Z wędką na zakupy

to co ja mogę jeszcze raz mówię że ognisko jeszcze nie wygasły a to jeszcze nie koniec więc jeszcze jedna prezentacja została dalej nic miałem kawałek będzie kopał wykupywał może coś się uda się wykąpać tak że całkiem sporo osób przyszło na ostatnią prezentacje pisać z trzeciego dnia w sumie zawsze się zastanawiałem ile osób przychodzi trzeciego dnia po raz pierwszy udało mi się dotrzeć do [śmiech] zaczynamy od ojca i chciałbym wam dzisiaj opowiedzieć o pewnym phishingu na którym wspinałem się jakiś czas temu ale ciekawy że stwierdziłem że być może fajnie byłoby zrobić na ten temat jak on się prezentację względu na zakup właściwie chyba bardziej by tutaj lepiej brzmiało chłopakom na zakupy dlaczego łopatą mam nadzieję że stanie się to

trochę jaśniejsze pod koniec prezentacji dobra najpierw może parę słów o mnie standardowo okej na to na co dzień pracuję w zespole koncert plc się zajmuje generalnie wykrywaniem i analizą jakiś nowych zagrożeń pojawiające się gdzieś tam w internetach czasem zdarza się zareagować na jakiś incydent komputerowy czasem zdarza się jakiś mały przeanalizować a tak poza tym na co dzień no to generalnie rozwój jakiś naszych wewnętrznych narzędzi i skryptów głównie w pythonie no dobra wracając do

tutaj w głowę piątego lipca 2019 r pkb opublikował wrzucił na filiżanka link do fishingu polska agencja inwestycji i handlu zobaczyłem no to w sumie od razu jakoś w jaki sposób przykuło moją uwagę w końcu napiszą to co do tego przywykłem przypadku filiżanka no to obserwować kolejne filmiki paypal i facebooku jakiś dostawców poczty co tam jeszcze polskie bramki płatnicze i tak dalej natomiast z drugiej strony rządowej jeszcze jak w tym przypadku w pl to wydawałoby się czymś trochę mniej codziennym być może ciekawym do bliższego przyjrzenia się okej no to patrzymy co tutaj się znajduje wbijam sobie na adres tego phishing lub i gospel portal kropka zakupów 40 38 x y z i otwiera się taka oto strona jest już gotowa polska

agencja inwestycji i handlu rzekomo jakiś tam portal zakupowy jak to często w takich przypadkach była mowa polska być trudna już na tutaj na głównej stronie popełniono parę błędów językowych typu wybraliśmy twoją firmę do złóż ofertę kliknij przycisk przetarg komunikować się z prywatnego portalu i tak dalej to samo w sobie nam mówi że prawdopodobnie osobą stojącą za tym filmikiem na to nie była osoba która której język polski jest natywnym językiem to jakaś grupa lub osoba z zagranicy hej generalnie cała strona zachęca nas do złożenia ofertę poprzez kliknięcie przycisku 1 pojedynczy czerwony przycisk centrum kliknij tutaj aby złożyć ofertę co się stanie gdy klikniesz ten przycisk oczywiście dostaniemy papa papa papa papa papa papa papa papa papa papa papa

papa papa papa papa papa papa papa papa papa papa papa papa papa papa papa papa papa papa papa papa a gdzie swoją drogą też popełniane zostały jakieś tam błędy językowe okay czyli mamy do czynienia ze standardowym singlem promującym w dzieciach nas krawędziach naszej poczty oczywiście piszemy nasze kredensy ale no to dziękuję wam za oglądanie jesteśmy informowani że wkrótce coś tam dostaniemy naszego maila oczywiście jak to często bywa gdzieś tam pozostawiony jakieś tam wentylatory pracują w tym przypadku głównie przydałoby się nam do tego przydałoby się do tego że widać kiedy prawdopodobnie ten filmik został przygotowany rzucony na ten cel czyli tutaj widzimy datę pierwszego lipca 2019 czyli na tam cztery dni przed pojawieniem się tego przypadku na

przystanku gdzie ten okej sama domena w której znajduje się fishing czy to 40 38 l została zarejestrowana 23 czerwca 2015 r na parę dni przed ich pojawieniem się przygotowaniem tego fishingu widzimy że do mnie napisała kieruję do jakiegoś tam adresu i 188 241 50-70 jest to technicznie gdzieś tam prostowanie na jakimś rumuńskim to w jakimś mistrzem tej to center ciekawe natomiast zaczyna się robić jeżeli wrzucimy na przykład na pasji w tenisa stołowego możemy zobaczyć szukając innej domeny kierujące do tego samego adresu i że na tym samym adresie ip i w tym samym czasie i innych stronach internetowych również prawdopodobnie jakiś portal i zakupowych ale rządów innych krajów mamy tutaj jakąś się kanadę jakieś commerce go w

jakiś komplement funkcjonuje republika głowa x czyli tam pewnie jakiś meksyku ale jakieś peru i tak dalej i faktycznie wbijając na tę stronę możemy sobie znaleźć tutaj fishing amerykańskiego departamentu handlu czy też chińskiego ministerstwa transportu jak widać w tych obu przypadkach strony są dość podobne do fishingu polska agencja inwestycji i handlu tutaj mamy jakieś pojedyncze czerwony przycisk prawdopodobnie zachęcając nas do złożenia oferty tutaj podobało podobny papa papa papa papa papa papa papa papa papa ale do podania klękali i tak dalej jeszcze ciekawiej zaczyna się robić jeżeli zaczniemy szukać sobie więcej informacji o tym adresie ip gdzie jest schowany ta scena filmowa możemy natknąć się na informację że na około pół roku wcześniej tak chyba z 5 czy 6 miesięcy

