31/07/2017

14 công cụ mã nguồn mở giúp tìm kiếm lỗ hổng ứng dụng web

Trong quá khứ nhiều website nổi tiếng đã bị hacker tấn công và gây ra những hậu quả nghiêm trọng gây mất uy tín cho doanh nghiệp. Việc kiểm tra an ninh cho website vô cùng quan trọng nhằm tránh những tổn thất trong tương lai. Việc đánh giá an ninh cho website cần có những chuyên gia có tay nghề với chi phí lớn ngoài ra cần phối hợp sử dụng các công cụ Application Security Scanner để nhanh chóng tìm và đưa ra các bản vá kịp thời đảm bảo an ninh cho các website.

Application Security Scanner là chương trình phần mềm cho phép kiểm tra các lỗ hổng an ninh trên website.
Application Security Scanner với các bản thương mại mang lại hiệu quả khá cao như web Acunetix, bên cạnh đó còn nhiều chương trình webscan mã nguồn mở mang lại hiệu quả khá cao giúp các chuyên gia hay lập trình viên nhanh chóng, đỡ mất thời gian tìm ra các lỗi an ninh trên hệ thống website.
Các bạn không nên nhầm lẫn giữa các chương trình mã nguồn mở với các chương trình miễn phí chúng hoàn toàn khác nhau. Mã nguồn mở là có kho mã nguồn về ứng dụng đó để người dùng có thể tùy biến theo nhiều kiểu khác nhau, có khi được phát triển thành ứng dụng bán lấy tiền có khi chia sẻ miễn phí nhưng tất cả đều phải công bố mã nguồn còn các ứng dụng miễn phí tất nhiên là free nhưng mã nguồn của nó thì chưa biết được.

1. Grabber:
Là một máy quét lỗ hổng ứng dụng web các lỗ hổng mà nó có thể phát hiện:
Cross site scripting
SQL injection
Ajax testing
File inclusion
JS source code analyzer
Backup file check
Công cụ này được đánh giá chạy khá nhanh với các website nhỏ và mất nhiều thời gian với các website lớn.
Cộng cụ này phát triển bằng ngôn ngữ python và không cung cấp trình giao diện nào cho người dùng. Các bạn có thể tùy biến hay nghiên cứu mã nguồn của nó.
Download it here: http://rgaucher.info/beta/grabber/
Source code on Github: https://github.com/neuroo/grabber

2. Vega:
Đây là công cụ phát triển dựa trên ngôn ngữ lập trình java có thể chạy trên nền tảng OSX, Window, Linux.
Công cụ Vega có thể tìm kiếm các lỗ hổng SQL injection, header injection, directory listing, shell injection, cross site scripting, file inclusion và một số lỗ hổng ứng dụng web khác.
Bạn có thể cài đặt số luồng quét tối đã mỗi giây khi bắt đầu kiểm tra 1 website.
Documentation: https://subgraph.com/vega/documentation/index.en.html
Download Vega: https://subgraph.com/vega/

3. Zed Attack Proxy:
Đây là công cụ được phát triển bởi AWASP chạy được trên nền tảng Window, OSX, Unix, Linux. Đây là công cụ đơn giản và dễ sử dụng.
Những tính năng của nó được liệt kê dưới đây:
Intercepting Proxy
Automatic Scanner
Traditional but powerful spiders
Fuzzer
Web Socket Support
Plug-n-hack support
Authentication support
REST based API
Dynamic SSL certificates
Smartcard and Client Digital Certificates support
Download ZAP : http://code.google.com/p/zaproxy/

4. Wapiti :
Đây cũng là một công cụ kiểm tra an ninh website tốt. Phương thức kiểm tra an ninh trên web của nó là quét các đường link và chèn giữ liệu test lên các đối tượng ( texbox...), nó hỗ trợ GET cà POST HTTP. Các lỗ hổng có thể được phát hiện bằng công cụ này:
File Disclosure
File inclusion
Cross Site Scripting (XSS)
Command execution detection
CRLF Injection
SEL Injection and Xpath Injection
Weak .htaccess configuration
Backup files disclosure
Đây là công cụ sử dụng dòng lệnh để thao tác nên dành cho các chuyên gia với các bạn mới bắt đầu thì sẽ khó sử dụng.
Download Wapiti with source code: http://wapiti.sourceforge.net/

5. W3af :
Công cụ kiểm tra an ninh web này được phát triển bằng ngôn ngữ python. Sử dụng công cụ này bạn có thể kiểm tra được hơn 200 lỗ hổng ứng dụng web bao gồm các lỗ hổng nguy hiểm như: SQL injection, Cross-Site Scripting.
Điều đặc biệt là công cụ này được đi kèm với giao diện đồ họa với các tùy chọn cho phép người dùng dễ dàng sử dụng.
Chi tiết hơn về công cụ này:
https://github.com/andresriancho/w3af/
Download it from the official website: http://w3af.org/

6. WebScarab :
Đây không phải một công cụ dành cho người mới bắt đầu vì nó được thiết kế cho những người hiểu biết tốt về HTTP và biết viết mã.
Ngoài các tính năng như các công cụ kiểm tra an ninh website khác công cụ có chức năng như con nhện tự động tìm kiếm các link của mục tiêu và đưa ra các kịch bản nhằm kiểm tra lỗ hổng trên các link đó.
Các lỗ hổng có thể được phát hiện bởi công cụ: SQL injection, XSS< CRLF và nhiều hơn nữa.
Source code of the tool is available on Github: https://github.com/OWASP/OWASP-WebScarab
Download WebScarab here: https://www.owasp.org/index.php/Cate...Scarab_Project

7. Skipfish:
Đây là công cụ viết bằng ngôn ngữ lập trình C. Nó được tối ưu để có thể chạy 2000 request mỗi giây mà không cần quá nhiều CPU máy tính nên tốc độ khá nhanh.
Công cụ này được chạy trên các nền tảng: OSX, Linux, Window.
Download Skipfish or code from GOogle Codes: http://code.google.com/p/skipfish/

8. Ratproxy:
Ratproxy cũng là một công cụ mã nguồn mở kiểm tra an ninh ứng dụng web. Nó hỗ trợ Linux, FreeBSD, MacOS X, và (Cygwin) môi trường Windows.
Công cụ này được thiết kế để khắc phục những vấn đề người dùng thường gặp phải khi sử dụng các công cụ proxy khác để kiểm tra an ninh. Nó có khả năng phân biệt giữa css và mã JavaScript. Nó cũng hỗ trợ giao thức SSL khi kiểm tra an ninh, có nghĩa là bạn cũng có thể xem dữ liệu khi website chạy SSL.
Bạn có thể đọc thêm về công cụ này ở đây: http://code.google.com/p/ratproxy/wiki/RatproxyDoc
Download http://code.google.com/p/ratproxy/

9. SQLMap:
Đây có lẽ là công cụ sử dụng phổ biến nhất và nhiều bạn biết về nó.
QALMap được viết trên ngôn ngữ lập trình Python và chạy bằng command line trên cả 3 nền tảng OSX, Linux, Window.
Bạn có thể tìm hiểu thêm về công cụ này tại:
https://github.com/sqlmapproject/sqlmap
Download SQLMap here: https://github.com/sqlmapproject/sqlmap

