Case Tietoja varastava haittaohjelma



Samankaltaiset tiedostot
Hosting-palveluiden tietoturvahaasteet. Antti Kiuru CERT-FI

Kuukauden kuvat kerhon galleriaan lähtien kuukaudenkuvaajan kuvagalleria on siirretty uudelle palvelimelle osoitteeseen:

Hyrrä UKK Tomi Tiikkainen

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

AutoFutur / KoneFutur verkkojärjestelmän päivitysohje

Visma Fivaldi. Ohjeet Java web startin ja HTML5-työkalun aktivointiin

jos haluatte säilyttää ja jatkaa vanhan OneNote-muistion sisällön kanssa.

Topfield USB-laiteajurin ja päivitystyökalun asennus

RATKI 1.0 Käyttäjän ohje

MIKKELI atk-luokka, I krs, Otto Mannisenkatu 10

Yleinen ohje LAITEYMPÄRISTÖ

Käyttötilastot - toukokuussa 2007

Liittyminen Sovelton Online-tapahtumaan Microsoft Lync Web App -selainlaajennuksella (Windows, MAC ja ipad)

Tietokoneiden ja mobiililaitteiden tietoturva

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

Käyttötilastot - maaliskuussa 2007

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

Käyttötilastot - lokakuussa 2008

Julkinen. Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje

Käyttötilastot - toukokuussa 2008

F-Secure Mobile Security. Android

Googlen palvelut synkronoinnin apuna. Kampin palvelukeskus Jukka Hanhinen, Urho Karjalainen, Rene Tigerstedt, Pirjo Salo

Kieku-tietojärjestelmä Työasemavaatimukset

Tuplaturvan tilaus ja asennusohje

Sähköisten materiaalien käyttö tableteilla

Pienyrityksen verkkotyökalut

Valtion yhteisen viestintäratkaisun (Vyvi) Työtila- ja Ryhmä-palvelun kirjautumisohje

Objective Marking. Taitaja 2014 Lahti. Skill Number 205 Skill Tietokoneet ja verkot Competition Day 1. Competitor Name

Visma Econet -ohjelmat ActiveX on epävakaa -virheilmoituksen korjausohjeet

TIETOTURVAKATSAUS 3/2009

Finnan ja kirjaston palveluiden ohjeita

Netikka verkkotila - käyttöohje

Aditro Tikon ostolaskujen käsittely versio SP1

Kohdistettujen hyökkäysten torjunta lisää tervettä järkeä!

Tietokoneiden ja mobiililaitteiden suojaus

POP-UP -IKKUNOIDEN SALLIMINEN

QR-koodit INNOSTAVAA HAUSKAA PALJON KÄYTTÖTAPJA HELPPOA ILMAISTA MOTIVOIVAA

T Hypermediadokumentin laatiminen. Sisältö. Tavoitteet. Mitä on www-ohjelmointi? Arkkitehtuuri (yleisesti) Interaktiivisuuden keinot

PÄIVITÄ TIETOKONEESI

Finnan ja kirjaston palveluiden ohjeita

Kirjautuminen Espoon kaupungin Kansalaisen terveyspalveluun

NÄIN KÄYTÄT SIGNWIKIÄ

(Acerin) Windows 8 tabletti henkilöstön työkäytössä Koonnut Hanna Frilander, Mobiilit ohjaajat hanke

Näin järjestän ohjelmointikurssin, vaikka en ole koskaan ohjelmoinut

Tietoturvaloukkausten hallinta

Opas e- aineistojen lainaamiseen

RATKI 1.0 Talousraportin käyttäjän ohje

Internet Explorer 7 & 8 pop-up asetukset

Pika-aloitusopas. Haku Voit etsiä sivustoja, henkilöitä tai tiedostoja. Sivuston tai uutisviestin luominen

Topfieldin sarjaporttipäivitystyökalun asennus(rs232)

RAY MOBIILIASIAKASKORTTI

VISMA ECONET PRO ASP SOVELLUSVUOKRAUS. Page 1

Tietotekniikkakeskuksen palvelut ja opiskelijan tietoturva

Julkinen. Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje

Pikaohjeet videovastaanottoa varten

Ryhmäharjoitus I: Google Drive. TIEY4 Tietotekniikkataidot, kevät 2017 Tehdään ryhmäharjoitustunnilla 13.3.

