Readers like you help support my blog. When you make a purchase using links on our site, we may earn an affiliate commission! Thank you!

Monday, May 18, 2020

Τα Windows 10 έρχονται με ενσωματωμένο network sniffer!

Από Teo Ehc -18 Μαΐου 2020, 17:26

Η Microsoft έχει προσθέσει ένα ενσωματωμένο packet network sniffer στην ενημέρωση των Windows 10 Οκτωβρίου 2018 που έχει περάσει απαρατήρητο.

Ένα πακέτο sniffer, ή network sniffer, είναι ένα πρόγραμμα που παρακολουθεί τη δραστηριότητα δικτύου που ρέει πάνω από έναν υπολογιστή σε ένα επίπεδο πακέτου.

Αυτό μπορεί να χρησιμοποιηθεί από τους διαχειριστές δικτύου για τη διάγνωση ζητημάτων δικτύωσης, για να δείτε ποιοι τύποι προγραμμάτων χρησιμοποιούνται σε ένα δίκτυο ή ακόμα και για ακρόαση σε συνομιλίες δικτύου που αποστέλλονται μέσω καθαρού κειμένου.

Ενώ οι χρήστες Linux είχαν πάντα το εργαλείο tcpdump για να εκτελούν sniffing στο δίκτυο, οι χρήστες των Windows έπρεπε να εγκαταστήσουν προγράμματα τρίτων, όπως το Microsoft Network Monitor και το Wireshark.

Όλα αυτά άλλαξαν όταν η Microsoft κυκλοφόρησε την ενημέρωση του Οκτωβρίου 2018, καθώς τώρα τα Windows 10 έρχονται με ένα νέο πρόγραμμα “Packet Monitor” που ονομάζεται pktmon.exe.

Το ενσωματωμένο packet sniffer έρχεται στα Windows 10

Με την κυκλοφορία της ενημερωμένης έκδοσης των Windows 10 Οκτωβρίου 2018, η Microsoft πρόσθεσε ήσυχα ένα νέο πρόγραμμα διαγνωστικού δικτύου και παρακολούθησης πακέτων που ονομάζεται C: \ Windows \ system32 \ pktmon.exe.

Αυτό το πρόγραμμα έχει μια περιγραφή “Παρακολούθηση εσωτερικής διάδοσης πακέτων και αναφορών πακέτων πτώσης”, η οποία υποδεικνύει ότι έχει σχεδιαστεί για τη διάγνωση προβλημάτων δικτύου.

Παρόμοια με την εντολή «netsh trace» των Windows, μπορεί να χρησιμοποιηθεί για την πλήρη επιθεώρηση πακέτων των δεδομένων που αποστέλλονται μέσω του υπολογιστή.

Αυτό το πρόγραμμα δεν έχει καμία αναφορά στον ιστότοπο της Microsoft που θα μπορούσαμε να βρούμε και έπρεπε να μάθουμε πώς να το χρησιμοποιούμε παίζοντας με το πρόγραμμα.

Ευτυχώς περιλαμβάνει ένα αρκετά εκτεταμένο σύστημα βοήθειας που μπορεί να χρησιμοποιηθεί πληκτρολογώντας ‘pktmon [command] help’.

Για παράδειγμα, pktmon filter help, θα σας δώσει την οθόνη βοήθειας για την εντολή φίλτρου.

Για να μάθετε πώς να χρησιμοποιείτε το Pktmon, σας προτείνω να διαβάσετε την τεκμηρίωση βοήθειας και να “παίξετε” με το πρόγραμμα. Παρέχουμε επίσης ένα παράδειγμα στην επόμενη ενότητα για να σας βοηθήσουμε να ξεκινήσετε.

Χρήση του Pktmon για παρακολούθηση της κυκλοφορίας δικτύου

Δυστυχώς, η κατάδυση στο πλήρες σύνολο λειτουργιών του Pktmon δεν εμπίπτει στο πεδίο εφαρμογής αυτού του άρθρου, αλλά θέλαμε να σας δείξουμε ένα βασικό παράδειγμα για το πώς μπορείτε να χρησιμοποιήσετε το εργαλείο.

