Poniższa analiza stanowi fragment większego artykułu poświęconego atakowi na Sony Pictures Entertainment z 2014 roku – jednej z najgłośniejszych kampanii cybernetycznych ostatniej dekady, przypisywanej północnokoreańskiej grupie Lazarus.

W tym materiale skupiam się na statycznej analizie robaka Brambul, jednego z narzędzi użytych przez atakujących do stworzenia komputerów-pośredników (ang. hop-point computers). Celem jest lepsze zrozumienie sposobu działania tego złośliwego oprogramowania oraz roli, jaką odegrało w szerszym kontekście operacji.

Próbkę pliku pobrałem z VirusTotal. Dokonajmy wspólnie analizy statycznej Brambula!

Zostałeś zaproszony na rozmowę rekrutacyjną do firmy zajmującej się cyberbezpieczeństwem na stanowisko, o które długo zabiegałeś. Dostajesz pytanie o Twoją znajomość oprogramowania hakerskiego. Co by Ci przyszło do głowy? Pewnie wymieniłbyś metasploit, nmap, netcat… ale czy wśród nich wymieniłbyś też… Google? Założę się, że nie! A to właśnie wyszukiwarki są najczęściej używaną i najpotężniejszą bronią w arsenale hakerów. W tym artykule opiszę Google Dorks – zaawansowane zapytania Google’a, dzięki którym znajdziesz zawsze to, czego szukasz. Czym są dorki? Dorki to wyspecjalizowane zapytania wykorzystywane w Google Search. Dzięki nim możemy znaleźć m.in. publicznie dostępne kamerki internetowe, strony logowania, dokumenty zawierające hasła […]

SSL Stripping jest to rodzaj cyberataku polegającego na zredukowaniu bezpiecznego połączenia HTTPS do nieszyfrowanego HTTP. W efekcie, napastnik może odczytać całą komunikację sieciową, wraz z wrażliwymi danymi, takimi jak hasła, prywatne wiadomości, czy dane osobowe. Atak ten przygotowuje grunt pod inne ataki, takie jak np. man-in-the-middle. Zasada działania Wyobraźmy sobie, że klikamy na nieznaną nam wcześniej stronę na komputerze w publicznej bibliotece. To starszy sprzęt, działający na przeglądarce bez najnowszych zabezpieczeń. Komputer wysyła zapytanie HTTP, aby dopiero po krótkiej chwili nawiązać szyfrowane połączenie HTTPS. Ta krótka chwila może być kluczowa – w tym czasie napastnik może kontrolować Twoim ruchem, tak […]

Atak MiTM (ang. Man in The Middle) polega na przechwytywaniu pakietów sieciowych pomiędzy dwoma komunikującymi się hostami, w celu kradzieży czy manipulacji danymi. Adwersarz staje się wówczas pośrednikiem – „człowiekiem po środku” – w wymianie danych. Celem takiego ataku mogą stać się hasła, prywatne wiadomości, dane personalne czy inne wrażliwe informacje. W dalszej części rozważymy scenariusz ataku w sieci lokalnej z wykorzystaniem techniki ARP spoofing. Zanim przejdziemy dalej, chciałbym omówić podstawowe zagadnienia sieciowe związane z opisywanym atakiem oraz przedstawić rzeczywisty przypadek ataku, który zakończył się bankructwem wielkiej korporacji. W związku z tym nie zachęcam nikogo do wykorzystywania tych informacji w […]