Tag Archives: pahavara

Pahavara levitamine elron.ee veebilehel

Kujutis on illustreeriv.

Kujutis on illustreeriv.

Pühapäeva pealelõunast esmaspäeva õhtuni jagati Elroni peamiselt veebilehelt www.elron.ee Astrum exploitkitiga “kingitusi” (pahavara). Kes kasutas pahavara jaoks sobilikku tarkvarakomplekti lehe külastamisel, osutus kvalifitseeruvaks ja sai sealt suunamise IP-le 46.105.233.200 porti 6219. Järgnes suure tõenäosusega nakatumine. Nakatavast tegelasest endast saab lugeda SIIT.

Tavakasutaja, kes külastas sel ajavahemikul Elroni veebilehte, võiks oma arvuti turvatarkvaraga täiendavalt üle kontrollida.

Pahavara levitamiseks kasutati neid haavatavusi:

  • Adobe Flash (CVE-2014-0515, CVE-2013-0634)
  • MS Silverlight (CVE-2013-0074, CVE-2013-3896)
  • Adobe PDF (CVE-2010-0188)
  • IE <= 9 (CVE-2013-2551)
  • IE 10 & Flash >= 13.0.0.214 (CVE-2014-0322)
  • Java (CVE-2012-0507, CVE-2013-2460, CVE-2013-2465)

Tuvastussoovitus süsteemiadministraatoritele: kui Sinu võrgus on arvuti, mis pöördus IP-aadressi 46.105.233.200 porti 6219,  tee sellele tööjaamale täiendav kontroll. Antud juhul ei ole võimalik kindlalt öelda, mis pahavara täpselt arvutisse sokutatakse.

Näpunäiteid veebilehe pidajatele, kuidas  sarnast juhtumit tulevikus vältida:

  • hoia lahus veebilehe admin osa veebilehest endast
  • haldamine peab toimuma krüpteeritud kanalite kaudu
  • haldusliidele ligipääs peab olema võimalik ainult asjakohastele IPdele ning keelatud teistele
  • varunda regulaarselt andmeid!

Zeus ja Kryptos

Tarmo Randel CERT-EEst kirjutab, miks on troojalane Zeus ohtlik kaaslane ja kuidas selle pahavara puudumist Windowsi operatsioonisüsteemiga arvutis kontrollida ning levimist ennetada.

Paar nädalat tagasi käsitles kolleeg Anto juhtumit, kus euroorganisatsiooni OLAF sildi alt saadetud dokumentidega üritati arvutisse sokutada pahavara. Mälu värskendamiseks: saadetud MS Word dokumendi avamisel üritati makroga arvutisse elama asutada pahalane uhke nimega “Zeus”.

Troojaalane “Zeus” on arvutis üsnagi ebameeldiv kaaslane  – uusim variant suudab enamasti üle elada ka arvuti üleinstalli, uss ise poeb muuhulgas ka veebilehitsejasse ning näppab kõikvõimalikku mustal turul müüdavat ja kasutatavat infot, mida kasutaja arvutist võimalik saada. Kui kasutaja juhtub külastama õiget pangaveebi, siis üritab pahavara muuta arvutis tehtavaid tehinguid selliselt, et raha jõuaks küberkurjamite kontole. Lisaks on pahavaral oskus endale internetist täiendavat võimekust alla laadida. Näiteks paigutada arvutisse elama viimasel ajal üha populaarsemaks muutuva andmeid krüpteeriva pahalase.

Seoses pahavara Zeusi aktiivse levitamise kampaaniaga soovitame kontrollida Windows operatsioonisüsteemiga arvuteid F-Secure’i loodud veebilehel. Kuigi 100% kindlust see veebileht Zeus pahavara puudumise kohta ei anna, tasub arvuti kahtluse korral siiski kas viidatud
lehel või muul moel üle kontrollida.

Krüptopahalane või pangatrooja Zeus võib  arvutisse jõuda ka muul viisil – üsnagi levinud on kasutajale saadetud e-kiri, milles palutakse põhjusel või teisel kas alla laadida või avada arve, pilt, dokument vms oluline asi. Vahetevahel on need failid pakitud s.t dokument on ZIP-laiendiga, vahel suisa .exe või .scr laiendiga (kohe käivitatavad Windowsi failid). Näiteks siin pildil on neil päevil leviv kurivara arvutisse paigaldaja, mis on pakitud .ZIP faili sisse.

rechnung_2329.jpg

Viise, kuidas pahavara arvutisse sokutada, on nii palju kui inimfantaasia suudab neid toota. Sestap on raske, et mitte öelda võimatu, anda universaalset juhendit kuidas sellest hoiduda. Mõned lihtsalt soovitused saab tavakasutajatele siiski anda:

  • kasuta arvutis turvatarkvara
  • enne mõtle ja alles siis kliki
  • küsi kirja saatjalt üle (eelistatavalt telefonis või vestlusprogrammis, mitte kirjale vastates), kas ikka tõesti Sina saatsid selle?!
  • ära häbene IT-inimestelt nõu küsida.