Για παράδειγμα, θα χρησιμοποιήσουμε το Pktmon για την παρακολούθηση της κίνησης FTP από τον υπολογιστή στον οποίο εκτελείται.

Για να γίνει αυτό, πρέπει πρώτα να ξεκινήσουμε μια γραμμή εντολών με αναβαθμισμένα Windows 10, καθώς το Pktmon απαιτεί δικαιώματα διαχειριστή.

Στη συνέχεια, πρέπει να δημιουργήσουμε δύο φίλτρα πακέτων που θα λένε στην Pktmon ποια κίνηση θα παρακολουθεί, η οποία στο παράδειγμά μας θα είναι η κίνηση στις θύρες TCP 20 και 21.

Αυτά τα φίλτρα μπορούν να δημιουργηθούν χρησιμοποιώντας το pktmon filter add -p [port] εντολή για κάθε θύρα που θέλουμε να παρακολουθούμε.

Στη συνέχεια, μπορείτε να χρησιμοποιήσετε το pktmon filter list εντολή για να δείτε τα φίλτρα πακέτων που μόλις δημιουργήσαμε.

Για να ξεκινήσουμε την παρακολούθηση για πακέτα που επικοινωνούν με τις θύρες TCP 20 και 21, πρέπει να χρησιμοποιήσουμε το pktmon start –etw εντολή.

Μόλις εκτελεστεί, το pktmon θα καταγράψει όλα τα πακέτα σε όλες τις διασυνδέσεις δικτύου στη συσκευή σε ένα αρχείο που ονομάζεται PktMon.etl και θα καταγράψει μόνο τα πρώτα 128 bytes ενός πακέτου.

Για να το καταγράψετε ολόκληρο το πακέτο και μόνο από μια συγκεκριμένη συσκευή ethernet, μπορείτε να χρησιμοποιήσετε τα ορίσματα -p 0 (capture ολόκληρο το πακέτο) και -c 13 (λήψη μόνο από τον προσαρμογέα με ID 13).

Για να προσδιορίσετε ποιο αναγνωριστικό είναι οι προσαρμογείς σας, μπορείτε να εκτελέσετε την εντολή pktmon comp list εντολή

Όταν συνδυάζουμε όλα τα επιχειρήματα, παίρνουμε μια τελική εντολή:

Το Pktmon θα τρέξει τώρα αθόρυβα ενώ καταγράφει όλα τα πακέτα που ταιριάζουν με τα εισερχόμενα φίλτρα μας.

Για να σταματήσετε τη λήψη πακέτων, εισαγάγετε το pktmon stop εντολή και ένα αρχείο καταγραφής που ονομάζεται PktMon.etl θα έχει δημιουργηθεί στον ίδιο φάκελο που περιέχει τα ανεπεξέργαστα δεδομένα.

Αυτά τα δεδομένα σε αυτό το αρχείο δεν μπορούν να χρησιμοποιηθούν άμεσα, οπότε πρέπει να το μετατρέψετε σε μορφή κειμένου που είναι αναγνώσιμη από τον άνθρωπο με την ακόλουθη εντολή:

Ακόμα και μετατροπή σε κείμενο, δεν πρόκειται να σας δώσει τα πλήρη πακέτα, αλλά μόνο μια περίληψη της κίνησης δικτύου, όπως φαίνεται παρακάτω.

Για να επωφεληθείτε από τα καταγεγραμμένα δεδομένα, σας προτείνω να κάνετε λήψη και εγκατάσταση του Microsoft Network Monitor και να το χρησιμοποιήσετε για να δείτε το αρχείο ETL.

Χρησιμοποιώντας το Network Monitor, μπορείτε να δείτε το πλήρες πακέτο που στάλθηκε, συμπεριλαμβανομένων οποιωνδήποτε πληροφοριών σαφούς κειμένου.

