„Co ty kryptoměny a investice, dá se na tom vydělat?“, zeptal se mě letos v lednu kamarád. „Mně o tom psal spolužák ze střední a že na tom teď celkem vydělává“. Kamarád je vzdělaný a světem protřelý člověk, neměl jsem tedy nejmenší důvody o premisách, stanovených v úvodu naší konverzace, jakkoliv pochybovat a zamyslel se nad tím, jestli mi v poslední době neutekla nějaká informace. Nicméně nevzpomněl jsem si na nic, co se třeba jen blížilo poslednímu boomu v roce 2017. Tak jsem jen pokrčil rameny a odvětil, že investovat do kryptoměn lze a že aktuální výnosnost není nijak zastiňující vůči běžným investicím, jen jsou kryptoměny volatilnější (uznávám, že nevím jestli to poslední stále platí).
Případová studie: CSIRT.CZ a statická analýza malware
Na základě upozornění nejmenované hostingové společnosti jsme se dostali k analýze souboru WindowsDefenderService.ini), který aktuálně není rozpoznán žádným z běžných antivirů, a dále souboru (EventManager.dll), jenž rozpoznají pouze tři antivirové systémy. Po prozkoumání obou jsme se rozhodli publikovat tento blogpost, který by měl ostatním pomoci zjistit, zda jejich servery nebyly napadeny; v závěru článku jsou uvedeny IoC, s jejichž využitím by mělo být možné ověřit, zda i vaše servery nebyly kompromitovány.
Od honeypotu k analýze routeru
Vše začalo ve chvíli, kdy nám přišla odpověď na jeden z e-mailů, které jsou automaticky generovány našimi honeypoty v případě detekovaného pokusu o útok, či podezřelého chování. Tato upozornění jsou posílána abuse kontaktům sítě, ze které útok přicházel.