Tietoturvailmiöt 2014

RAY MOBIILIASIAKASKORTTI

Tiedostojen siirto ja FTP - 1

Tietotekniikkakeskuksen palvelut ja opiskelijan tietoturva

AutoFutur / KoneFutur verkkoversion palvelimen vaihtaminen. Ennen asennusta ja sen aikana huomioitavat asiat

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

TIETOTURVA. Miten suojaudun haittaohjelmilta

Device Storage Managerin ohjekirja

Omahallinta.fi itsepalvelusivusto

Ohjelmistopäivitykset Käyttöopas

Ohje kehitysympäristöstä. Dokumentti: Ohje kehitysympäristöstä.doc Päiväys: Projekti : AgileElephant

ICT-info opiskelijoille

1 www-sivujen teko opetuksessa

Aditro Tikon ostolaskujen käsittely versio 6.2.0

Teknillinen korkeakoulu T Tietojenkäsittelyopin ohjelmatyö. Testausraportti Smartmeeting opponointi

ICT-info opiskelijoille. Syksy 2017

SÄHKÖPOSTIOHJE. Opiskelijoiden Office 365 for Education -palveluun

Lumon tuotekirjaston asennusohje. Asennus- ja rekisteröintiohje

Ennen varmenteen asennusta varmista seuraavat asiat:

AinaCom Skype for Business. Asennusohje

Office 2013 ohjelman asennus omalle työasemalle/laitteelle Esa Väistö

Luku 1: Aloittaminen...3

Lync-järjestelmän käyttö etäpalvelussa Työasemavaatimukset ja selainohjelman asennus Valtiovarainministeriö

AVOIMEN MENETTELYN KILPAILUTUS

MALWAREBYTES ANTI-MALWARE

Student Engeering & Design Community

VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

CEREMP-järjestelmän käyttöönotto

Raporttiarkiston (RATKI) käyttöohjeet Ohjeet

Sähköiset sisällöt yleisiin kirjastoihin - hanke Turku Aija Laine aija.laine@turku.fi

Ohjelmistopäivitykset

ARVO - verkkomateriaalien arviointiin

Adobe Digital Editions -ohjeet

Tietokantasovellus (4 op) - Web-sovellukset ja niiden toteutus

Javan asennus ja ohjeita ongelmatilanteisiin

1 Asentaminen 12/

IT-ohjeita. (Diakonia-ammattikorkeakoulu oy, )

HTML5 -elementit jatkuu

Sonera Yrityssähköposti. Outlook 2013 lataus ja asennus

VirtuaaliKYLÄ. Työtur vallisuusanaly ysi.»

Oma verkkokäyttäytyminen myös vaikuttaa olennaisesti tietoturvaan

Office 365 palvelut. Siis: (koskee sekä opettajia että oppilaita)

OHJE Jos Kelaimeen kirjautuminen ei onnistu Mac-koneella Sisällys

Transkriptio:

Case Tietoja varastava haittaohjelma CIP-seminaari, 29.10.2012 Thomas Grenman / Tietoturva-asiantuntija

HAVARO-sormenjälki ET TROJAN - Known Trojan Downloader HTTP Library MSIE 5 Win98 seen with ZeuS» HAVARO oli tunnistanut HTTP-liikennettä, joka otsakkeiden mukaan oli peräisin Windows 98:ssa olevasta IE 5:sta asiakkaan verkossa ei ollut Windows 98 -koneita eikä heillä ollut käytössä IE 5:sta HTTP-liikenteen välityksellä noin neljä kilotavua oli siirtynyt Ukrainassa olevalle palvelimelle siirtynyt tieto oli salattua Case / Tietoja varastava haittaohjelma 2012-10-29 2

Saastunut työasema asiakas paikallisti työaseman nopeasti, se kytkettiin irti verkosta ja tutkittiin seuraavissa tiedostoissa oli sopivat aikaleimat» %TEMP% / googleupdate.dll» %TEMP% / ctfmon.exe» %TEMP% / jar_cache#############.tmp (2 kpl.) tilapäiskansion avaaminen aktivoi työaseman antivirustuotteen ja EXE-tiedosto joutui karanteeniin ("Trojan.Ransom") DLL-tiedosto otettiin tarkempaan analyysiin Case / Tietoja varastava haittaohjelma 2012-10-29 3