Για παράδειγμα, παρακάτω μπορείτε να δείτε ένα πακέτο που περιέχει τον κωδικό πρόσβασης σαφούς κειμένου που εισαγάγαμε κατά τη σύνδεση σε αυτόν τον ιστότοπο δοκιμών FTP.

Όταν ολοκληρώσετε τη χρήση του προγράμματος Pktmon, μπορείτε να καταργήσετε όλα τα δημιουργημένα φίλτρα χρησιμοποιώντας την εντολή:

Σύντομα, παρακολούθηση σε πραγματικό χρόνο και υποστήριξη pcapng

Με την επερχόμενη έκδοση της ενημέρωσης των Windows 10 Μαΐου 2020 (Windows 10 2004), η Microsoft ενημέρωσε το εργαλείο Pktmon για να σας επιτρέπει να εμφανίζετε πακέτα που παρακολουθούνται σε πραγματικό χρόνο και να μετατρέψετε αρχεία ETL σε μορφή PCAPNG.

Στην έκδοση του Pktmon που έρχεται στην επόμενη ενημέρωση δυνατοτήτων, μπορείτε να ενεργοποιήσετε την παρακολούθηση σε πραγματικό χρόνο χρησιμοποιώντας το -l real-time διαφωνία.

Αυτό θα προκαλέσει την εμφάνιση των πακέτων που έχουν “τραβηχτεί απευθείας” στην οθόνη, ενώ θα τα αποθηκεύετε επίσης στο αρχείο ETL.

Η Microsoft προσθέτει επίσης τη δυνατότητα μετατροπής αρχείων ETL σε μορφή PCAPNG, έτσι ώστε να μπορούν να χρησιμοποιηθούν σε προγράμματα όπως το Wireshark.

Μόλις το αρχείο μετατραπεί σε μορφή PCAPNG, μπορεί να ανοίξει στο Wireshark, ώστε να μπορείτε να δείτε καλύτερα την επικοινωνία δικτύου.

Για άλλη μια φορά, αυτές οι δυνατότητες δεν είναι διαθέσιμες στα Windows 10 1903/1909 και θα έρθουν στα Windows 10 2004 όταν κυκλοφορήσουν στο τέλος του μήνα.

Windows 10 Defender's hidden features revealed by this free tool

By Lawrence Abrams May 18, 2020 08:10 AM 1




Windows 10's built-in Microsoft Defender antivirus solution has many advanced hidden features that allow you to customize how the security software works. Unfortunately, most people do not know these settings exist or even how to access them.

To view and configure the complete list of Microsoft Defender's settings, Windows users need to use the Get-MpPreference and Set-MpPreference PowerShell Commands.

To see what I mean, open an elevated PowerShell Admin prompt and type the Get-MpPreference command to get a list of all the different settings in Microsoft Defender.


READ MORE
The output of the Get-MpPreference command

As you can see, there are many more Microsoft Defender settings available than the Windows 10 user interface displays or that Microsoft turns on by default.

If you wanted to configure most of these options, you would need to use the Set-MpPreference command from an elevated PowerShell prompt.

For example, to turn off the Behavior Monitoring feature in Microsoft Defender, you would enter the PowerShell command:Set-MpPreference DisableBehaviorMonitoring True

Using ConfigureDefender to manage Microsoft Defender

Now that you know how many hidden advanced settings there are for Microsoft Defender let me introduce you to a utility called ConfigureDefender that allows you to manage them easily.

ConfigureDefender was created as part of the Hard_Configurator project but was also released as a standalone project.

Using this utility, Windows 10 users will get access to a graphical user interface that allows them to view all of Microsoft Defender's settings and easily set them.

"ConfigureDefender utility is a small GUI application to view and configure important Defender settings on Windows 10. It uses PowerShell cmdlets, with a few exceptions to change the Windows Defender settings," ConfigureDefender's GitHub page explains.

