 Dziwny ruch na porcie 0/TCP
 12.12.2011 18:10  0 wyświetleń  0 komentarzy
Port 0/TCP jest wg rejestru IANA portem zarezerwowanym. Oznacza to, że żadna usługa nie powinna korzystać z tego portu do komunikacji sieciowej. Gdy w dniu 13 listopada 2011 roku do sond systemu ARAKIS zaczęła napływać wzmożona liczba pakietów TCP kierowanych na port 0, zbudziło to nasze zainteresowanie. Próby połączeń na ten port były widziane zarówno [...] Czytaj więcej »
|
Raport ENISA i CERT Polska o metodach wykrywania sieciowych incydentów bezpieczeństwa
08.12.2011 9:26 0 wyświetleń 0 komentarzy
Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała przygotowany przez CERT Polska raport dotyczący metod wykrywania sieciowych incydentów bezpieczeństwa „Proactive detection of network security incidents”.
Proaktywne wykrywanie incydentów to proces odnajdywania złośliwej aktywności w sieci, za którą dany CERT jest odpowiedzialny, przy pomocy narzędzi monitorujących lub z wykorzystaniem zewnętrznych usług dostarczających informacje o [...] Czytaj więcej »
|
Publiczne wydanie Capture-HPC z projektu HoneySpider Network
02.12.2011 17:55 0 wyświetleń 0 komentarzy
Projekt HoneySpider Network to system klienckich honeypotów, który powstał dzięki współpracy CERT Polska, GOVCERT.NL oraz SURFnet. Jednym z jego komponentów jest wysoko-interaktywny kliencki honeypot Capture-HPC NG. Autorem oryginalnego oprogramowania jest Christian Seifert, a modyfikacje zostały wprowadzone przez Dział Rozwoju Oprogramowania z NASK. Capture-HPC NG z projektu HoneySpider Network to nowa wersja, która wprowadza szereg [...] Czytaj więcej »
|
Zeus/Murofet
18.11.2011 14:51 0 wyświetleń 0 komentarzy
W ostatnich dniach pojawiła się nowa mutacja trojana Zeus. Jest to kolejna wersja zbudowana na podstawie źródeł, które wyciekły na poczatku maja. Tak jak poprzednio, do dystrybucji plików konfiguracyjnych używane są mechanizmy P2P. Twórcy zrezygnowali z charakterystycznego dla Murofeta mechanizmu DGA (algorytm generowania domen) i powrócili do umieszczenia adresu C&C w zaszyfrowanym pliku konfiguracyjnym.
Jak dokładnie [...] Czytaj więcej »
|
SECURE 2011 za nami!
04.11.2011 14:26 1 wyświetleń 0 komentarzy
Konferencja SECURE 2011, która zakończyła się 26 października b.r. była wyjątkowa pod wieloma względami. W odpowiedzi na ubiegłoroczne zainteresowanie udostępniliśmy aż cztery warsztaty Hands-on, z tego dwa prowadzone przez CERT Polska. Także program konferencji był wypełniony po brzegi – prelekcje zajmowały siedem godzin z każdego dnia, co sprawiało, że najwytrwalsi zostawali w salach do późna. [...] Czytaj więcej »
|
Biuletyn OUCH! o podstawach bezpieczeństwa
18.10.2011 13:29 0 wyświetleń 0 komentarzy
Dzięki współpracy CERT Polska i SANS Institute dziś ukazał się kolejny polskojęzyczny numer biuletynu OUCH! „Backup i przywracanie danych”.
OUCH! to bezpłatny newsletter o bezpieczeństwie komputerowym wydawany na stronach Instytutu SANS w 11 językach, kierowany do zwykłych użytkowników komputerów. OUCH jest tworzony i dokładnie konsultowany przez zespół SANS Securing The Human, specjalistów z SANS i ekspertów [...] Czytaj więcej »
|
Wizualizacja aktywności Morto
14.10.2011 20:32 0 wyświetleń 0 komentarzy
Po zebraniu kompletnych danych z systemu ARAKIS mogliśmy przeprowadzić dokładniejszą analizę w jaki sposób robak Morto rozprzestrzeniał się w internecie. Jak pisaliśmy wcześniej, pierwsza wersja Morto łączyła się z komputerami używając usługi Remote Desktop Protocol na porcie 3389, a następnie starała się uzyskać dostęp administracyjny próbując logować się przy użyciu listy predefiniowanych nazw użytkowników i [...] Czytaj więcej »
|
Zagrożenia w Polsce i na świecie: Raport CERT Polska za pierwsze półrocze 2011
06.10.2011 13:00 1 wyświetleń 0 komentarzy
W pierwszym w historii raporcie półrocznym, obejmującym okres od stycznia do czerwca 2011, skupiamy się na analizie informacji z systemów automatycznych. Otrzymaliśmy blisko 4 mln tego rodzaju zgłoszeń. Podobnie jak w raporcie rocznym 2010, wyodrębniliśmy z nich kilka najważniejszych kategorii zdarzeń, w szczególności: źródła spamu, phishing, złośliwe oprogramowanie, boty czy ataki DDoS. Obserwacje porównaliśmy z [...] Czytaj więcej »
|
SECURE 2011 – rejestracja rozpoczęta!