pod koniec 2018 ten sam adres ip i był powiązany z grupą mapę t-28 czyli generalnie okej mamy adres ip o którym wiemy że pół roku temu był powiązany z grupą mapę t-28 mamy również fishing kilku stron rządowych różnych różnych krajów typu polska chiny stany zjednoczone i wiemy również że grupa prędkość 28.1 bieber czasem zdarza im się targetować jakieś strony rządowe czy to i jedno i drugie może mieć jakiś związek z może tak może nie ciężko na podstawie pojedynczego gracza i to powiedzieć to równie dobrze może być jakiś zwykły radius adres ip mapę t-28 pod koniec 2018 roku używał wrocław potem przestali używać przypadek chciałam żeby jakaś inna grupa wiekowa przesuwa tam swoje fishing i oczywiście jak każdy dobrze przygotowane

fishing na jednym z fachowców można było trochę trafić na lipa z kodem źródłowym to akurat dotyczyło phishingu strony zakupowej kanadyjskiego rządu no ale jak zajrzymy sobie do polaków to się możemy bardzo rozczarować bo natkniemy się na bardzo standardowy ph psa używany w bardzo wielu punktach który nie robi praktycznie dużo więcej co po zebraniu jakimś krewnym wcielili które tam spaliśmy wysyła je gdzieś tam zdefiniowane w kodzie html podany adres e-mail nic nadzwyczajnego i właśnie w tym momencie mam trochę innych rzeczy do roboty zakończyłem obsługę tego przypadku ale generalnie to był ciekawy przypadek może powiązany z grupą mapę t-28 może nie powiązane z grupą mapę t-28 ciężko jednoznacznie powiedzieć kształt klikamy co tam jeszcze informacja przekazywana dalej

tam gdzie trzeba niech się tym zajmują ja akurat miałam trochę innych rzeczy na głowie więc zamykam ten przypadek i idziemy dalej no ale gdzieś tak jakiś miesiąc później chyba bodajże zbierając informacje o grupie t28 przypomniałem sobie o tym przypadku z tego miesiąca i tak zacząłem się zastanawiać a co jeżeli tych dokumentów księgowych było więcej może były one testowane gdzieś na innym serwerze możesz i zaczęły się już trochę wcześniej może jakieś jakieś inne przyczyny jeszcze do nich nie dotarłem czy jesteś jestem w stanie w jakiś sposób zrobić trochę wykopów w internecie aby spróbować stwierdzić czy techników nie było więcej można by tutaj używać dalej pasek dna wirusa tutaj żebyśmy musiał zgadywać pod jakim adresem i it były też inglia albo

próbować zgadywać jakieś inne domeny na tutaj trochę lepiej większe pomocą przyszło mi narzędzie cl tsh który jest wyszukiwarka certyfikatów ssl tls opublikowanych w ramach programu certificate transparent yyy i jedną z bardzo fajnym funkcjonalności tego narzędzia jest możliwość stosowania implantów reprezentowany jako znak procentu możemy sobie na przykład zrobić takie które procent kropka 30 48 x y z i dostaniemy listę domem dla których w ostatnim czasie zostały wygenerowane certyfikaty pasujące do tego naszego wyrażenia z karton okej ale dowiedziałam się dużo więcej niż do tej pory widziałem bo to już wsparcia finansowego sobie mniej więcej wyciągnąłem że był tam jakiś film jakieś kanadyjskiej strony portal zakupowy jakiś kamer skoro i tak dalej co można z tym zrobić aby jednak

spróbować pogrzebać trochę głębiej czy nie ma jakichś innych filmów okej widać że ta domena jest dość systematycznie więc jeden z pomysłów na to spróbować sobie pomasować czy istnieją inne domek z podobnej strukturze czyli jakieś tam dwie liczby oddzielone silnikiem i być może zarejestrowany w podobnym okresie czasu zresztą tam natknęli się na było widać że było kilka innych wariantów tych dwóch liczb na których również były hodowane te filmiki można tak zrobić ale w sumie to i tamto można użyć też w drugą stronę można zrobić coś takiego możesz go w lodówce do tła itd okej tak znalazłem trochę innych domen numerycznych również jakiejś innej w internecie niż x y z a co być może nawet ciekawsze to znalazł nam że w taka

subdomena była również w obrębie jakiejś innej domeny niż taka numeryczna standardowa ciekawe i tutaj akurat był początek nie taki początek czerwca okej to co dalej zrobimy zobaczymy jak jest domena oczywiście były w tej domenie i zaczyna się robić jeszcze ciekawiej bo nie będzie tak że znaleźliśmy trochę nowych do momentu po tym jak go jaki się akrobata dobre cloud to jakiś żart go transportation people of to jeszcze widzimy że te filmiki były już w maju nie w czerwcu nie w lipcu tak jak obserwowaliśmy to dotychczas jak obserwowałem to dotychczas ale coś się zaczęło pojawiać się już w maju co to oznacza po prostu zakodować być może spróbować zastosować trochę więcej tych domen zanim przejdę jeszcze do skopiowania