Once started, ConfigureDefender will list your current configuration and allow you to change various settings.
ConfigureDefender options

ConfigureDefender also includes predefined protection level templates named 'Default', 'High', and 'Max', that when selected, will automatically reduce or increase the protection offered by Microsoft Defender.

According to the ConfigureDefender's documentation, the three templates have the following descriptions:


DEFAULT: Microsoft Windows Defender default configuration which is applied automatically when installing the Windows system. It provides basic antivirus protection and can be used to quickly revert any configuration to Windows defaults.

HIGH: Enhanced configuration which enables Network Protection and most of Exploit Guard (ASR) features. Three Exploit Guard features and Controlled Folder Access ransomware protection are disabled to avoid false positives. This is the recommended configuration that is appropriate for most users and provides significantly increased security.

MAX: This is the most secure protection level which enables all advanced Windows Defender features and hides Windows Security Center. Configuration changes can be made only with the ConfigureDefender user interface. The "MAX" settings are intended to protect children and casual users but can be also used (with some modifications) to maximize the protection. This protection level usually generates more false positives compared to the "HIGH" settings
and may require more user knowledge or skill.

When using these templates, you will be required to reboot Windows 10 before they all go into effect.

The only option ConfigureDefender does not support is the disabling of real-time monitoring as it would cause Microsoft Defender to classify the program as malware.

As you can see, Microsoft Defender is a powerful antivirus solution hampered by the fact that some of its settings are disabled by default.

To get started learning what each setting does and increase the security of Microsoft Defender, you can read Microsoft's documentation on the Set-MpPreference command.

Monday, May 4, 2020

Νέα phishing εκστρατεία μολύνει τα θύματα με info-stealer και ransomware

 ByDigital Fortress 4 Μαΐου 2020, 13:33



Μια νέα phishing εκστρατεία διανέμει το LokiBot (malware που κλέβει πληροφορίες–info-stealer) και ένα δεύτερο payload με τη μορφή του Jigsaw Ransomware.

Με αυτό το συνδυασμό malware, οι εισβολείς κλέβουν, αρχικά, ονόματα χρηστών και κωδικούς πρόσβασης που είναι αποθηκευμένα σε διάφορες εφαρμογές και στη συνέχεια εγκαθιστούν το Jigsaw Ransomware για ζητήσουν λύτρα από τα θύματα.

Κακόβουλα Υπολογιστικά φύλλα Excel


Τα ακριβή emails που αποστέλλονται στο πλαίσιο αυτής της phishing εκστρατείας δεν έχουν βρεθεί, αλλά τα συνημμένα εμφανίζονται ως τιμολόγια, τραπεζικές μεταφορές, παραγγελίες κλπ.

Η phishing εκστρατεία χρησιμοποιεί συνημμένα Excel αρχεία, με ονόματα όπως Swift.xlsx, orders.xlsx, Invoice For Payment.xlsx, Inquiry.xlsx.

Σε αντίθεση με πολλά phishing έγγραφα, τα συγκεκριμένα φαίνονται νόμιμα ή έστω προσεκτικά φτιαγμένα, ώστε να φαίνονται αξιόπιστα.



Σύμφωνα με τον ερευνητή ασφαλείας James, που ανακάλυψε αυτήν τη phishing εκστρατεία, σε αυτά τα συνημμένα έχει χρησιμοποιηθεί το LCG Kit, που τους επιτρέπει να εκμεταλλεύονται μια παλιά Microsoft Office ευπάθεια εκτέλεσης κώδικα απομακρυσμένα (CVE-2017-11882) στο Equation Editor.

Εάν η ευπάθεια χρησιμοποιηθεί επιτυχώς, θα γίνει λήψη του malware από ένα απομακρυσμένο site και θα ξεκινήσει η εκτέλεσή του.


Σύμφωνα με τον ερευνητή, το cjjjjjjjjjjjjjjjjjjj.exe είναι το LokiBot.