10. Wfuzz:
Wfuzz là một công cụ mã nguồn mở tự do có để kiểm tra an ninh ứng dụng web. Nó có thể được sử dụng để thực thi truy vấn GET và POST nhằm phát hiện các lỗ hổng an ninh như SQL, XSS, LDAP và nhiều thứ khác. Nó cũng hỗ trợ cookie fuzzing, multi-threading, SOCK, Proxy, Authentication, parameters brute forcing, multiple proxy...vvv
Đây là công cụ không hỗ trợ giao diện nên các bạn phải dùng dòng lệnh để sử dụng.
Download Wfuzz from code.google.com: http://code.google.com/p/wfuzz/

11. Grendel-Scan:
Đây là công cụ được phát triển bằng ngôn ngữ Java chạy được trên các nền tảng OSX, Linux và Window. Nó giúp các chuyên gia nhanh chóng tìm ra các lỗ hổng ứng dụng web.
Download the tool and source code: http://sourceforge.net/projects/grendel/

12. Watcher:
Khác với các công cụ khác đây là một chương trình thụ động dưới dạng add-on. Để sử dụng nó bạn cần cài đặt Fiddler trước rùi cài thêm add-on Watcher vào.
Là một máy quét thụ động nên nó không gây ảnh hưởng tới website hay cơ sở hạ tầng của website đó.
Download watcher and its source code: http://websecuritytool.codeplex.com/

13. X5S:
Đây của là một add-on của Fiddler để dùng được nó bạn cũng phải cài đặt Fiddler trước.
Download X5S and source code from codeplex: http://xss.codeplex.com/

14. Arachni:
Arachni là một công cụ mã nguồn mở được phát triển để cung cấp một môi trường thử nghiệm thâm nhập. Công cụ này có thể phát hiện các lỗ hổng bảo mật ứng dụng web khác nhau. Nó có thể phát hiện các lỗ hổng khác nhau như SQL Injection, XSS, Local File inclusion, remote file inclusion, unvalidated redirect và nhiều lỗ hổng khác.
Download this tool here: http://www.arachni-scanner.com/
Qua bài viết này các bạn có thể biết thêm một số công cụ giúp tìm kiếm lỗ hổng an ninh website. Bài viết mình chỉ giới thiệu sơ qua về các công cụ trên hy vọng các bạn sẽ có các bài chi tiết giới thiệu tầng công cụ đó để mọi người cùng tìm hiểu.


Nguồn: resources dot infosecinstitute dot com - Dịch DiepNV88

27/07/2017

Cảnh báo mã độc nguy hiểm tấn công máy tính Mac

Nếu người dùng sở hữu máy tính Mac và nghĩ rằng mình miễn nhiễm với mã độc thì bạn đã nhầm. Một loại mã độc tấn công hàng trăm máy tính Mac trong vòng 5 năm qua – và chỉ mới đươc phát hiện trong vài tháng trước.

Mã độc FruitFly trên máy tính Mac lần đầu tiên được phát hiện trong đầu năm 2017 bởi nhà nghiên cứu Thomas Reed thuộc Malwarebytes. Apple đã nhanh chóng phát hành bản cập nhật bảo mật xử lý mã độc nguy hiểm này ngay sau đó.

Một vài tháng sau, Patrick Wardle, một cực hacker thuộc Cơ quan An ninh quốc gia Hoa Kỳ (NSA) đã phát hiện hơn 400 máy tính Mac bị nhiễm một biến thể mã độc FruitFly (FruitFly 2) mới. Wardle tin rằng số lượng máy tính bị nhiễm độc còn cao hơn nhiều do ông mới chỉ truy cập được một vài máy chủ điều khiển FruitFly.

Mặc dù chưa rõ nhóm hacker nào đứng đằng sau FruitFly hay làm thế nào mã độc này có thể xâm nhập vào máy tính Mac nhưng các nhà nghiên cứu cho biết nó đã hoạt động được khoảng 10 năm. FruitFly có thể được phát tán thông qua một website độc hại, email lừa đảo và các ứng dụng giả mạo khác.

FruitFly là mã độc do thám có khả năng thực thi lệnh, di chuyển và nhấn con trỏ chuột, chụp ảnh webcam, tắt tiến trình, thu thập thông tin hệ thống, chụp ảnh mà  hình và thậm chí thông báo với tin tặc khi nạn nhân sử dụng máy tính Mac. 

Dịch SecurityDaily - Theo THN

25/07/2017

Chê ngân hàng trực tuyến 'ngu', bị chuyên gia chỉ ra cái chưa biết

Giám đốc một công ty công nghệ chê hệ thống đăng nhập hệ thống trực tuyến của một ngân hàng 'ngu'. Chuyên gia an toàn thông tin chỉ ra những điểm "nghiệp dư" trong bài đăng.

Giám đốc một công ty công nghệ, ông N.D.N đăng tải một bài viết lên tài khoản Facebook, dùng nhiều lời lẽ không hay chê bai hệ thống đăng nhập ngân hàng trực tuyến của một ngân hàng có tiếng, lẫn những người phụ trách là 'ngu dốt', và cả người trực tổng đài hỗ trợ.

Bài viết này xin phép không đưa tên cụ thể của nhân vật và tên ngân hàng được nhắc đến. Mục đích của bài viết này nhằm chia sẻ những ý kiến và kiến thức về an toàn thông tin mà người tiêu dùng phổ thông, và bao gồm cả người làm kỹ thuật cần phải nắm bắt, đặc biệt là khi tiếp cận các dịch vụ trực tuyến trong thời đại công nghệ số hiện nay.

Quay lại nội dung trên, bài viết do ông N.D.N đăng lên mạng Facebook thu hút rất đông người vào bình luận, và đa phần ủng hộ. Tuy vậy, những người bình luận ủng hộ lại đưa những chuyện khác không liên quan mà họ gặp phải rồi quy thành 'cái sai chung' của ngân hàng theo bài viết về hệ thống đăng nhập ngân hàng trực tuyến (eBanking) của ông N..

Tuy nhiên, bài viết của ông N. đã được phân tích và chỉ ra những điểm sai bởi một chuyên gia an toàn thông tin (ATTT), nhà sáng lập cộng đồng nghiên cứu bảo mật VNSecurity Thanh Nguyen.

Đây là một ví dụ khá điển hình về chuyện cân đối giữa an toàn thông tin với sự tiện dụng của người dùng cũng như phản ánh thực trạng thiếu nhận thức về an toàn thông tin của người dùng, kể cả đối với dân IT đã làm kỹ thuật lâu năm - Thanh Nguyen, nhà sáng lập VNSecurity

Xin trích dẫn bài viết của anh Thanh Nguyen để bạn đọc hiểu rõ hơn vì sao ngân hàng và các dịch vụ giao dịch tài chính trực tuyến như ví điện tử buộc phải 'khó khăn' với khách hàng khi sử dụng hệ thống giao dịch trực tuyến để bảo vệ chính họ.

Trong bài viết, ông N. chê kiểu 'đăng nhập sai mật khẩu (password) 3 lần là bị tạm khóa tài khoản'. Theo anh Thanh, chính sách nhập sai mật khẩu liên tiếp nhiều lần sẽ tạm khoá tài khoản eBanking được tạo ra với mục đích là để bảo vệ tài khoản của khách hàng, trong đó có chính bạn.

