Bezbedan Balkan Bezbednost državnih resursa Kompromitovani resursi v
Dom Zdravlja Novi Sad - dzns.rs

Threaded Mode
Dom Zdravlja Novi Sad - dzns.rs
Petar Away
Administrator
*******
Posts: 58
Threads: 31
Joined: Sep 2022
Reputation: 54
#1
10-12-2022, 02:07 PM
Pozdrav.

Prijavljujem sajt dzns.rs za koji sam saznao pre skoro mesec dana da je najverovatnije hakovan pa zarazen.
Uocio sam ovo prvi put u firmi gde je XDR resenje pocelo da rpijavljuje odlaske zapsolenih na ovaj sajt sa HIGH alarmom
Malware ID: JS/Inject.G4

https://www.virustotal.com/gui/domain/dzns.rs
https://urlquery.net/report/65bc504f-9db...d7314fb413
Find
Reply
y0d4 Away
/dev/null
*******
Posts: 330
Threads: 85
Joined: Sep 2022
Reputation: 109
#2
10-12-2022, 02:28 PM (This post was last modified: 10-21-2022, 09:21 PM by 1van. Edit Reason: Uklonjen link, ubačena arhiva. )
si, jedan od indikatora, poslednja linija: wp-content/themes/dzns/assets/js/lib/cyrlatconverter_ignore_list_rs.js?ver=6.0.2

good catch, tnx!

Arhivirano: archive.ph/j4rPT
Be critical thinker!
Find
Reply
1van Offline
Posting Freak
*****
Posts: 1,728
Threads: 664
Joined: Sep 2022
Reputation: 126
#3
10-12-2022, 04:32 PM (This post was last modified: 10-20-2022, 08:16 PM by 1van. Edit Reason: Umesto koda stavljena slika. )
Neka je "poslednja linija" i ovde.

[Image: attachment.php?aid=118]


Attached Files Image(s)
   
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Website Find
Reply
maxxa Offline
キツツキ
*******
Posts: 288
Threads: 56
Joined: Sep 2022
Reputation: 109
#4
10-14-2022, 03:20 PM
Inače pre ~mesec dana je bila samo poneka detekcija, VT/urlquery ništa, sada vidim i dva različita malware-a detektuje, dakle možda ima više grupa koje ga koriste Big Grin tako je to sa neadekvatno setovanim wordpressom...
Website Find
Reply
Petar Away
Administrator
*******
Posts: 58
Threads: 31
Joined: Sep 2022
Reputation: 54
#5
10-14-2022, 09:03 PM
Kao izazov vidim da napadi postaju sve sofisticiraniji i da ih jednostavno na mreznom nivou sve teze mozemo detektovati i spreciti, i to zato sto:
  1. napadaci mogu da koriste QUIC i slicne da zaobidju DeepPacketInspection metode NG Firewall-a,
  2. Code Obfuscation i slicna sakrivanja ili sifrovanja payload-a kako bi zeobisli i AV detekciju na samom hostu u prvi mah dok ne dodju na disk ili bar memoriju ako se radi o fileless malware-u,
  3. onda ostaje samo da imamo dobar EDR/XDR na hostu koji moze da detektuje neobicna poansanja i/ili prepozna MITRE ATT&CK® metode.

Ovo pisem jel smo imali na poslu slican slucaj gde znamo da odredjeni sajt ima ozbiljne propuste i po poseti istog XDR detektuje u nekim slucajevima inficiran kes web browser-a i klasifikuje detektovan maliciozni kod i karantinira ga.

Medjutim, poluautomatskim ispitivanjem svih fajlova (HTML, CSS, JS, slike...) koji se preuzimaju sa sajta tokom posete nije detektovan ni jedan maliciozni ni na VirusTotalu ni na klijentskom AV-u.

Sav mrezni saobracaj iz SandBox VM-a u opliku .pcap fajla je analiziran pomocu Snort, Zeek i Suricata-e IPS/IDS engine-a i nije pronadjeno nista u vise navrata (sa razlicitim softverima u VM kako bi eventualno zavarali ili trigerovali izvrsavanje potencijalnog trojanca sa sajta).

Pa eto teme za razmisljanje kako bi ste vi mozda se unapred bolje spremili za ispitivanje i odgovor ili zastitu u slicnim situacijama.
Moj zakljucak je da je danas XDR obavezan kao sto je i Antivirus obavezan na radnim stanicama.
Find
Reply
1van Offline
Posting Freak
*****
Posts: 1,728
Threads: 664
Joined: Sep 2022
Reputation: 126
#6
12-15-2023, 08:23 PM
IP: 95.216.66.15
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Website Find
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)