By Halász István on
2015. 04. 09. 14:42
Preventív lépések:
Mint kiderült, pendrive-on is terjednek ezek a vírusok, így az AutoPlay-t/AutoRun-t tiltsuk le a gépeken!
How to prevent your computer from becoming infected by CryptoWall
You can use the Windows Group or Local Policy Editor to create Software Restriction Policies that block executables from running when they are located in specific paths. For more information on how to configure Software Restriction Policies, please see these articles from MS:
http://support.microsoft.com/kb/310791
http://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx
The file paths that have been used by this infection and its droppers are:
C:\\.exe
C:\Users\\AppData\Local\.exe (Vista/7/8)
C:\Users\\AppData\Local\.exe (Vista/7/8)
C:\Documents and Settings\\Application Data\.exe (XP)
C:\Documents and Settings\\Local Application Data\.exe (XP)
%Temp%
In order to block the CryptoWall you want to create Path Rules so that they are not allowed to execute. To create these Software Restriction Policies, you can either use the CryptoPreventtool or add the policies manually using the Local Security Policy Editor or the Group Policy Editor.
How to use the CryptoPrevent Tool:
FoolishIT LLC was kind enough to create a free utility called CryptoPrevent that automatically adds the suggested Software Restriction Policy Path Rules listed above to your computer. This makes it very easy for anyone using Windows XP SP 2 and above to quickly add the Software Restriction Policies to your computer in order to prevent CryptoWall and Zbot from being executed in the first place. This tool is also able to set these policies in all versions of Windows, including the Home versions.
A new feature of CryptoPrevent is the option to whitelist any existing programs in %AppData% or %LocalAppData%. This is a useful feature as it will make sure the restrictions that are put in place do not affect legitimate applications that are already installed on your computer. To use this feature make sure you check the option labeled Whitelist EXEs already located in %appdata% / %localappdata% before you press the Block button.
You can download CryptoPrevent from the following page:
http://www.foolishit.com/download/cryptoprevent/
For more information on how to use the tool, please see this page:
http://www.foolishit.com/vb6-projects/cryptoprevent/
Fertőzés után:
A titkosított fájlok kilistáztathatók ezzel a toolal:
http://www.bleepingcomputer.com/download/listcwall/
Az árnyékmásolatok (ha még nem törölte őket a vírus) kényelmesen böngészhetőek ezzel a toolal:
http://www.shadowexplorer.com/downloads.html
Ha mázlink van, olyan verzió fertőzte meg a gépet, aminek a kódját már sikerült visszafejteni. Ekkor a sok közül az egyik titkosított fájlt az erre a célra létrehozott oldalra feltöltve ki tudják kalkulálni nekünk a kititkosító kódot.
|
By Halász István on
2015. 03. 06. 20:05
Kikapcsolható egy registrybeállítással, hogy a Java telepítő felajánlja a szponzorált extra programok telepítését!
Módszer1:
(Rendszergazdai parancssorban kell kiadni.) reg add HKLM\software\javasoft /v "SPONSORS" /t REG_SZ /d "DISABLE" /f
reg add HKLM\SOFTWARE\Wow6432Node\JavaSoft /v "SPONSORS" /t REG_SZ /d "DISABLE" /f
Módszer2:
Open the following keys into the Windows Registry Editor (regedit.exe):
HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoftHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft (available only on Windows 64-bit)
and create in both of them a new String Value (type REG_SZ) named SPONSORS of value DISABLE (both name and value must be uppercase).
Módszer3:
Alternatively, copy and paste the following code into a text file called disable_java_sponsors.reg and double click on it to import these values in your Registry. Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft]
"SPONSORS"="DISABLE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft]
"SPONSORS"="DISABLE"
Megjegyzés:
Please note that this switch not only disables the Ask.com toolbar installation and prompt, but disables all of the sponsors potentially bundled with the Auto-update setup/Online setup (Google toolbar, Yahoo toolbar, McAfee something, etc...)
|
By Molnár Péter on
2014. 05. 26. 12:48
Trükkös DNS támadásban vett részt az egyik ügyfelünk gépe. A lényeg, hogy hamisított DNS kéréseket kapott, amire válaszolt a megtámadott gépnek, amit így eltömített válaszokkal a többi pár száz géppel együtt, akik szintén részt vettek a támadásban.
Mi történt?
- Windows alapú szerver volt publikus IP-val
- AD szolgáltatás (és ennek megfelelően DNS) futott rajta
- A tűzfalon nyitva volt a DNS server port (Valószínűleg az AD wizzard nyitotta ki, ami LAN környezetben teljesen normális)
A legtöbb AD/DNS szerver nyilván nem érintett, mivel LAN-on vannak (router mögött), ahol általában nincs beforgatva a 53-as port.
Figeljünk erre:
- Van-e olyan szerver ami publikus IP címmel rendelkezik? Ha igen, nézzétek át mik vannak engedélyezve a tűzfalán és csak az legyen, ami tényleg szükséges.