'Chính sách này thường luôn được quy định trong các tiêu chuẩn về ATTT mà các tổ chức tài chính, ngân hàng, cổng thanh toán phải tuân thủ. Ví dụ tiêu chuẩn PCI DSS quy định phải tạm khoá tài khoản nếu số lần nhập sai mật khẩu liên tiếp vượt quá 6 lần.', anh Thanh Nguyen viết.

Cũng cần nói thêm về quy định chung đối với tổ chức tài chính và ngân hàng, mục 3 Điều 8 trong Thông tư 35/2016/TT-NHNN ban hành bởi Ngân hàng Nhà nước Việt Nam 'Quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet' có nêu rõ 'Phần mềm ứng dụng phải xác thực người dùng khi truy cập. Trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định, nhưng không được quá năm lần, phần mềm ứng dụng phải tự động khoá tạm thời không cho khách hàng tiếp tục sử dụng.'

Trên thực tế, các dịch vụ giao dịch tài chính trực tuyến hiện nay như Paypal đều rất nghiêm ngặt ở phần 'số lần nhập sai mật khẩu' dẫn đến tạm khóa tài khoản. Phải dùng các bước khôi phục lại mật khẩu bằng các câu hỏi bí mật, mã nhận diện... Tất cả bước trên đều nhằm tránh tài khoản của bạn rơi vào tay kẻ gian khi chúng đoán mật khẩu.

Kế đến, ông N. chê 'Mật khẩu bắt đặt đủ chữ hoa, thường, số và ký tự đặc biệt nên không dùng được password quen thuộc'
'Việc tạo thói quen đặt mật khẩu đủ tốt, đủ phức tạp là cần thiết để bảo vệ chính bản thân bạn. Tất nhiên đừng đặt ra luật phức tạp quá vì có thể khiến người dùng khó nhớ... có khi lại lấy giấy ra ghi mật khẩu rồi dán lên màn hình', chuyên gia VNSecurity chia sẻ.

'Xét ở góc độ hệ thống eBanking thì yêu cầu mật khẩu gồm chữ HOA, thường, số và ký tự đặc biệt cũng không có gì quá đáng lắm (Paypal hay Stripe hay Apple đều yêu cầu tương tự). Đúng là có những tranh luận nhất định về "được" và "mất", tính hiệu quả của chính sách, độ phức tạp của mật khẩu và NIST SP 800-63 mới tăng độ ưu tiên cho tính khả dụng (usability) hơn. Nhưng nói việc này là cổ hủ ngu ngốc và giới nghiên cứu bảo mật chỉnh đốn từ lâu thì sai rõ rồi.'

'Việc bạn N. muốn dùng mật khẩu quen thuộc cho tài khoản eBanking là một việc đặc biệt không nên làm nhưng hầu hết người dùng đều mắc phải. Không nên dùng chung mật khẩu cho các tài khoản khác nhau, đặc biệt là với các tài khoản quan trọng như eBanking vì tiền của mình trong đó. Khi dùng chung mật khẩu, nếu một trong những tài khoản của bạn bị lộ mật khẩu thì bạn sẽ mất cả những tài khoản quan trọng khác nữa.', anh Thanh Nguyen nói về sai lầm kế tiếp trong bài viết của ông N.

Ông N. viết 'Mã xác thực (Captcha) đần độn không có tác dụng gì với kẻ tấn công'
Chuyên gia Thanh Nguyen tiếp tục phân tích nhận định chủ quan này: 'Captcha có tác dụng hạn chế một phần tấn công brute-force (*) cũng như các công cụ tự động, mặc dù cách làm Captcha của ngân hàng đơn giản nhưng nói Captcha đần độn không có tác dụng gì thì hơi quá.'

(*) Brute-force hiểu cơ bản là một dạng tấn công bẻ khóa nhằm giải mã dữ liệu mã hóa như mật khẩu tài khoản bằng cách thử liên tục các mật khẩu.

Ngoài dạng tấn công mạng brute-force, các công cụ đăng nhập tự động kiểu 'bot' sẽ bị hệ thống mã xác thực Captcha ngăn chặn khá hiệu quả. Ngày nay, có nhiều dạng Captcha mới hơn để chống các loại 'bot' cải tiến như người dùng cần nhấn vào các hình theo chủ đề gợi ý trong hàng loạt hình hiện ra.

Cuối cùng, ngoài ba điều mà ông N. cho là 'phiền phức' và 'đần độn' thì các ngân hàng và tổ chức tài chính ngày nay còn khuyến khích hoặc yêu cầu người dùng sử dụng thêm cơ chế xác thực 2 lớp (2FA), tức một lớp mã số xác thực ngẫu nhiên gửi qua tin nhắn SMS đến điện thoại, hoặc Token... bên cạnh lớp mật khẩu.

Các dịch vụ trực tuyến có lượng người dùng đông đảo hiện nay như Google, Apple, Microsoft, Twitter, Facebook,... đều có 2FA để người dùng bảo vệ tài khoản của mình.


Theo: TuoiTre

Mã nguồn của SLocker ransomware bị rò rỉ trên internet


SLocker ransomware được phát hiện lần đầu tiên vào năm 2015, đây là ransomware đầu tiên mã hóa các tệp tin của Android. Nó giả mạo như các game guides hay video player... để thu hút các nạn nhân cài đặt nó.

Khi được cài đặt lần đầu tiên, biểu tượng của nó giống như một phần mềm hướng dẫn chơi game bình thường hoặc những công cụ gian lận. Và khi ransomware này được khởi chạy thì nó sẽ thay đổi icon và tên cùng với cả hình nên của thiết bị đã bị nhiễm.

Theo TrendMicro: 
 - Khi ransomware được cài đặt, nó sẽ kiểm tra xem đã được chạy trước đó chưa. Nếu chưa, nó sẽ tạo ra một số ngẫu nhiên và lưu trữ trong SharedPreferences - nơi mà dữ liệu của ứng dụng được lưu lại. Sau đó, nó sẽ xác định vị trí bộ nhớ ngoài của thiết bị và bắt đầu một thread mới.
 - Ransomware này không mã hóa tệp tin hệ thống, chỉ tập trung vào các tệp tin, hình ảnh đã tải xuống và chỉ các file có hậu tố dạng hình ảnh, video, văn bản... Khi tệp tin có đầy đủ các yếu tố đó thì thread sẽ sử dụng ExcutorService để chạy tác vụ mới.

Mã nguồn của ransomware đã bị rò rỉ trên Github bởi một tài khoản không rõ danh tính có nickname "fs0c1ety". Hacker đang kêu gọi mọi người đóng góp cho mã nguồn và gửi các báo lỗi.

Làm sao để bảo vệ mình?

 - Không mở các file đính kèm từ nguồn không rõ ràng
 - Không click vào link từ tin nhắn bất kỳ
 - Tắt cài đặt phần mềm không rõ nguồn gốc hay không phải từ Google Play (Setting - Security - Tắt "Allow installation of apps from sources other than the Play Store.")
 - Hạn chế sử dụng các mạng, wifi không an toàn.


Dịch ThaoPT - Theo: LTHN & THN 

20/07/2017

Phát hiện malware đáng sợ có thể chụp ảnh, ghi âm và đánh cắp dữ liệu trên Android

Các nhà nghiên cứu vừa phát hiện ra một malware có khả năng tạo ra cửa hậu vào thiết bị Android của người dùng, từ đó cho phép các hacker đánh cắp dữ liệu, ghi âm hay quay phim và còn có thể âm thầm cài đặt các phần mềm đòi tiền chuộc lên hệ thống.