Το LokiBot info-stealer έχει τη δυνατότητα να κλέβει αποθηκευμένα credentials από διάφορους browsers, FTP, mail, και terminal προγράμματα. Στη συνέχεια, στέλνει τα δεδομένα στον command and control server, που ελέγχει ο επιτιθέμενος.

Πρόσθετο ransomware payload

Επιπλέον, η παραλλαγή LokiBot που διανέμεται μέσω της phishing εκστρατείας, έχει ρυθμιστεί ώστε να εγκαθιστά μια παραλλαγή του Jigsaw Ransomware που κρυπτογραφεί τα αρχεία ενός θύματος και προσθέτει την επέκταση .zemblax στα ονόματα των αρχείων.



Τα καλά νέα είναι ότι το Jigsaw αποκρυπτογραφείται εύκολα, οπότε αν μολυνθείτε μπορείτε εύκολα να βρείτε τη λύση.

Τα κακά νέα είναι ότι το Jigsaw Ransomware θα διαγράψει για λίγο τα αρχεία σας μέχρι να πληρώσετε.

Επομένως, εάν μολυνθείτε, φροντίστε να τερματίσετε τη διαδικασία drpbx.exe χρησιμοποιώντας το Task Manager. Αν το κάνετε, το Jigsaw Ransomware θα σταματήσει και δεν θα διαγράψει τα αρχεία σας.

Καθώς αυτή η phishing εκστρατεία χρησιμοποιεί κακόβουλα υπολογιστικά φύλλα Excel, βεβαιωθείτε ότι χρησιμοποιείτε τις πιο πρόσφατες ενημερώσεις ασφαλείας για τις εγκατεστημένες εφαρμογές του Office, ώστε να παραμείνετε προστατευμένοι.

Friday, May 1, 2020

New phishing campaign packs an info-stealer, ransomware punch!!

By Lawrence Abrams May 1, 2020 01:00 PM 0



A new phishing campaign is distributing a double-punch of a LokiBot information-stealing malware along with a second payload in the form of the Jigsaw Ransomware.

By using this malware combo, the attackers first steal saved user names and passwords stored in a variety of applications and then deploy the Jigsaw Ransomware to try and get a small ransom to sweeten the attack.
Weaponized Excel spreadsheets

The exact emails sent as part of this campaign have not been found, but the attachments impersonate invoices, bank transfers, orders, and business inquiries.

Top ArticlesShade Ransomware Decryptor can now decrypt over 750K victims

This campaign is using Excel attachments with names such as Swift.xlsx, orders.xlsx, Invoice For Payment.xlsx, Inquiry.xlsx.

Unlike many phishing attachments, the actors appear to be utilizing legitimate or carefully crafted spreadsheets that have been weaponized to seem believable, as shown below.
Click to see a larger version

According to security researcher James, who discovered this campaign, these attachments have been weaponized using LCG Kit so that they exploit an old Microsoft Office CVE-2017-11882 remote code execution vulnerability in Equation Editor.
Weaponized attachment

If successfully exploited, malware will be downloaded from a remote site and executed.
The vulnerability being exploited to download malware

While this malware has since been removed from the site, James told BleepingComputer that the cjjjjjjjjjjjjjjjjjjj.exe file is LokiBot.

LokiBot has the ability to steal saved login credentials from a variety of browsers, FTP, mail, and terminal programs and then sends it back to the command and control server to be collected by the attacker.
Additional ransomware payload

In addition, this LokiBot variant has been configured to download and install a Jigsaw Ransomware variant that uses a Salvadore Dali mask from the popular Money Heist show as its background.
Jigsaw Ransomware

This Jigsaw Ransomware variant will encrypt a victim's files and append the .zemblax extension to encrypted file's names.
Encrypted Files

The good news is that Jigsaw is easily decrypted, so if you become infected with this variant, be sure to let us know so we can help.

The bad news is that the Jigsaw Ransomware will periodically delete your files until you pay.