- Van-e olyan router, ahol nem csak portforward, hanem teljes szerver publikálás (vagy DMZ) van beállítva. (Ezt lustaság és a portforward hiánya/primitívsége okozhatja)
A második verzió simán előfordulhat.
A nyitott DNS-t így ellenőrizhetjük egy külső cmd –ből:
nslookup
server publikusIP
index.hu
Ha timeout-ot kapunk, akkor nincs nyitva. Ha válaszol, akkor probléma van, tiltsuk le. (Kivéve pl. az MHWEB-et ami publikus DNS szerver, tehát az a feladata, hogy az authoritív zonák tekintetében válaszoljon. +őt a TMG védi azzal, hogy észreveszi, ha túl sok kérés jön egy gépről és letiltja)
|
By Molnár Péter on
2014. 01. 15. 12:30
PFX > PEM
openssl.exe pkcs12 -in forrás.pfx -nocerts -out PrivateK
ey.pem -nodes
openssl.exe pkcs12 -in forrás.pfx -clcerts -nokeys -out PublicCert.pem
Felhasználás: Windowsban kiállított certificate Linux, vagy hmail formátumra konvertálás
openssl pkcs12 -export -out cél.pfx -inkey PrivateKey.pem -in PublicCert.pem
Felhasználás: Linux tanúsítvány TMG-re mozgatása
DER (.crt .cer .der) > PEM
openssl x509 -inform der -in PublicCert.cer -out PublicCert.pem
PEM file to DER (.crt .cer .der)
openssl x509 -outform der -in PublicCert.pem -out PublicCert.cer
|
By Molnár Péter on
2012. 02. 24. 12:06
A tanúsítványok olyan állományok amik egy asszimetrikus kódolású kulcspár publikus, privát, vagy mindkét párját tartalmazzák. Számos paraméter jellemzi őket. A legfontosabbak:
- Kibocsájtó (Ki a kiállító szervezet/melyik szerver állította ki)
- Érvényesség: Mettől meddig használható a tanúsítvány
- Nevek (Subject, SAN, Issied to) azok a cimkék, amik azonosítják a felhasználó helyet. (Pl. web szerver esetében az URL)
- Visszavonási lista helye: (Itt ellenőrizhető visszavonták-e esetleg a tanúsítványt a kiállítás óta)
- Felhasználás módja: Milyen célokra használható: pl. webserver, e-mail aláírás stb.
- Milyen algoritmusokat használtak az előállításához
A hiteleségét és megbízhatóságát zek alapján dönti el a kliens a felhasználáskor. Windows alatt 2 féle képpen láthatjuk:
A programban (pl. böngészőben az URL melletti lakat) megnézhetjük a használt tanúsítványt, vagy a "Certificates" MMC SnapIn segítségével vizsgálhatjuk.
|
By Halász István on
2008. 03. 29. 0:46
Gondoltam megosztom veletek e tanulságos történetet, mely ismerősömmel esett meg:
"Egy ismerosom adta ide a laptopjat, hogy nem igazan mukodik mar jol,
meg kene nezni. Elegge tele volt szemettel, a kovetkezo dolgokat
tettem vele:
1. Masik gepben virusok utan kereses
2. Viruskergeto, spyware kereso telepitese (nod32, spybot)
3. Kerio tuzfal telepitese - es ennel a resznel jott elo par erdekesseg.
Az ntfs fajlrendszerben van lehetoseg ugy eltarolni informaciokat,
hogy azt az atlag felhasznalo ne lassa. Ezt ADS-nek hivjak (Alternate
Data Stream). Legegyszerubben ugy lehet megmutatni, hogy a futtatasba
beirjuk, hogy notepad c:\fedofile.txt:tartalom A notepadba irhatunk
barmit. Mentsuk el, majd nezzuk meg a filet. Lathato, hogy 0 byte
hosszu. belenezve ures. Az elozo tartalmat visszakpjuk, ha ujra
futtatjuk az elozo parancsot.
Nos tehat a kis kitero utan. A kerio eszrevett, egy a kellemetlen
alkalmazasok altal hasznalt technikat (code injection), amelyet az
svchot.exe:exe.exe illetve az svchost.exe:ext.exe alkalamzas
probalkozott. Amig nem tettem fel a kerio-t addig nem jottem ra,
honnan jon vissza a mocsok mindig, illetve milyen alkalmazas
kommunikal kifele folyamatosan (netstat -an).
Az ilyenmodon eldugott adatokat egyszeruen lehet latni, csak
telepiteni kell az strmext.dll-t. Ezt a microsoft oldalarol lehet
letolteni, ntfsext.exe-t kell keresni. Amit kicsomagol, az
alkonyvtarban van benne a dll. Regisztralni a regsvr32 strmext.dll
parancsal lehet.
A kiegeszites lenyege, hogy az explorerbol lathatova valnak a
stream-ek, illetve torolhetjuk is azokat (a fajlon jobb klikk,
tulajdonsagok, streams ful). Miutan innen toroltem a rejtett fajlokat,
illetve a registry-bol is kitoroltem oket, ujrainditas utan megszunt a
problema."
|