Theo ZDNet, malware này thuộc hàng nguy hiểm nhất trong số các malware đánh cắp thông tin trên Android vừa bị phát hiện ra, cho phép các hacker mở một cửa hậu (backdoor) sau đó theo dõi dữ liệu, đánh cắp thông tin, ghi âm và quay phim, thậm chí còn mở đường cho các phần mềm đòi tiền chuộc khác lọt vào hệ thống.
Được đặt tên là GhostCtrl, malware có thể âm thầm kiểm soát nhiều chức năng trên các thiết bị đã bị nhiễm và theo các nhà nghiên cứu thì đây chỉ là hình thái ban đầu của mã độc, trong tương lai có thể biến tướng thành một loại khác nguy hiểm hơn nữa.
Malware này được phát triển dựa trên OmniRAT - một dạng phần mềm gián điệp hoạt động trên Windows, Mac, Linux và Android. Tuy nhiên, khác với người tiền nhiệm, GhostCtrl chỉ hoạt động trên Android.
Hiện nay, các thiết bị di động đã và đang trở thành miếng mồi béo bở cho bọn tội phạm công nghệ cao và các phần mềm gián điệp, một phần bởi chúng chứa các thông tin quan trọng về chủ nhân chúng, phần khác là bởi chúng luôn được mang theo bên cạnh người dùng.
GhostCtrl được phát hiện bởi các nhà nghiên cứu tại TrendMicro, nằm trong một chiến dịch lớn nhắm vào các bệnh viện tại Israel, có chứa sâu máy tính chuyên ăn cắp thông tin mang tên Windows RETADUP. Tuy nhiên, việc GhostCtrl nhắm vào các thiết bị di động cho thấy có những mối nguy tiềm tàng đằng sau đợt tấn công này.
Hiện có 3 biến thể của GhostCtrl - một biến thể đánh cắp thông tin và điều khiển một số chức năng của máy bị nhiễm, biến thể thứ hai có thêm một số tính năng nhằm điều khiển máy từ xa. Biến thể thứ ba, là biến thể hiện đang lây nhiễm mạnh, có tất cả các đặc tính nguy hiểm của hai đời đầu, và các tính năng nguy hiểm khác vừa được thêm vào nữa, trong đó có theo dõi dữ liệu điện thoại trong thời gian thực, đánh cắp dữ liệu như nhật ký cuộc gọi, tin nhắn, danh bạ, số điện thoại, địa điểm, lịch sử trình duyệt. Mã độc còn ghi lại thông tin về phiên bản Android trên thiết bị, mức pin và gần như mọi thông tin hoạt động khác.
Tuy nhiên, điều nguy hiểm nhất của GhostCtrl chính là ghi âm và quay phim, cho phép các hacker có thể tiến hành các hoạt động gián điệp, theo dõi một cách toàn diện đối với các thiết bị bị lây nhiễm.
Những người dùng bị dính malware này thông qua việc tải về nhầm một phiên bản giả mạo của các ứng dụng phổ biến như WhatsApp hay Pokemon Go. GhostCtrl sẽ tự động cài đặt khi các ứng dụng giả mạo này được bật lên, sau đó cài đặt các gói phần mềm Android (APK) nguy hiểm khác để chiếm hệ thống.
Gói APK này chứa một backdoor với tên gọi com.android.engine, được thiết kế để đánh lừa người dùng nghĩ nó là một ứng dụng bình thường, trong khi ẩn sau bên dưới thì đang kết nối với một máy chủ ra lệnh và điều khiển để nhận lệnh liên quan đến các thông tin cần đánh cắp.
GhostCtrl có khả năng trở thành ramsomware, với khả năng khóa cứng thiết bị. Tuy nhiên, chưa phát hiện thấy thiết bị nào bị dính trường hợp này. Chưa biết liệu hacker sẽ triển khai tính năng biến hình thành ransomware khi nào, nhưng nếu không có vấn đề gì khiến chúng thay đổi chiến thuật tấn công thì quá trình này được dự đoán sẽ sớm diễn ra.
Bản chất của GhostCtrl khiến chúng ta rất khó đối phó - một trong những cách khả dĩ nhất là bạn nên cẩn thận trong việc cài đặt các ứng dụng, chỉ nên cài từ các nguồn đã được thẩm định.
Các nhà nghiên cứu của TrendMicro khuyên người dùng nên cập nhật các thiết bị Android càng sớm càng tốt, đồng thời các công ty nên hạn chế quyền trên các thiết bị của công ty để tránh việc cài đặt nhầm phần mềm nguy hiểm này.
Để phòng ngừa nguy cơ mã độc tấn công, chuyên gia Bkav cũng khuyến cáo người dùng nên sao lưu dữ liệu thường xuyên, cập nhật bản vá cho hệ điều hành. Người dùng cũng cần cài phần mềm diệt virus thường trực để được bảo vệ tự động.
Theo: Vnreview

18/07/2017

Phát hiện 2 nền tảng “Dịch vụ cho thuê tin tặc”

Tin tặc không gian mạng đang ngày càng phát triển và tồn tại cơ cấu tổ chức chặt chẽ. Tin tặc đang gia tăng thương mại hóa bằng cách cho thuê các công cụ hacking và công nghệ, từ công cụ khai thác đến mã độc tống tiền; nhằm giúp bất cứ a cũng có thể tạo ra các mối đe dọa và thực hiện tấn công.

Trong một vài năm qua, chúng ta đã chứng kiến sự gia tăng của mã độc cho thuê dưới dạng dịch vụ (malware-as-a-service MaaS) và sự ra đời của hàng loạt dịch vụ trong chợ đen bao gồm cho thuê mã độc tốn tiền, cho thuê tấn công DDoS, tấ công lừa đảo ,…   Bài viết sẽ mô tả hai dịch vụ của tin tặc mới được các nhà nghiên cứu phát hiện gần đây.

Ovidiy Stealer – Mã độc đánh cắp mật khẩu giá 7 USD
Một mã độc đánh cắp mật khẩu mới tấn công hầu hết các trình duyêt web đang được quảng bá tại các diễn đàn tiếng Nga với giá chỉ 7 USD. Bất cứ ai chỉ cần có một chút kiến thức về kĩ thuật đều có thể sử dụng để tấn công máy tính mà họ muốn.

Mã đôc Ovidiy Stealer xuất hiện vào cuối tháng trước, nó thường xuyên được cập nhật bởi nhà phát triển và nhanh chóng được cộng đồng tin tặc sử dụng rộng rãi. Ovidiy Stealer có một vài phiên bản khác nhau phát tán tại các nước Anh, Hà Lan, Ấn Độ và Nga.

Do giá thành rất rẻ, mã nguồn của mã độc được mã hóa, khiến chúng trở nên khó có thể phát hiện và phân tích. Ovidiy Stealer có khả năng tấn công nhiều trình duyệt và ứng dụng bao gồm  Google Chrome, Opera, FileZilla, Amigo, Kometa, Torch, và Orbitum; người mua cũng có thể chỉ mua phiên bản hoạt động với một trình duyệt.

Mã độc được phát tán dưới nhiều hình thức bao gồm tệp tin đính kèm email, đường dẫn độc hại, phần mềm giả mạo và các công cụ được quảng cáo trên các website. Ovidiy Stealer không phải là một mã độc mạnh và phức tạp do không hề có cơ chế giúp tồn tại lâu dài trong máy tính, nhưng nó có khả năng phát tán mạnh mẽ. Mã độc sử dụng SSL/TLS bảo vệ kết nối tới máy chủ điều khiển có tên miền tại Nga.


Hackshit – tấn công lừa đảo dễ dàng hơn bao giờ hết
Một dịch vụ cho thuê tấn công lừa đảo giá rẻ khác có tên Hackshit cho phép người dùng tạo tài khoản dùng thử miễn phí để được hướng dẫn hack và cách lừa đảo kiếm tiền.

Hackshit cho phép người dùng tạo ra một trang giả đăng nhập giả mạo đối với mỗi dịch vụ bao gồm Yahoo, Facebook và Google Gmail. Nội dung trang giả mạo sử dụng định dạng base64 từ website HTTPS có tên miền “.moe” nhằm tránh các công cụ quét truyền thống. Thêm vào đó webiste của Hackshit sử dụng chứng chỉ SSL mã nguồn mở miễn phí Let’s Encrypt.

Tin tặc cho thuê dưới dạng dịch vụ trở thành một thách thứ mới đối với an toàn an ninh thông tin. Đây không chỉ là một nhân tốđộc hại lợi dùng các nguồn lực khác nhà nhằm thực hiện tấn công, mà còn tác động mạnh đến những ai muốn trở thành tin tặc trên khắp thế giới.


Dịch SecurityDaily - Theo THN

Google tìm ra giải pháp bảo mật 2 bước đơn giản, không cần đến mã OTP

Bảo mật 2 bước là phương pháp khá hiệu quả giúp tài khoản của bạn an toàn trước sự tấn công của các hacker. Hiện nay, chúng ta có thể thấy các phương pháp bảo mật 2 bước bằng cách gửi mã OTP thông qua tin nhắn SMS hoặc email. Tuy nhiên Google nghĩ ra một cách đơn giản hơn.

Google sử dụng một hệ thống thông báo đơn giản trên smartphone, để hiển thị lời nhắc khi tài khoản của bạn đăng nhập trên một thiết bị mới. Thông báo này sẽ có tùy chọn cho phép đăng nhập vào thiết bị mới, nếu đó đúng là bạn. Hoặc bạn có thể ngăn chặn không cho phép đăng nhập, nếu nghi ngờ có ai đó đánh cắp mật khẩu của mình.
Sau khi đăng nhập, bạn có thể lựa chọn lưu lại thiết lập này. Những lần đăng nhập sau đó vào thiết bị sẽ không cần bạn chấp nhận nữa.

Tuy nhiên cách thức bảo mật của Google bắt buộc thiết bị của bạn phải có kết nối internet. Mặc dù vậy nó vẫn an toàn hơn so với bảo mật 2 bước bằng SMS, bởi các hacker hoàn toàn có thể đánh cắp tin nhắn SMS gửi đến điện thoại của bạn.

Đối với người dùng iOS, để có thể sử dụng tính năng mới này bạn sẽ phải cài đặt ứng dụng Google Search trên thiết bị của mình.


Theo: GenK

17/07/2017

Ransomware chuyển hướng tấn công smartphone Android

Sau khi ảnh hưởng đến hàng triệu người dùng máy tính trên toàn thế giới, mã độc tống tiền (ransomware) đã bắt đầu tìm đường tấn công smartphone, với hệ điều hành bị tấn công đầu tiên là Android.

Theo hãng bảo mật Trend Micro, LeakerLocker là ransomware mới nhất vừa được phát hiện và đang ảnh hưởng đến người dùng Android nếu họ tải các ứng dụng cụ thể từ Google Play Store.
Không giống như các ransomware khác, điểm nguy hiểm của LeakerLocker chính là nó không mã hóa tập tin người dùng trước khi yêu cầu khoản thanh toán để giải mã. Thay vào đó, nó cố gắng tống tiền nạn nhân 50 USD (thanh toán qua Bitcoin), đổi lại bọn tội phạm nói rằng chúng sẽ không lan truyền thông tin cá nhân (thu thập từ thiết bị người dùng) lên mạng internet. Phương thức tấn công này còn được gọi là “doxxing”.
Doxxing là một phương pháp tấn công phổ biến được sử dụng bằng nhiều công cụ hack. Phương pháp này có thể thu thập được một lượng lớn thông tin cá nhân của những người cụ thể. Nhiều hacker sử dụng chúng vào những mục đích trục lợi của riêng họ như quấy rối, theo dõi hoặc lợi dụng cá nhân. Việc để lộ thông tin cá nhân, bao gồm số an sinh xã hội hoặc chi tiết ngân hàng, sẽ gây ảnh hưởng đến danh tiếng hoặc vấn đề tài chính của nạn nhân.
Với hình thức tấn công này, LeakerLocker sẽ hướng đến những đối tượng người dùng coi trọng thông tin cá nhân của mình, vì vậy họ sẵn sàng trả phí cho hacker để bảo vệ mình.
Các chuyên gia bảo mật Trend Micro đã xác định các ứng dụng mang mối đe dọa này trong Google Play Store, bao gồm Wallpapers Blur HD và Booster & Cleaner Pro. Các ứng dụng này đã được tải xuống hàng nghìn lần. Theo khuyến cáo, người dùng bị ảnh hưởng không nên thanh toán tiền chuộc vì nó khiến vấn đề thêm phần trầm trọng.
Ngoài ra, người dùng cần đảm bảo cài đặt ứng dụng với những quyền giới hạn, không cho phép chúng truy cập vào một số lượng nhất định thông tin cá nhân.


Theo: ThanhNien

Hacker sử dụng thông tin cá nhân đánh cắp để làm gì?

Chúng ta thường thấy những cảnh báo phải cẩn thận với thông tin cá nhân, tuy nhiên thông tin cá nhân bị đánh cắp thường được sử dụng vào việc gì có thể là điều ít người biết.

Thông tin bị đánh cắp như thế nào?
Nhiều người nghĩ rằng hacker là nguyên nhân chính gây ra việc mất dữ liệu, tuy nhiên nghiên cứu của hãng bảo mật Trend Micro (Nhật Bản) cho thấy nguyên nhân chủ yếu của việc bị mất dữ liệu là do người dùng làm mất hoặc bị đánh cắp thiết bị.
Tất nhiên hacker và phần mềm độc hại cũng chiếm tỷ lệ cao trong việc làm mất mát thông tin người dùng. Việc tiết lộ thông tin ngoài ý muốn và rò rỉ thông tin nội bộ cũng được xếp hạng cao trong các rủi ro bị mất thông tin.
Xác suất thông tin bị đánh cắp.

Điều gì xảy ra với thông tin bị đánh cắp?
Thông thường, thông tin bị đánh cắp sẽ bị bán trong các thị trường ngầm. Dưới đây là một số ví dụ cụ thể về những gì xảy ra với dữ liệu bị đánh cắp.
Các tình huống có thể xảy ra đối với thông tin bị đánh cắp.

Thông tin cá nhân
Thông tin cá nhân (PII) được định nghĩa là dữ liệu có thể được sử dụng để xác định, định vị hoặc liên hệ với một cá nhân cụ thể. Ví dụ về thông tin nhận dạng cá nhân bao gồm: tên, ngày sinh, địa chỉ, số an sinh xã hội, số điện thoại và tất cả dữ liệu khác được sử dụng để phân biệt hoặc xác định cá nhân.
Đây là loại dữ liệu bị đánh cắp nhiều nhất và dễ sử dụng thông tin nhất. Những kẻ tấn công thường dùng thông tin đánh cắp để nộp đơn xin vay tiền hoặc thẻ tín dụng dưới tên của người sử dụng, nộp tờ khai thuế lợi tức gian lận và xin vay vốn dưới tên của nạn nhân.
Mặt khác, nạn nhân cũng có thể bị ảnh hưởng gián tiếp khi PII của họ được bán cho các công ty tiếp thị hoặc công ty chuyên về các chiến dịch spam.

Thông tin tài chính
Thông tin tài chính là dữ liệu được sử dụng trong hoạt động tài chính của một cá nhân. Điều này bao gồm thông tin ngân hàng, tài khoản thanh toán, thông tin bảo hiểm và dữ liệu khác có thể được sử dụng để truy cập tài khoản hoặc xử lý các giao dịch tài chính.
Tội phạm mạng có thể sử dụng thông tin tài chính cho các hoạt động thanh toán hóa đơn, thực hiện các giao dịch trực tuyến lừa đảo và chuyển tiền ra khỏi các tài khoản ngân hàng. Bọn tội phạm chuyên dụng hơn thậm chí có thể sử dụng thẻ tín dụng giả mạo.
Thông tin y tế
Thông tin y tế liên quan đến dữ liệu được sử dụng cho các dịch vụ y tế của một cá nhân bao gồm hồ sơ bệnh viện, bảo hiểm y tế và các thông tin liên quan khác.
Thông tin này cũng quan trọng tương tự như PII vì chứa một số lượng lớn thông tin nhận dạng người dùng và còn được sử dụng để mua thuốc theo toa mà không thể mua qua quầy.

Thông tin giáo dục
Thông tin giáo dục đề cập đến dữ liệu của một cá nhân dựa trên hồ sơ giáo dục bao gồm bảng điểm học bạ và hồ sơ trường học.
Mặc dù thông tin giáo dục không mang lại kết quả tức thì theo cùng một cách thức mà thông tin tài chính có thể cung cấp nhưng người dùng có thể bị tống tiền từ đây.
Kẻ tấn công có thể sử dụng thông tin giáo dục để làm người dùng sợ hoặc lừa người dùng thực hiện theo những yêu cầu của chúng.
Tương tự, tội phạm mạng cũng có thể sử dụng thông tin này để thực hiện các cuộc tấn công lừa đảo bằng cách giả vờ là sinh viên hoặc cán bộ của một cơ sở giáo dục.

Thông tin ngân hàng
Thông tin ngân hàng liên quan đến dữ liệu tìm thấy trong thẻ thanh toán của cá nhân, bao gồm dữ liệu thẻ tín dụng và thẻ ghi nợ cũng như các thông tin liên quan khác.
Dữ liệu này tương tự như thông tin tài chính ở chỗ có thể ảnh hưởng đến tài chính của người dùng.
Tuy nhiên, thông tin này thậm chí có thể nguy hiểm hơn vì chúng có thể được sử dụng để mua hàng trực tiếp và giao dịch trực tuyến dựa trên thông tin có trong thẻ.
Thông tin tài chính và ngân hàng thường có mối liên hệ với nhau.

Thông tin trực tuyến
Thông tin trực tuyến đề cập đến dữ liệu được sử dụng trên mạng bao gồm tên người dùng và mật khẩu email cũng như thông tin đăng nhập mua sắm trực tuyến.
Việc đánh cắp thông tin trực tuyến có thể nguy hiểm hơn PII vì nó là cơ sở làm lộ các tài khoản trực tuyến của nạn nhân trước các nguy cơ độc hại tiềm ẩn.
Email thường được sử dụng để xác minh thông tin đăng nhập và lưu trữ thông tin. Nếu tài khoản email bị xâm nhập thì có thể dẫn đến trường hợp gian lận và đánh cắp thông tin cá nhân, gây ra các cuộc tấn công spam và lừa đảo, kích hoạt các cuộc tấn công gián điệp hoặc đánh cắp quyền sở hữu trí tuệ từ các tổ chức mà người dùng là một phần của các tổ chức đó.
Hãng bảo mật Trend Micro có bằng chứng và cho rằng tất cả các loại thông tin phía trên có mối quan hệ với nhau. Nếu một loại dữ liệu, chẳng hạn như thông tin y tế bị đánh cắp, các thông tin khác cũng sẽ bị tổn hại.
Ví dụ, một tội phạm mạng đánh cắp thông tin email của người dùng. Thật không may cho nạn nhân, email này cũng chứa hóa đơn thanh toán cho thẻ tín dụng, cho phép truy cập vào thông tin ngân hàng và tội phạm mạng sẽ truy vấn được các khoản vay của người dùng.
Email này cũng chứa tài khoản Facebook, cũng sử dụng mật khẩu giống như email và tội phạm mạng sẽ có quyền truy cập vào một loạt thông tin từ Facebook đủ để thực hiện nhiều loại gian lận danh tính.

Có thể làm gì để giảm thiểu nạn đánh cắp thông tin cá nhân?
Do tính chất phổ biến của hành vi đánh cắp thông tin cá nhân, người dùng và các tổ chức phải cẩn thận với tất cả thông tin cho dù đó là của cá nhân hay thành viên của tổ chức.
Đây là một số cách để giảm nhẹ hoặc ngăn chặn vấn nạn này: Thực hiện các chế độ bảo mật mạnh mẽ hơn trên thiết bị; Tránh bấm vào các đường link, chương trình và ứng dụng đáng ngờ; Giới hạn thông tin cá nhân chia sẻ trên mạng.

Theo: ICTNEWS

13/07/2017

[Nghiêm trọng] LDAP & RDP Relay trong Windows NTLM Security Protocol (CVE-2017-8563)


Mô tả lỗ hổng:
Hai lỗ hổng bảo mật nghiêm trọng tồn tại trong giao thức bảo mật Microsoft NT LAN Manager (NTLM) của Windows, NTLM là giao thức cũ trên hệ điều hành Windows mặc dù Microsoft đã ban hành Kerberos để thay thế từ phiên bản Windows 2000 tuy nhiên NTLM vẫn được hỗ trợ trong các phiên bản Windows mới sau này. Các chuyên gia bảo mật của Preempt đã phát hiện 2 lỗ hổng zero-day nguy hiểm trên giao thức này cho phép kẻ tấn công có thể tạo một tài khoản domain admin mới và chiếm quyền máy chủ thông qua tài khoản mới này.