Therefore, if you become infected, be sure to terminate the drpbx.exe process using Task Manager so that the Jigsaw Ransomware will be shut down and not delete your files.

As this phishing campaign utilizes malicious spreadsheets that exploit an old Excel vulnerability, simply making sure you are using the latest security updates for your installed Office applications will protect you.

Thursday, April 30, 2020

New Android malware steals financial information, bypasses 2FA

By Sergiu Gatlan April 30, 2020 02:21 PM 0



A new banking Trojan can steal financial information from Android users across the United States and several European countries, including the UK, Germany, Italy, Spain, Switzerland, and France.

Dubbed EventBot by researchers at Cybereason Nocturnus who discovered it in March 2020, the malware is a mobile banking trojan and infostealer designed to abuse the Android operating system's accessibility features to steal sensitive financial data.

"EventBot targets users of over 200 different financial applications, including banking, money transfer services, and crypto-currency wallets," the Cybereason Nocturnus researchers found.

Top ArticlesBugs in WordPress plugins for online courses let students cheat

READ MORE

"Those targeted include applications like Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase, Paysafecard, and many more." — the full list of targeted Android apps is available here.

At the moment, the malware is not being distributed via the Google Play Store, with its creators most likely using shady APK hosting websites and rogue APK marketplace for distribution to potential victims' devices.
Apps targeted by EventBot (Cybereason Nocturnus)
Permissions for everything

Once the targets download EventBot on their devices and start the installation process, the malware will ask to be granted a large set of permissions including the capability to run in the background, to ignore battery optimizations, and to prevent the processor from sleeping or the device from dimming the screen.

EventBot also asks to get access to Android's accessibility services which allows it to "operate as a keylogger and can retrieve notifications about other installed applications and content of open windows" once the permissions are granted.

The banking trojan also asks for permission to launch itself after system boot as a simple way to gain persistence on infected devices and run in the background as a service.

It will also request permission to read and receive SMS messages malware, thus gaining the ability to read text messages and steal one-time passcodes (OTPs) it later uses to bypass two-factor authentication (2FA) for accounts using SMS-based 2FA — EventBot also uses webinjects to circumvent 2FA.

EventBot collects the list of installed apps on the Android devices it infects, together with device info like OS and model, data that gets sent to its command-and-control server to be later harvested by its operators.
EventBot requesting permissions (Cybereason Nocturnus)
Still in development but already a threat

Although it is currently in its early stages of development, EventBot can become a major Android malware threat since it is already capable of targeting hundreds of financial apps and the developers add more new feature in each version like encryption, dynamic library loading, and automatic adjustment to device models and locales.

Because the threat actor behind this malware updates it every few days, it's just a matter of time until it catches up to other highly dangerous Android trojans like Cerberus, Anubis, and xHelper.

For instance, EventBot's developers added a layer of obfuscation in the latest version, "perhaps taking the malware one step closer to being fully operational," according to the researchers.

To defend against an EventBot infection you should avoid third-party marketplaces if possible and always install apps only from the Google Play Store as they go through a vetting process that makes sure that most potentially malicious apps are rejected.

"Cybereason believes EventBot could be the next influential mobile malware because of the time the developer has already invested into creating the code and the level of sophistication and capabilities is really high," Cybereason Head of Threat Research Assaf Dahan said.

"By accessing and stealing this data, Eventbot has the potential to access key business data, including financial data. Mobile malware is no laughing matter and it is a significant risk for organizations and consumers alike."

EventBot indicators of compromise (IOCs) including malware sample hashes, and IP addresses and domains of its command and control servers, are available at the end of Cybereason Nocturnus' report.

Starting last month, the TrickBot​​​​​ gang has also begun using a malicious Android app dubbed TrickMo that steals transaction authentication numbers (TANs) — including one-time passwords (OTP), mobile TAN (mTAN), and pushTAN authentication codes — to bypass the 2FA protection used by various banks