02.08.2011 19:07 1 wyświetleń 0 komentarzy
Z przyjemnością informujemy, że od dziś można rejestrować swój udział w konferencji SECURE 2011.
Tylko do 31 sierpnia obowiązuje 20% zniżki za wczesną rejestrację!
Konferencja odbędzie się 24-26 października 2011 r. w Centrum Konferencyjnym Adgar Plaza w Warszawie. To unikalna okazja, aby posłuchać czołowych ekspertów z dziedziny bezpieczeństwa z całego świata a także rozwinąć swoje umiejętności podczas [...] Czytaj więcej »
|
Ataki na użytkowników sklepów osCommerce – analiza
29.07.2011 15:30 2 wyświetleń 0 komentarzy
Firma Armorize poinformowała na swoim blogu o odkryciu infekcji na witrynach zasilanych przez popularny framework osCommerce. Do tej pory ilość infekcji szacuje się na ponad 300.000 (w domenie .pl: 19.000) a liczba ta stale rośnie (w porównaniu do odpowiednio: 90.000 i 400 infekcji w dniu 25.07). Hakerzy na atakowanych witrynach wstrzykują zapisy przekierowujące przeglądarkę na [...] Czytaj więcej »
|
Masowa infekcja stron internetowych
27.07.2011 9:59 2 wyświetleń 0 komentarzy
Według wstępnych oszacowań ponad 90.000 stron internetowych (w tym niemal 400 w domenie .pl) mogło paść ofiarą masowej “infekcji& (wstrzyknięcia przekierowania iframe). Po wejściu na zainfekowaną stronę przeglądarka przekierowywana jest na inną witrynę, na której znajduje się szkodliwy skrypt JavaScript. Skrypt ten próbuje doprowadzić do przejęcia kontroli nad wykonaniem kodu na komputerze użytkownika przy wykorzystaniu [...] Czytaj więcej »
|
Wizualizacja ech ataków DDoS
15.07.2011 16:42 2 wyświetleń 0 komentarzy
Od początku lipca w systemie ARAKIS zaobserwowaliśmy wzrost pakietów TCP wysyłanych z portu 80. Ustawione flagi (SYN i ACK) oraz wysoki port docelowy, wskazują na to, że większość jest odpowiedziami na żądanie nawiązania połączenia. Atakujący przeprowadzając ataki typu DoS (odmowa dostępu) często używają sfałszowanych adresów IP aby uniknąć zablokowania maszyn. Aby dokładniej przyjrzeć się charakterystyce [...] Czytaj więcej »
|
Ataki na konfiguracje DNS
13.07.2011 16:33 2 wyświetleń 0 komentarzy
Bez wątpienia DNS jest jedną z najważniejszych usług w internetowym ekosystemie, zarówno dla zwykłych użytkowników, firm jak i przestępców. Paradoksalnie, przezroczystość i wszechobecność DNSu powoduje, że wielu administratorów nie zdaje sobie sprawy jak poważne konsekwencje mogą nieść za sobą udane ataki na DNS. Nie chodzi tutaj o podatności w samym protokole (jak na przykład ta [...] Czytaj więcej »
|
Uwaga na wyłudzaczy z Hong Kongu
01.07.2011 11:14 2 wyświetleń 0 komentarzy
Do skrzynek pocztowych polskich internautów trafiły ostatnio maile o treści:
Od: Peter Wong Shun Tung
Odpowiedz do: peter[....]@yahoo.com.hk
Witam serdecznie,
Nazywam sie Peter Wong Shun Tung z Hang Seng Bank w Hongkongu i mam do Panstwa delikatna i poufna propozycje z Hong Kongu. Chcialbym zaproponowac relacje partnerskie ktore pomoga zmienic profil pewnych funduszy (22,500,000.00 EUR). Pozwolilem sobie skontaktowac [...] Czytaj więcej »
|
Nietypowe skanowanie UDP
29.06.2011 16:04 1 wyświetleń 0 komentarzy
W zeszłym tygodniu zaobserwowaliśmy interesujący ruch sieciowy, będący efektem skanowania przeprowadzonego na dużą skalę. Skanowanie losowych adresów w celu sprawdzenia ich dostępności lub podatności na ataki nie jest niczym niezwykłym i codziennie rejestrujemy aktywność tego typu. Jednak wspomniany skan miał nietypową charakterystykę, co spowodowało, że postanowiliśmy mu się dokładniej przyjrzeć.
Dnia 2011-06-21 od godziny 09:42:28 UTC+2 [...] Czytaj więcej »
|
Analiza hamweq – malware służącego do ataków DDoS
03.06.2011 16:29 1 wyświetleń 0 komentarzy
W niniejszym opracowaniu opisane zostały działania zespołu CERT Polska związane z analizą oraz monitorowaniem aktywności komputerów zainfekowanych malware hamweq. Celem badania było poznanie mechanizmów działania, rozprzestrzeniania się oraz sposobów zarządzania opisywanym złośliwym oprogramowaniem. Dodatkowo przeprowadzona została analiza komend jaki mogą być przesłane przez botmastera do zombie.
W porównaniu z innymi programami możliwości omawianego malware są stosunkowo [...] Czytaj więcej »
|