Lỗ hổng thứ nhất với tên gọi “LDAP Relay” có mã định danh là: CVE-2017-8563
Trong máy chủ Active Directory dịch vụ LDAP được thiết lập chính sách “Domain Controller: LDAP server signing requirements” là “Require Signing” trong Group Policy Object (GPO) của máy chủ. Việc thiết lập chính sách như trên cho phép LDAP được bảo vệ trước các tấn công Man-in-the-Middle (MitM) tuy nhiên lại không an toàn trước tấn công chuyển tiếp credential. Điều này cho phép kẻ tấn công lợi dụng các phiên NTLM đến để thực hiện việc cập nhật LDAP domain objects (users, groups, endpoints …) trên phiên NTLM. Khi thác điểm yếu này mỗi kết nối mạng (SMB, WMI, SQL, HTTP) đến máy tính bị ảnh hưởng bởi điểm yếu với tài khoản admin domain cho phép kẻ tấn công tạo một tài khoản admin domain mới.

Lỗ hổng thứ hai với tên gọi “RDP Relay”
Lỗ hổng tồn tại khi thực hiện remote đến máy tính windows qua chế độ “Restricted Admin”.
#mstsc /restrictedAdmin
“Restricted Admin” cho phép quản trị viên remote đến máy chủ mà không cần gửi mật khẩu giống như Kerberosed RDP. Các chuyên gia bảo mật của Preempt phát hiện việc remote qua “Restricted Admin” có thể chuyển xuống xác thực NTLM, điều này cho phép kẻ tấn công thực hiện các tấn công như chuyển tiếp credential...
Vì việc remote đến các máy chủ qua chế độ “Restricted Admin” thường sử dụng tài khoản quản trị kết hợp với lỗ hổng LDAP Relay được trình bày phía trên mỗi phiên quản trị viên remote đến máy chủ qua chế độ “Restricted Admin” cho phép kẻ tấn công tạo một tài khoản admin domain.

Khuyến nghị khắc phục: 
   - Cần rà soát lại hệ thống máy chủ để lên dánh sách các ứng dụng bị ảnh hưởng bởi điểm yếu này.
   - Thực hiện cập nhật bản vá mới nhất từ Microsoft để vá cho các máy chủ của cơ quan tại địa chỉ sau: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8563

Theo: THN

Hơn 14 triệu khách hàng của Verizon bị lộ dữ liệu trên máy chủ AWS không được bảo vệ.

Verizon là tâp đoàn viễn thông đa quốc gia của Mỹ và là nhà cung cấp dịch vụ truyền thông vô tuyến lớn nhất của Mỹ kể từ 2014, đồng thời là thành viên của Dow Jones Industrial Average.

Chris Vickery, giám đốc nghiên cứ về rủi ro của công ty bảo mật UpGuard đã tìm thấy một cơ sở dữ liệu không được bảo vệ trên Amazon S3. Cơ sở dữ liệu này và nhiêu terabyte có thể truy cập đơn giản bằng cách nhập URL của S3.

Theo UpGuard: Subdomain của repsitory "verizon-sftp" là một dấu hiệu để nhận ra xuất xứ của các file. Trong repository này có 6 thư mục có tiêu đề từ Jan-2017 đến June-2017, có một số file được định dạng .zip như VoiceSessionFiltered.zip hoặc WebMobileContainment.zip. Các file này không thể giải nén với đuôi .zip mà phải chuyển sang .gzip.

Dữ liệu trên bao gồm thông tin của hàng triệu khách hàng, bao gồm tên, số điện thoại và mã PIN tài khoản. Dữ liệu này được đặt trên AWS S3 mà không có bất kỳ một loại xác thực truy cập nào.
Các nhà nghiên cứ đã gửi report cho Verizon vào cuối tháng sáu vừa qua, và cơ sở dữ liệu đã được bảo vệ trong vòng một tuần
Dịch ThaoPT - theo LTHN

12/07/2017

Công cụ của CIA được dùng để đánh cắp thông tin đăng nhập qua SSH

WikiLeaks vừa công bố các tài liệu chi tiết về BothanSpy và Gyrfalcon, các công cụ bị cáo buộc được sử dụng bởi Cơ quan tình báo trung ương Mỹ (CIA) để đánh cắp các thông tin đăng nhập qua giao thức SSH trên Windows và Linux.

BothanSpy là công cụ đánh cắp thông tin đăng nhập cho các phiên SSH hoạt động từ Xshell, SSH, telnet và giả lập terminal đăng nhập từ xa trên Windows.
Sử dụng cách thức “Fire and Collect”, BothanSpy thu thập thông tin đăng nhập SSH và gửi về server của kẻ tấn công mà không cần ghi dữ liệu lên ổ đĩa của máy bị xâm nhập. Còn nếu sử dụng “Fire and Forget”, thông tin đăng nhập bị đánh cắp được ghi lên file trên ổ đĩa.
Một công cụ khác, Gyrfalcon 2.0 dùng để đánh cắp thông tin đăng nhập SSH từ OpenSSH client trên nền tảng Linux.
Gyrfalcon là thư viện được tải vào không gian địa chỉ theo tiến trình OpenSSH client, dùng để thu thập lưu lượng phiên OpenSSH, bao gồm tên đăng nhập, mật khẩu, nén và mã hóa dữ liệu, sau đó lưu trong file. Ứng dụng của bên thứ ba được yêu cầu phải trích xuất file.
Tài liệu về Gyrfalcon 2.0 khuyến cáo người dùng phải có nhận thức toàn diện về giao diện dòng lệnh Linux/UNIX và các quy trình chuẩn khi che giấu hoạt động của mình trong những shell nhất định.
Trước đó WikiLeaks cũng đã công bố một số công cụ bị cáo buộc được sử dụng bởi CIA bao gồm: OutlawCountry – chuyển hướng lưu lượng truy cập trên Linux, Pandemic – phán tán malware trong mạng của một tổ chức, Elsa - định vị người dùng thông qua thiết bị Wi-Fi, Cherry Blosroom – hack các router và điểm truy cập và Brutal Kangaroo – truy cập mạng lưới air-gap.
Mối liên hệ giữa các công cụ do WikiLeaks tiết lộ đã được tìm thấy và malware được sử đụng bằng tên của tổ chức gián điệp mạng “Longhorn” và “The Lamberts”
Dịch WH - Theo SecurityWeek​

11/07/2017

Mã độc CopyCat lây nhiễm trên 14 triệu thiết bị Android

Mã độc CopyCat được phát hiện lây nhiễm hơn 14 triệu thiết bị Android trên khắp thế giới; kiếm hơn 1.5 tỉ đô la cho tin tặc từ những quảng cáo độc hại chỉ trong vòng hai tháng.

Mã độc CopyCat có khả năng root thiết bị ẩn náu bí mật và lây nhiễm mã độc vào Zygote – thành phần chịu trách nhiệm khởi động ứng dụng trên Android, cung cấp cho tin tặc toàn quyền truy cập vào thiết bị.

Theo nghiên cứu của công ty bảo mật Check Point, CopyCat đã lây nhiễm trên 14 triệu thiết bị, root gần 8 triệu thiết bị; đưa quản cáo độc hại vào 3.8 triệu thiết bị và sử dụng mã độc để đánh cắp thông tin thẻ tín dụng trong 4.4 triệu thiết bị. Phần lớn nạn nhân bị nhiễm mã độc tại Nam và Đông Nam Á với Ấn Độ là quốc gia bị ảnh hưởng nhiều nhất. Hơn 280.000 thiết bị Android tại Mỹ cũng được phát hiện chứa mã độc.