DLL-tiedosto Virustotal palautti vain sekalaisia ja/tai geneerisiä haittaohjelmien nimiä luotettavan tahon mukaan DLL-tiedosto oli pelkkä "downloader" oletus olikin tässä vaiheessa, että DLL-tiedosto oli ladannut tilapäiskansiossa olleen EXEtiedoston päätettiin aluksi tutkia miten DLL-tiedosto oli päätynyt koneelle Case / Tietoja varastava haittaohjelma 2012-10-29 4

Saastumisketju verkkoliikenteestä kävi ilmi, että työaseman kautta oltiin vierailtu suomalaisella blogisivustolla vierailun yhteydessä työasemalle oli latautunut epäilyttävä JAR-tiedosto kolmannen osapuolen palvelimelta työaseman käyttäjä vahvisti käyneensä sivustolla ja lähempi tutkimus paljasti, että sivustolla oli hetkellisesti ollut haitallinen linkki tarjolla linkki sijaitsi mainoksen sisällä ja se oli ujutettu sivustolle murretun OpenX-palvelimen kautta [1] [1] http://www.cert.fi/katsaukset/2012/tietoturvakatsaus_1-2012/openx.html Case / Tietoja varastava haittaohjelma 2012-10-29 5

Hyväksikäytetty haavoittuvuus JAR-tiedostossa oli kolme sekoitettua (obfuskoitua) Java-luokkaa jotka muodostivat Java-appletin luokkien deobfuskoinnin jälkeen kävi ilmi, että neljäs luokka muodostetaan ajon yhteydessä hyväksikäyttäen Java-ajoympäristön haavoittuvuutta, tämä neljäs luokka tiputetaan levylle ja se suoritetaan hiekkalaatikon ulkopuolella Case / Tietoja varastava haittaohjelma 2012-10-29 6

Neljäs luokka neljäs luokka oli osuvasti nimetty exploit.class kyseinen luokka oli tiedostoja lataava ohjelma ohjelma osasi käyttää hyväkseen työasemassa määriteltyjä proxy-asetuksia ohjelman lataama tiedosto tallennettiin käyttäjän tilapäiskansion ja sille annettiin harhaanjohtava nimi latauksen jälkeen tiedosto suoritettiin ohjelma osasi käsitellä ja suorittaa sekä DLLettä EXE-tiedostoja Case / Tietoja varastava haittaohjelma 2012-10-29 7

Neljäs luokka Case / Tietoja varastava haittaohjelma 2012-10-29 8

Neljäs luokka Case / Tietoja varastava haittaohjelma 2012-10-29 9

DLL-tiedoston analyysi DLL-tiedoston suorittaminen suljetussa ympäristössä vahvisti HAVARO-sormenjäljen DLL-tiedoston suojausmekanismit purettiin auki haittaohjelma-analyysi paljasti seuraavat vihjeet» haittaohjelman verkkoliikenne oli RC4-salattua» RC4-salausavaimen alustukseen käytetty merkkijono paljastui» salauskerroksen alla oleva tieto oli pakattu käyttäen hyväksi avoimen lähdekoodin kirjastoa vihjeiden avulla voitiin luoda pieni apuohjelma jonka avulla verkkoliikenne saatiin purettua Case / Tietoja varastava haittaohjelma 2012-10-29 10

Mitä varastettiin, mitä opittiin tietoja varasta haittaohjelma (Pony/Fareit) oli pienikokoinen, nopea ja hiljainen haittaohjelma varasti yhteensä 85 tunnusta» 19 kpl. operatiivisiin järjestelmiin sopivia tunnuksia» 66 kpl. muita tunnuksia (Facebook, Gmail, Spotify...) tarinan opetukset» käyttöjärjestelmän lisäksi, selain ja selainlaajennukset (kuten Java) on oltava viimeisintä versiota» käyttäjätunnusten ja tunnussanojen tallentaminen selaimiin ja muihin ohjelmiin sisältää riskejä» tilapäiskansiot kannattaa aika ajoin virustarkistaa Case / Tietoja varastava haittaohjelma 2012-10-29 11

www.cert.fi www.viestintävirasto.fi Case / Tietoja varastava haittaohjelma 2012-10-29

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute