onda povuce sa neta binary, ali u kriptovanom obliku, sa predefinisanim kljucem - koji se stalno menja, kao i domen/IP sa koga se vuce. A "code pattern" je "download, unpack, execute", to moze da se napise na 300 nacina, plus nije sam po sebi sumnjiv.... Plus, kazem, velika vecina antivirusa radi samo hash / signature. Ovo o cemu ti pricas, neka analiza koda, to ne rade antivirusi, to su vec mnogo ozbiljniji (i skuplji) alati, koji po pravilu rade sandbox analize i slicno.... Vodi racuna, ima nacina i da se sandbox izbegne.


Odgovarao sam Bojanu na komentar o binarnim fajlovima. Skripte svakako da lako promenis da rade istu stvar i tu svaka analiza koda tj prepoznavanje code snippeta otpada .
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Ransomware u novosadskim službama07.03.2020. u 15:08 - pre 49 meseci
Izvinjavam se. :)
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

mjanjic
Šikagou

Član broj: 187539
Poruke: 2679



+690 Profil

icon Re: Ransomware u novosadskim službama08.03.2020. u 23:00 - pre 49 meseci
Ma kakak signature, ja pričam o tome da dobro podešen e-mail server na prvom mestu ne dozovljava određene ekstenzije kao priloge, pa ni ZIP koji u sebi sadrži JS, EXE i slične.

Probajte da preko Gmail-a pošaljete JS ili EXE zapakovan u ZIP arhivu, o tome pričam. Da su ovi u NS imali bar tu zaštitu, ovo se možda ne bi dogodilo.

Drugi korak je obrazovanje zaposlenih, ali na to niko ne polaže 5%. Kod nas je muka bila da se nekoliko zaposlenih ubedi da ne treba da odgovaraju na mejlove u kojima im se traži username i pass kako bi im se proširila kvota za inbox... kaže im admin da takve poruke samo obrišu, sledeće sedmice opet ista priča, neće ljudi da uključe dve vijuge u glavi i da zapamte šta ne smeju da rade.
Iako je instaliran skener koji uklanja neželjenu i zlonamernu poštu, ipak se poneki mejl provuče, jer stalno menjaju servere sa kojih dolaze, kao i sadržaj. Neka je uspevalo po 3-4 poruke da se provuče svaki dan, sad možda jedna na 7 ili 10 dana.
Jedino da se ne propušta ništa što u tekstu poruke sadrži string "pass" :))))
Blessed are those who can laugh at themselves, for they shall never cease to be amused.
 
Odgovor na temu

since1986BC

Član broj: 63369
Poruke: 1075



+236 Profil

icon Re: Ransomware u novosadskim službama13.03.2020. u 17:39 - pre 49 meseci
Niko da pomene Emsisoft ponudu gradovima?

Citat:
We have developed a decryption solution for PwndLocker ransomware. Because each decryptor requires customization before use, we cannot make the tool publicly available for download and affected organizations should contact us.


https://twitter.com/fwosar/status/1235588806281007104

https://blog.emsisoft.com/en/3...ware-decryption-now-available/
 
Odgovor na temu

elitemadzone.org :: MadZone :: Ransomware u novosadskim službama

Strane: 1 2

[ Pregleda: 6546 | Odgovora: 28 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.