Hiện chưa có bằng chứng cho thấy CopyCat được phát tán qua Google Play nên các nhà nghiên cứu tin rằng người dùng bị nhiễm mã độc thông qua việc cài đặt ứng dụng bên thứ ba và thông qua tấn công lừa đảo. CopyCat sử dụng một vài khai thác bao gồm CVE-2013-6282 (VROOT), CVE-2015-3636 (PingPongRoot), và CVE-2014-3153 (Towelroot) nhằm tấn công thiết bị Android 5.0 và các phiên bản thấp hơn.

Việc hàng loạt thiết bị bị lây nhiễm cho thấy hàng triệu người dùng Android đang sử dụng thiết bị cũ, không được cập nhật và không được hỗ trợ. Các nhà nghiên cứu nghi ngờ một công ty quảng cáo Trung Quốc MobiSummer đứng đằng sau vụ việc phát tán mã độc. Một vài liên hệ như:


  • CopyCat và MobiSummer được triển khai từ cùng một máy chủ.
  • Một vài đoạn code của CopyCat được kí số bởi MobiSummer.
  • CopyCat và MobiSummer sử dụng chung một dịch vụ.
  • CopyCat không tấn công người dùng Trung Quốc mà chỉ tấn công người dùng ở các quốc gia châu Á khác.

Người dùng Android được khuyến cáo chỉ sử dụng ứng dụng từ Google Play Store chính thức; không tải ứng dụng từ những nguồn đáng ngờ.


Dịch SecurityDaily - Theo THN

07/07/2017

Sàn giao dịch tiền ảo Bitcoin, Ether lớn nhất thế giới bị hack

Bithumb sàn giao dịch đồng tiền tiền ảo Bitcoin và Ether lớn nhất của Hàn Quốc chiếm 20% số lượng người giao dịch trên toàn cầu đã bị hack. Hơn 1 triệu đô la giá trị tiền ảo đã bị tin tặc đánh cắp sau khi xâm nhập vào tài khoản của người dùng.

Bithumb là một trong năm thị trường giao dịch Bitcoin lớn nhất thế giới với khối lượng giao dịch hàng ngày trên 13.000 Bitcoin, tương đương 10% việc mua bán Bitcoin trên toàn cầu. Bên cạnh đó, đây cũng là sàn giao dịch đồng tiền kĩ thuật số Ethereum lớn nhất thế giới.

Vào tuần trước, tin tặc tấn công vào hệ thống khiến hàng loạt tài khoản bị xâm nhập. Theo một cuộc khảo sát cho thấy ước tính hàng trăm triệu Won đã bị rút khỏi tài khoản của hàng trăm nhà đầu tư. Ngoài đồng tiền kĩ thuật số, tin tặc cũng đã lấy được thông tin cá nhân của 31.800 thành viên website Bithumb bao gồm tên, địa chỉ email và số điện thoại.

Bithumb tin rằng một trong số  máy tính cá nhân của nhân viên đã bị xâm nhập nhằm thực hiện tấn công; chỉ một phần của hệ thống bị ảnh hưởng và mật khẩu của người dùng không bị rò rỉ ra ngoài. Hơn 100 khách hàng của Bithumb đã báo cáo đến cơ quan Cơ quan Cảnh sát Quốc gia và cơ quan chức năng Hàn Quốc đang tiến hành điều tra về vụ việc.


Dịch Securitydaily - Theo THN

Chuyên gia bảo mật phát hiện lỗ hổng cực nguy hiểm trên Google Chrome


Theo thông tin chúng tôi mới nhận được, mặc dù đã liên tục ra mắt các bản cập nhật trong thời gian gần đây, trình duyệt Google Chrome vẫn tồn tại lỗ hổng 0-day rất nguy hiểm.

Cụ thể, nhà nghiên cứu bảo mật độc lập với nickname Lupus đã đăng tải một video chứng tỏ lỗ hổng này, kèm theo vài thông tin cơ bản. Trong video, máy tính bị nhiễm dễ dàng bị thâm nhập chỉ vài giây sau khi nhấn vào đường dẫn chứa mã độc khai thác lỗ hổng này.


Chúng tôi đã chủ động liên lạc với Lupus để có thêm thông tin về lỗ hổng này, và anh đã cho biết thêm một số thông tin, bên cạnh những thông tin cơ bản ban đầu. Các thông số kỹ thuật về lỗ hổng này được Lupus cung cấp như sau:
1. Hệ điều hành có thể bị lây nhiễm: Windows 7, Windows 8.1, Windows 10 (tất cả các phiên bản cả x86 và x64 tính đến hiện tại)
2. Phiên bản Google Chrome có lỗ hổng: các phiên bản kể cả 32-bit và 64-bit. Lupus đã thử nghiệm từ bản 50.0.2661 cho đến bản mới nhất 59.0.3071.86
3. Phương thức lây nhiễm: thông qua 1 trang web (có mã độc)
4. Dạng lỗi: lạm dụng bộ nhớ
5. Dạng lỗ hổng: RCE (thực thi mã lệnh từ xa), thoát khỏi sandbox (vượt quyền)
Hiện tại, phía Google vẫn chưa có thông tin gì nên cũng chưa hề cập nhật bản vá cho lỗ hổng này. Lupus thì không cho chúng ta biết thêm thông tin gì, mà cho biết anh sẽ cung cấp toàn bộ thông tin lỗ hổng cho 1 cá nhân/tổ chức duy nhất chịu trả mức giá 80.000 USD.
Trước đây, cũng chính Lupus đã từng tìm ra lỗ hổng trong một phiên bản khác của Google Chrome. Chúng ta hãy cùng chờ những động thái từ phía Google, để chờ xem liệu họ có bỏ 80.000 USD ra để mua lại thông tin từ Lupus hay không. Nếu không, khi lỗ hổng này rơi vào tay kẻ có mục đích xấu, nạn nhân sẽ rất dễ dàng bị lây nhiễm, bởi cách thức lây nhiễm vô cùng nhanh chóng và đơn giản.
Theo: GK

06/07/2017

[Video] Cảnh sát Ukaina đột kích công ty phần mềm có server liên kết với NotPetya Cyberattack


Cảnh sát Ukraina đã đăng tải một video về cuộc đột kích vào trụ sở của công ty phát triển phần mềm kế toán M.E.Doc. Hệ thống của họ có liên quan đến sự bùng nổ của Petya (NotPetya) - một ransomware mà gần đây đã lây nhiễm tới nhiều máy tính của các công ty lớn trên thế giới.

Ngày 4 tháng 7, các cảnh sát được trang bị mặt nạ và vũ khí đã đột kích vào công ty phát triển phần mềm có trụ sở đăt tại thủ đô Kyiv của Ukraina và phong tỏa hệ thống server của họ. Đây là nơi mà các hacker đã dùng để phát tán ramsomware (ExPetr, PetrWrap, Petya, NotPetya).

Các nhà nghiên cứu tư ESET đã phát hiện ra mã độc bí mật trong bản cập nhật phần mềm M.E.Doc đã bị các hacker đưa vào từ tháng 4 bằng cách khai thác lỗ hổng.

Việc upgrade phần mềm với mã độc được thiết kế để cài đặt backdoor, cho phép hacker truy cập trái phép và hệ thống máy tính và lây lan tới hơn 1 triệu máy tính thuộc các công ty khách hàng.

Dịch ThaoPT - Theo THN