tego cs-a i wyciąganie tych kolejnych domy to już w tym momencie zacząłem się pokazywać dość charakterystyczne struktura tych chirurgów portali zakupowych czyli domeny w obrębie tych plików może nie zupełnie wszystkie z tego co tam przeanalizowano przeważająca większość bardzo podobną strukturę czyli składały się z pewnej domeny głównej oraz podekscytowany na którą dostęp do menu jest składało się jakaś tam fragment wskazujący na cel tego filmiku oraz jakiś tam zlepek komórek w jakimś tam mroczny sposób nawiązując do portali zakupowych jakiś przetargowych typu segwit ten portal pizzy jakiś podczas zakupu dokument i tak dalej tutaj parę takich przykładów to w jaki sposób będzie będę postanowiłem spróbować to cewka w europie w zasadzie banalnie prosty wybiorę sobie jakąś listę domen głównych

których już o których już wiedziałem że są powiązane z tą grupą i z tymi filmikami jakąś pustą listę subdomen i zaczynam się denerwować po wszystkich jeszcze nie odwiedzonych domenach głównych robiąc zapytanie ta malutka kropla i dana domena główna w ten sposób zbieramy nowy zbudowany które potem rzucam sobie do listy jeszcze nie odwiedzonych stron jeżeli faktycznie odwiedziłem i potem powtarzam te same kroki tylko na odwrót czyli toruje sobie posłów domenach szukając nowych domach główny patrzę czy w wyniku tego działania znalazłem jakieś jeszcze nie obudzone do menu główne jeżeli tak to powtarza ten cykl aż do momentu gdy nie znajdę nowych domem głównych oczywiście to jest tylko uproszczona wersja w praktyce trzeba dodać trochę filtrowania trochę dodatkowych warunków

aby ta lista domen i subdomen i zaczął się rozrastać nieskończoność na przykład najwięcej największy challenge był w tym kroku czyli jak zdobywam zbudowany to musiałam tylko w jakiś sposób wpływa to na podstawie tych powodów wybrać tylko te suplementy które są w jakiś sposób powiązane z portalami zakupowym i jakimś stopniu przetargowym i tak dalej bo na przykład nie interesowało mnie rzucenie na listę subdomen do suplementy www.zasilek.nl co tam może być jeszcze mail.ru i tak dalej więc tutaj odrobinę ręcznej roboty wręcz końcowe iteracje tego algorytmu no to było tak że robią to automatycznie wręcz nie interesowałam się podoba a potem ręcznie wyciągam te suplementy które wyglądają wprost na powiązane z kampanią i potem powtarzałem całość oczywiście po zebraniu jakichś tam

wyników fajnie byłoby wzbogacić jeszcze te dane i tak z serii waju stąd albo służy do wyciągnięcia z pasji do nas adresów ip do których kierowałem zabrany przeze mnie domeny tam zabrania trochę innych słów domen i zabrania też do obserwacji których akurat w tym przypadku potem za bardzo nie wykorzystywałem crt csk to posłuży mi do wyciągnięcia that pierwszego utworzenia certyfikatu dla danej domeny co potem poszłam do stwierdzenia kiedy dana organizacja była targetowane na ulicach i o to z bliska na wyciągam głównie screenshoty do już nieaktywnych od paru miesięcy czy tygodni treningów czasem łuskany wykorzystywałem też do ręcznej weryfikacji tego co znalazłam kolejny krok mający jakąś dużą grupę dom supermana zebranych fajnie byłoby zmapować się na targetowane organizację

widać że czasami jedna organizacja dla jednej organizacji istnieje kilka różnych wariantów subdomen ale to jakiś tam swój numer a celu to domena celu się powtarza pomiędzy tymi zmianami więc tutaj fajnie sobie jakąś super manewr zrobić aby następnie mając tą długą listę wszystkich domen móc prostu nie ma polegać na konkretne organizacje które były targetem tego tych filmów w rezultacie dostała mniej więcej taką strukturę danych czy jakiegoś tam jasona gdzie kluczami były konkretne targetowane organizacje i każdy taki element zawiera informacje takie jak daty kiedy ta organizacja była zaangażowana obserwowane dla tej organizacji z domeny do menu główne oraz pełne domeny być może pewnego komentarza wymagają taty jaki sposób miałem wtedy kiedy organizacja była zaangażowana w takie jak już powiedziałam to te daty co to są

bataty pierwszego wygenerowanego zaobserwowanego certyfikatu dla każdej z tych pełnych domen przyczyna dla której jest domem certyfikatu kilkukrotnie generowana czyli pojawia się kilka dat boi tak gram tą najstarszą datę ponieważ nie ma pewności jak trzy miesiące później został ponownie wygenerowany certyfikat aktywny i tak dalej witam uzyskałam wynikach się udało mi się zebrać około pięćset dziesięć różnych pełnych domach w tym 231 różnych subdomen 231 7 różnych domenach głównych pośród których to domen naliczyłem około 86 targetowane organizacji w 19 krajach 461 organizacji z terenu stanów zjednoczonych 25 organizacji z innych krajów najstarszy znalezione przypadek na to jakaś firma ze stanów zjednoczonych świadczące usługi telekomunikacyjne 26 marca 2018 i najstarszego wody przypadek na to już stąd ale go 16 czerwca 2018

najnowsze przypadek no to września 2019 to było chyba jakieś departament energii stanów zjednoczonych czy coś takiego tutaj parę jakiś innych i prawdopodobnie i tak nie są wszystkie przypadki tych filmików bo być nie wykluczam że do części udało mi się po prostu dotrzeć to był targetowane tak jak już mówiłem najwięcej w stanach zjednoczonych czyli mamy różne departamenty typu departament handlu rolnictwa zdrowia classic development departament pracy i transportu z departamentu do spraw weteranów z jakiś tam przyczyn departament energii trochę departamentów poziomu stanowego i co ciekawe to były głównie departamentu transportu nie wiem dlaczego trochę strony strony różnych portali stanowych w każdym z tych przypadków to oczywiście były jakieś portal zakupowe poruszające się na przykład pod portal stanów alabama czy stanu kalifornii i

tak dalej trochę jakieś tam inne agencji rządowych typu luizjana d ż d station jak się ma błędów serwis jakiś tam uniwersytet florida state university i tak dalej trochę miast w stanach zjednoczonych no i tak jak mówiłem kilka firm z sektora prywatnego typu point tripadvisor stream i tak dalej i to był główny akurat firmy ze stanów zjednoczonych natomiast poza stanami zjednoczonymi poza stanami zjednoczonymi mamy australię kanadę a niemcy singapur włochy dłonie chiny polsce bangladesz wielką brytanię i szwecja i być może to wciąż nie samo wszystkie znalezione przypadki okay adam jeszcze tutaj taka matkę żeby trochę lepiej zaznaczone są to oczywiście wszystkie kraje gdzie znajdował się co najmniej jakiś się jeden cel nie ma rosja to być

może jest zupełny przypadek nie chcę nic na ten temat nie na tej podstawie wnioskować i to faktycznie wyjdzie z tego przypadek kilka przykładów to okej mamy tutaj fishing stanu w alabamie sekret jest on commonwealth tak i to już był las dla panów commerce jak widać te wszystkie strony mają dość podobne strukturę różnią się tam delikatnie jakimś opisem jakimś cudem w jakiś delikatny sposób nawiązujący do swojego targetu a poza tym są dość podobne a tutaj mamy jeszcze tę liczbę patentów biznes i opis przeskoczył na drugą stronę a boeing firmy prywatne też były targetowane też mamy portal zakupowy potrzebujące się boeinga i dość podobną strukturę domeny wchodzimy ze stanów zjednoczonych mamy australię meksyk przypadku meksyku widzimy że nie mamy do opisu w angielsku

tylko po hiszpańsku celu włochy też dość podobna strona by to już było wcześniej chińskie ministerstwo transportu szwedzki jakiś eksperyment show tvp1 co ciekawe można zauważyć że taki głodny o których wcześniej mówiłem no to jeżeli lokalnie w danym kraju były stosowane jest specyficzna złoto jak tak jak na przykład w przypadku została jakieś tam keyboard który po szwedzku znaczy ten drink to miejsce w przypadku phishingu na polską agencją inwestycji i handlu gdzie tam pojawił się jakiś sposób w jaki się portal zakupów czy coś takiego ale singapur jeszcze i to ciekawy przypadek bo natknąłem się na kilka stron które ktoś wyraźny sposób tutaj przypadek to były głównie pantofle wybór i departament handlu development które wyglądały na trochę bardziej rozbudowane

stosunku do tych wcześniejszych filmów i pozostałych stron zacząłem się zastanawiać czy to będzie na pewno mamy do czynienia z tą samą być może jakaś inna grupa stworzycie podobne świeczniki z przygotowałem sobie lepiej rozbudowaną stronę no jak tam zaczęłam trochę przespać chociaż nie mam do chwili obecnej stuprocentowej pewności na kilka rzeczy które znalazłem wskazywało że to prawdopodobnie były wciąż linki powiązane z całą grupą tu jakieś tam stawki w htmlu bodajże podobieństwa tutaj jakieś podobieństwa opisów i tak dalej tutaj jeszcze przypadek hong kongu to taki zakupowy rządu hong kongu który też dość mocno inaczej wygląda ale przedtem sobie na rzeczywisty portal zakupowy rządów konto no właśnie podobną stylistykę więc ktoś próbował trochę bardziej się stylizować ten filmik do

rzeczywistej strony

do czasu jeszcze dojdę okej co ciekawe na tych samych falach co fishing i portali zakupowych było również trochę innych phishingu dokładnie tych samych serwera ftp na jakieś usługi internetowe jakieś adobe cloud jakiś outlook jakiś microsoft trochę sektora finansowego standardowy bank of america wells fargo ale co ciekawe być może jakieś z bank który znalazłem w jakimś tam tureckim bankiem i co być może nawet jeszcze ciekawsze było też trochę wikingów na firmy transportowe logistyczne ale głównie z rejonu azji to jakieś chiny korea i te regiony i tak znalazłem jakiś cynk i koreańskiego serwisu pocztowego jakiś czas na kurier serwis corporation jakiś siebie ale diecie cel fajna tutaj widzimy w domenie ceneo.pl i też gdzieś się pojawią do cn

express który jest jakaś chińska firma kurierska też był często krytykowany i tutaj parę przykładów to jakiś google cloud tutaj fishing express widzimy bardzo podobna z struktura strony w stosunku do tego co obserwowaliśmy w przypadku phishingu w portalu zakupowych alexa przetłumaczymy no to jest historia tosi trochę inna bo nikt nas nie nakłania do złożenia oferty jakieś tam w jakimś przetargu ale jesteśmy informowani drogi użytkowniku właśnie zrobiliśmy twoją paczkę aby potwierdzić jakiś tam na dole ale adres odbioru proszę wejść na kliknij ten przycisk zaloguj się na swoją pocztę aby to potwierdzić czy struktura strony dość inna podobna ale opis historyjka jest są inne i tu jeszcze przypadek bank of england of america widać charakterystyczną domane to był chyba jedyny filmik jak

się nad kanałem który nie analizowałam dokładnie który próbował wyrzucić niektóre nasze do skrzynek pocztowych ale prawdopodobnie które bank of america i może jeszcze taka jedna dygresja generalnie te inne filmiki niż portale zakupowe to jest rzecz którą bardzo słabo przeanalizowałem po prostu zaczął być tego za wiele i trochę się obawiałem się że podążasz za jakimś tam filmikami na outlooka czy na jakieś inne serwisy przeskoczy nothing jakieś ulubione organizowane przez jakąś inną grupę i nawet się nie spostrzegli więc reszta prezentacji skupia się głównie na wyścigach związanych z portalami zakupowym i być może to też jest jakiś ciekawy kierunek dalszej analizy i jedyny inne polski akcent na jakie udało mi się trafić ta grupa z jakiegoś powodu zdecydowałem się zrobić link w

e-mailu uniwersytetu jagiellońskiego dlaczego akurat uniwersytecie w tym samym czasie co park losowo wybierają uniwersytecie edynburskim i z jakiegoś powodu stwierdzili że chcą sobie mieli jakieś inne motywy do stworzenia film był uniwersytetu zielonogórskiego nie wiem ciężko powiedzieć niestety nie udało mi się dotrzeć do screenshota tego phishingu tutaj podatek widzimy że to był początek czerwca 2019 ramy czasowe kiedy te filmiki miały miejsce tutaj akurat ten wykres przedstawia liczbę różnych organizacji te targetowane w poszczególnych miesiącach z podziałem na organizację ze stanów rządowe ze stanów zjednoczonych spoza stanów zjednoczonych jakiś tam sektor prywatny widać że najwięcej różnych organizacji targetowane było na przełomie tam września do listopada 2017 i były to również i różnych tam stanów i stanowych departamentów transportu

pierwsze fishing i jakiś tam w stronę rządowych spoza stanów zjednoczonych pojawiły się dopiero pod koniec 2018 roku już potem mniej więcej raz na miesiąc się pojawiały a tutaj jest podobny wykres tylko nie przedstawialiśmy różnych organizacji targetowane w poszczególnych miesiącach liczbę różnych dokumentów księgowych obserwowanych w poszczególnych miesiącach więcej proporcjonalnie jest podobnie czyli jakieś tam pit jest w okolicy września listopada 2018 a potem jakoś to się tam rozkłada nie mówiłem jeszcze nic o dystrybucji co jest jedną z też ciebie dość ciekawą rzeczą oczywiście wcześniej były dystrybuowane poprzez mailing tutaj przypadek linku związanego z licznikiem polska agencja inwestycji i handlu widzimy że pomimo jakiś tam błędów językowych w treści tego maila z informującego nas że twoja firma została

wybrana do udziału w jakimś przetargu wejść w ofertę to porównując tego tym ale w stosunku do przeciętnych ludzi związanych z jakimiś piankami chyba muszę powiedzieć że nawet nie najgorszy był ten mail widać że maile były wysyłane tutaj jakieś domeny paliw myśl pl dotąd online które faktycznie istniała tutaj w podpisie wyjaśnię jaka pani grażyna cieszyńska pełniąca obowiązki prezesa zarządu i mieliśmy jakiegoś się pdf w załączniku jak się okazuje pani katarzyna zielińska faktycznie pełnił obowiązki prezesa zarządu wcześniej nie widziałam również co myślisz o tych mailingowe gdzie w podpisie widniał doktor krzysztof center to oznacza że atakujący przygotowując też i zadał sobie odrobinę trudu i nie tylko tam zrobić ten filmik po angielsku przygotował mailing pdf-a również przed

naszą stronę i i sprawdził to potencjalnie może wy macie taki maili i użyto w korespondencji mailowej cześć co było w parafiach w paragrafie mieliśmy zachęcam was oczywiście do złożenia przetargu nie jestem jakimś tam instrukcję i pojedynczy czerwony przycisk kierujący nas do strony firmowej się nazywa przetarg rządu polskiego tutaj przypadek z amerykańskiego departamentu pracy z marca z pierwszego marca 2019 generalnie struktura mailingu dość podobna pomimo że miała miejsce na parę miesięcy wcześniej w mailingu pdf o bardzo podobnych z to że tylko po angielsku też mamy pojedynczy przycisk kierujących do strony firmowej jeszcze przypadek z australii tam australijski departament infrastruktury i rozwoju regionalnego i co ciekawe w podpisie wtedy pewnie jak i pana doktora stephena z którą wcześniej faktycznie

pełnił rolę sekretarza w tym departamencie stanu nam się pojawia ten sam element że ktoś zadał sobie odrobinę trudu żeby wejść na tą stronę tego swojego departamentu infrastruktury i rozwoju regionalnego zobaczyć kto tam jest pełni jakąś istotną rolę i zacząć go w podpisie pdf-a cześć no dobra co mogę powiedzieć na temat infrastruktury w zasadzie to skupiam się głównie na domenach wykorzystywane w chinach to wszystkie wybrane przeze mnie domeny podzielić na takie cechy charakterystyczne grupy czyli domeny numeryczne domeny pocztowe i będę przejęte było tam parę innych domen ale generalnie te trzy grupy były najbardziej rzucającą się w oczy dlatego na nich się dalej skupiłem do menu numeryczne mieliśmy wcześniej były na poprzednim slajdzie pojawiały mają dość charakterystyczne

silnikiem głównie w domenach x y z online i celu trochę mniej jak i się innych celach a potem później patricia trochę zmienił ale wciąż będę miał jakąś tam powtarzalną przewidywalne strukturę gdzie będą prowadziły prowadził okazuje się że te dane były rejestrowane grupową i często grupa taki domek prowadziła do jakiegoś pojedynczego serwera pojedynczego miasta i często też tak było i jednocześnie danym momencie był wykorzystywany jeden taki serwer i tak mamy tutaj przypadek z marca jakiś tam była recepcja używany parlamentu potem 20 marca był ostatni wykryty przypadek tego filmiku o tydzień dwa przerwy i końcówka marca i kwietnia jest jakieś kolejne domeny kierujące do jakiegoś innego serwera a potem na koniec kwietnia znowu tydzień dwa przerwy znowu przerzucają się na jakiś

inny serwer potem znowu tydzień przerwy przerzucają się na jakiś kolejny serwer i tak dalej i tak dalej a ostatni przypadek w którym dotarłem no to pomiędzy 16 września 27 września 2019 się trochę tam się zmieniłaś która domen targetowane organizacji pomiędzy tymi kolejnym pa nami czasem się powtarzały czasem nie czasem były jakieś nowe i tak dalej kolejna domena to domeny pocztowe też mające dość charakterystyczne struktury czy w jakiś sposób tam przypominające prawdziwe domeny tych celów tych linków dlaczego z wami podstawowe ponieważ z tego co udało mi się ustalić domeny często były głównie wykorzystywane do wysyłania mailingu natomiast trochę rzadziej zdarzało się żeby pod tymi domami chyba się jakaś strona faktyczna koła pojawiają się głównie w jakimś tam

serwerach ale znaleziony przeze mnie czasem w niektórych opisach strony wyścigowych tak jak tutaj w tych przypadkach czasem były jakieś elementy na stronach rządowych też odwołujące się do takiej domeny ojcem bo generalnie dużo więcej ale żeby dla czytelności slajdów wszystkich nie zawarłem tutaj akurat do menu z końcówki 2018 i początku 2019 roku o co chodzi z tymi domami przyjętymi to zbierając wszystkie domy natknąłem się na pewno podgrupę domach które były zarejestrowane dużo dużo wcześniej przed pojawieniem się pierwszych śniegów okej powiecie że to nic nowego coś przejmuje jakiegoś trupa i co tam innego wrzuca jakieś filmiki jakiegoś podkatalogów i mamy filmik na skompromitowane stronie ale to nie ten przypadek spójrzmy sobie na taką domenę a na sadybę patreon.com zarejestrowaną w 2011

roku i sobie to wyjdzie my tu mamy jakieś tam web developer w firmie zajmującej się jakieś web development m jakimś marketingiem designem i tym podobne natomiast nagle 2019 ktoś jest tworzy nowy certyfikat ssl tls gdzie prowadzący do osób domeny regionalne która istnieje od 2011 roku wiem też że nie ma a to ponadto sama subdomena filmowa prowadzi do tego samego adresu ip co domena główna jaki sposób to jest w ogóle możliwe zacząłem się zastanawiać jaki sposób ktoś zadał wygenerować certyfikat dla takich domeny w sumie aby wygenerować taki certyfikat brakuje w końcu ktoś musiał przejąć kontrolę nad tą domeną wejść do panelu stworzyć sobie swoją domenę oraz mieć jednocześnie dostęp do samego hostingu żeby potem wrócić na ten

casting gdzie kieruję ta domena te pliki związane z licznikiem jakieś zadanie rektor i takie przypadki się powtarzają to jakaś firma farmaceutyczna do nas 2017 i nagle w 2019 pojawiają się jakieś dziwne fundamentowe najstarsze znaleziony przeze mnie przypadek w 1959 roku spanish word-zie też tak że w 2019 pojawiają się jakieś suplementy wyścigowe i wyłącznie udało mi się znaleźć około 110 to jest tylko jakieś tam szacunek tego typu przyjętych domem i przyznam że to jest pierwszy przypadek phishingu gdzie w przypadku którego zaobserwowałam że ktoś nie wrzuca phishingu do jakiegoś pod katalogu naszej stronie ale wręcz tworzyć osobną podstronę na której generuje certyfikat następnie tam wrzućcie swój filmik dlaczego potencjalnie ktoś mógłby chcieć zrobić w ten sposób zadziałać być może

są jakieś mechanizmy detekcji które sprawdzają jak domeny no to jak taki mechanizm zobaczycie to na istnienia 10 lat to wtedy nie sklasyfikuj tej strony jako fishing ponadto dzięki temu że mamy sumę w jakiś sposób nawiązują do tej strony targetu no to ktoś widząc w przeglądarki że właśnie na stronie pkw.gov.pl to pomyśli że to jest faktycznie rzeczywista strona a to chyba pierwszy taki przypadek tego typu filmików gdzie widziałem że ktoś tam generuje zbudowany no dobra ale to zastanówmy się nad potencjalnymi celami motywami dlaczego akurat ktoś zdecydował się targetować się portale zakupowe przetargowy aby chciał zdobyć tylko dostęp do skrzynek pocztowych to pewnie bym zrobił zwykłych i gmaila 365 i tak dalej to potencjalnie może w ogóle chcieć być na taki portal

przetargowy i podać tam jakieś dane być pewnie jakieś firmy dostarczające jakieś usługi dla rządu jakieś rozwiązania startujących w przetargach tak dalej wręcz nawet nie każdy pracownik takiej firmy zwykły wchodzić na portalu przetargowej gdzieś tam coś się logować coś podawać tylko pewna grupa pracowników pewnego małego podzbioru film więc mocno utalentowany moim zdaniem atak niestety w jaki sposób były wybierane ofiary jaka była skazana nigdy nie udało mi się do tego dotrzeć a co mogłoby potencjalnie celem można jednoznacznie powiedzieć że to raczej wydaje się jak wczoraj problem bo takie osoby jak pracujący w jakiejś firmy świadczące jakieś tam usługi dla rządów ki potencjalnie mogą być w posiadaniu jakichś ciekawych danych informacji może jakieś dokumentów może ma jakieś ciekawe kontakty a być może

atakujący będzie chciał się poddać bo takie osoby jakieś korespondencji być może takie firmy posiadają jakieś dodatkowe dojścia do jakiś dmg zrobiony z jakąś tam agencję rządową albo jakieś dodatkowe doświadczenie do jakiegoś serwisu rządowego być może jakaś firma dostarcza jakieś tam rozwiązań cyfrowych i atakujący włamali się do takiej firmy poprzez maila i tak dalej będzie mogła przeprowadzić jakiś atak supply chain być może po prostu atakujący chcą przejąć rezydencję ale do celi potencjalnie i profil i potem gdzieś to sprzedać na jakimś czarnym rynku czy nie wiadomo co z tym zrobić czy możesz nam coś powiedzieć o atrybucji chyba na ten moment po skończeniu tej analizy bardzo ciężko mi coś konkretnego powiedzieć chociaż mam akurat pewien pomysł o tak okej jeden

tam adres ip faktycznie się tam powtarzam w przyszłości wykorzystywane przez apache 28 a wydaje mi się że patrząc na skalę tej akcji to jest żebyśmy dowiedzieli że ta mapę t-28 robi taki to żaden z pozostałych adresów ip które znalazłem nie wydawał się mieć cokolwiek wspólnego z 28 więc ten wątek raczej bym wrzucił no i nie ulega wątpliwości że skala tego w tej kampanii mailingowej chyba można powiedzieć że raczej duża wiele celów w różnych krajach ale raczej profil w większości to jakaś ciężarówka porównaniu do jakichś tam innych przeciętnych piszcie gówno nawet dopracowanym ale powiedzmy niestety nie udało mi się trafić na żaden malware powiązane z tymi kampaniami natrafiłem tylko na samych fishing witam panie doktorze gdzieś tam

w którymś etapie pojawiają się jakieś małe ale niestety nie udało mi się na niego trafić a być może taki mały mógłby trochę więcej powiedzieć to potencjalnie zatem mógł wstać i być może taki najistotniejszy najistotniejsza rzecz można było zaobserwować że atakujących cechowała duża pracowitość bo tam chodzi patrzę jak to może wysyłać ten link i przygotowywali różne wersje tych linków różne wersje pdf-ów i tak dalej to jest sama złożoność tych wszystkich pojedynczych ataków była dość niewielka więc ciężko co się tutaj powiedzieć co można powiedzieć o to jakiś sens a tak nie wydaje mi się że żadne z nich nie może tak może nie żadne ślady po prostu na które do tej pory do których dotarłem jednoznaczna to nie wskazywały

być może słyszałeś już powoli ku końcowi być może pewne światło na to kto stoi za tym za tymi atakami rzuci taka nazwa jak ten album i od 8 ciekawości czy ktoś słyszał o tej nazwie wie co to jest pytasz mnie jak na nią po raz pierwszy wpadłem okazuje się że jest to telefon komórkowy i to nie byle jaki telefon komórkowy bo produkowane przez fińską firmę tak na mobile która z jakiegoś czasu szczególny sposób sobie rynek amerykański gdzie jest szczególnie popularna natomiast trochę tam ma podobną udział w na rynku w południowej azji trochę tam na bliskim wschodzie nad można znaleźć jeżeli wierzyć tutaj jakiemuś artykułowi nas jeden który znalazłem a że technologia jest bardzo popularny w afryce w chinach podobno

nawet nie ma jednego sklepu dlaczego mówię o tym telefonie także można było domyślić dwa kontakty mailowe powiązane z tymi grupami które były używane w zupełnie innych okresach czasu czyli tam październik 2018 lipiec 2015 były powiązane z tak no jak 8 dość niszowym telefonem oczywiście to może być zwykły przypadek może nie być przypadek ciężko powiedzieć nam się jeszcze na jedno konto yahoo powiązane z tą grupą stojącą za tymi linkami które powiązane było z numerem telefonu zaczynających się od kierunkowego plus 2 o tym jak wiemy że plus 20 charakteryzuje głównie jakoś tam amerykańską odprawę że to jest przypadek czy to jest nie przypadek bardzo ciężko mi powiedzieć ale generalnie faktycznie jak sobie próbowałem w google gdzie mógłbym kupić ten super telefon tak no

bo ja to się dopiero 16 rezultatów w jaki znalazłem na to jakiś sklep on-line w kenii tanzanii ugandzie tego typu sklep żadnego zachodniego sklepu ale nie znalazłem żadnej reakcji na ebayu i tak dalej i na tej podstawie możemy wnioskować że to jakaś grupa gdzieś tam operującej na terenie afryki może tak może nie to tylko taka spekulacja chociaż patrząc historycznie to może jest to do pewnego stopnia prawdopodobnie w końcu weźmy taką sobie nigerię znany z różnych skarbów wyścigowych bodajże chyba nawet wakacje tego roku pojawiły się dokonało tam sporo zatrzymań i tam znalazłem też jakieś raporty że tam w przyszłości robi jakieś się również z gamy z biznesem ale kompromis i tak dalej może to jest jakiś

trop może nie jest ciężko jednoznacznie powiedzieć chyba dotarłem w tym momencie do końca jeżeli są jakieś pytania cześć

zobaczymy cześć ja mam taką takie uwagę uzupełnienie odnośnie tego uniwersytetu zielonogórskiego tak ja pracuję na uczelnię rozmawiałam ze swoimi działem it w sprawie phishingu w temacie phishingu i z tego co się o tym dowiedziałam bo na żywo na konta mojej uczelni też generalnie tego konkretnego czy jakiegoś innego ale na konto mojej uczelni też przychodzi fishing generalnie dosyć tak regularnie i celem tego filmu jest przyjęcie tych konsol to jakby też potwierdza że tam się pojawiło pocztę w stanach kont pocztowych ponieważ te kampanie muszą być wysyłane a te domeny edukacji mają dosyć wysoko reputację więc przyjęte konta uczelniane i potem wysłany stamtąd pan ma większą szansę trafić dokądkolwiek niż na przykład jakieś inne konta ja myślę że to mogło

uchodzić za grzeszne bo to że ta ten uniwersytet został zaatakowany po to żeby zdobyć sobie konto które będą miały wyszło reputację żeby filmik był bardziej do wysyłki tych maili z tego co przynajmniej w przypadku których udało mi się dotrzeć do nie można wykluczyć takiej opcji analogicznie jak zobaczyłam to co zobaczyłam że może uda

mi się podoba mam nadzieję że będzie to gdzieś i możesz teraz minut ale może to być zupełnie jeżeli chodzi o ten przejęta domeny to to jest ostatnio trend dosyć poważny jest to przede wszystkim spowodowane tym że hostingu i chociażby nie dbają rejestrator domen i nie dbają o to jak się zwłaszcza że jest jakaś dana osoba no nic więc argumentując nawet konta w górę d nie wiem czy kiedykolwiek w życiu przejmują i dalej jest to juz wpisuje się w ten sposób że to jest dosyć zapomniałem o tym gadać ale wydaje mi się że wektory mogą być to że jak oni traktują tendencja do różnych skrzynek pocztowych podczas mogli trafić na skrzynki pocztowe które były powiązane z

jakąś tam domeną mojej użyte w jakimś tam w ten sposób się dostać do paneli jeszcze jedna takie moje przemyślenia w tej prezentacji jeżeli chodzi o to gdzie poszły te maile do fishing i tak jeżeli idą do działu które zajmują się przed atakami to trzeba wiedzieć że to działa i bardzo dużo maili dostają różnych firm więc jakby to jest słabe wyniki brzuch tak zwany więc jest to fajny fajny tak tak naprawdę czekam na dalszy plan dzięki a ja mam pytanie skąd wziąłeś wygląd tych maili nowych prowadziłem wykopki w internecie skąd wział wygląda i liniowych jeden został opublikowany przez kogoś na twitterze gdzie to było a 1 tutaj jakiś użytkownika to też opublikował potem sobie serce wam generalnie jest tak że

nie jest tak że nic zupełnie nie pisał pisał nigdzie w internecie o tych filmikach to już tyle jeżeli chodzi o jakieś lśniące artykuł na temat techników no to bodajże na początku 2019 roku anomalii lat opisywał techniki ale tylko w odniesieniu do tych interesujących amerykę południową i kilku czynników stany zjednoczone natomiast nie nie natknąłem się na żaden artykuł próbując nam spojrzeć na to z szerszej perspektywy potem natrafiają też nie jest tak że te filmiki nie były zupełnie wykrywane bo natrafiam na jakieś tam pojedyncze informacji na twitterze ktoś zapytał jak i się fishing staż trafiłem na parę ostrzeżeń na jakiś stronach rządowych przed tego typu highball z australii skądś tam jeszcze ale nie trafia na taką wspólną analizę całości tego

jeszcze raz ja żyję i przypomnij potem nazwę tej firmy która dystrybuuje telefony to może coś co myślimy i możemy popracować czy masz może jakieś informacje na temat skuteczności kampanii nie mam niestety bardzo chętnie bym dotarł do takich informacji w ogóle wiedział jaka była skala tego mailingu no niestety prowadzą tego typu archiwalne wykopki było mi ciężko dotrzeć do tego typu informacji a czy biorąc pod uwagę że w ogóle na uzyskanie znajdowałem te domeny publicznej go to znaczy że ktoś w którymś momencie tam wrzucił więc przynajmniej część filmików była wykonywana ale ile osób kliknęło to nie wiem

jeszcze jakieś pytania okej no to dziękuję bardzo za uwagę [Aplauz]

proszę link w opisie