24322
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
В компании IBM X-Force приняли решение о создании XOR, новой команды, которая будет специализироваться на исследованиях в области наступательной безопасности.
И уже приступили к набору специалистов.
Как мы говорили несколько лет назад, разрастающееся под влиянием геополитических процессов сегментирование Интернета не только приведет (что мы уже наблюдаем) к недоступности многих сервисов для пользователей "конкурирующего сегмента", но и неизбежно повлечет возникновение "киберкаперов", сетевых пиратов XXI века с патентом того или иного государства.
Своеобразный licence to cyber kill.
Отчасти, это явление мы уже наблюдаем в лице возникновения множества хактивистских движений, получающих как полное одобрямс со стороны медиа, так и благосклонные кивки головой от инфосек экспертов.
🔐 Best EDR Of The Market (BEOTM).
• Endpoint Detection and Response (EDR) — класс решений для обнаружения и изучения вредоносной активности на конечных точках: подключенных к сети рабочих станциях, серверах, iot и т.д.
• В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. При этом EDR не может полностью заменить антивирусы, поскольку эти две технологии решают разные задачи.
• Если у Вас есть желание потренироваться обходить детекты EDR, то этот репозиторий станет отличным средством: https://github.com/Xacone/BestEdrOfTheMarket
- NT-Level API Hooking;
- Kernel32/Base API Hooking;
- Active Response w/ YARA rules or simple patterns;
- IAT Hooking;
- Threads Call Stack Monitoring (Stacked parameters + Unbacked addresses);
- Heap Regions Analysis;
- Direct Syscalls Detection;
- Indirect Syscalls Detection;
- AMSI/ETW Patching Mitigation.
• А еще в блоге автора есть очень много полезной информации и описание всех техник, которые перечислены выше:
- Часть 1;
- Часть 2.
#EDR
👩💻 Kubernetes Cluster Security - Nuclei Templates v9.9.0.
• Nuclei — очень быстрый сканер уязвимостей с открытым исходным кодом, который можно настроить с помощью шаблонов. Может работать с различными протоколами, такими как: TCP, HTTP, DNS. А еще Nuclei можно настроить под свои нужды, так как сканирование основано на шаблонах, написанных в формате YAML.
• Так вот, в новой версии Nuclei (9.9.0) разработчики добавили темплейты для сканирования Kubernetes кластера и всё подробно описали в своем блоге:
- Deployment Configurations Review;
- Network Policies Enforcement;
- Pod Security Standards;
- Compliance and Configuration Management;
- Security Contexts and Roles;
- Logging and Monitoring;
- Secrets Management;
- Vulnerability Scanning and Patch Management.
➡️ https://blog.projectdiscovery.io/kubernetes/
#Kubernetes #Nuclei
В Колорадо случайно выложили в сеть пароли к системе голосования, на сайте секретаря штата они публично размещались в течение нескольких месяцев, прежде чем их обнаружили и удалили.
Но, как заявили в интервью 9News представители избирательной комиссии штата, эта ошибка никаким образом не представляла непосредственной угрозы предстоящим выборам и вообще нет никаких оснований полагать, что имело место нарушение безопасности.
А Колорадо назвали золотым стандартом безопасности выборов, даже вопреки тому, что в прошлом случались некоторые сбои.
Так, под эту категорию попала секретарь округа Тина Питерс, которая была приговорена к девяти годам лишения свободы за мошенничество с утечкой данных в ходе использования машин для голосования в президентской гонке 2020 года.
Так что, все под контролем✊
Хотите научиться защищать свои системы от кибератак?
🛡Наш вебинар покажет вам, как настроить аудит безопасности в Windows и интегрировать его с SIEM-системами! 🛡
Что вы получите:
Поймете, как злоумышленники атакуют системы Windows.
Научитесь обнаруживать угрозы с помощью аудита.
Узнаете о настройке журналов аудита и дополнительных методах мониторинга.
Получите ценные знания для работы с SIEM-системами.
Этот урок для вас, если вы:
Архитектор ИБ
Инженер SIEM
Архитектор SOC
Руководитель службы ИБ
После урока вы сможете:
Самостоятельно работать с журналами аудита.
Настраивать дополнительные средства мониторинга.
Снизить риски киберугроз для вашей организации.
✅На уроке будут показаны практические примеры настройки аудита. Регистрируйтесь: https://otus.pw/PJUB/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
🗣 Виктор Минин, АРСИБ: Из CTF-движения каждый год вырастают сотни специалистов по обеспечению информационной безопасности
Виктор Минин, Председатель Правления Ассоциации руководителей служб информационной безопасности, рассказал порталу Cyber Media о том, как изменились CTF-соревнования, почему организация соревнований требует большого финансирования, как государство и бизнес относятся к CTF в России.
🗣Внимание, конкурс!
Разыгрываем 7 ваучеров на бесплатное обучение и сертификацию от The Linux Foundation. Ваучеры дают 100% скидку до 31.10.2025 — и мы хотим ими поделиться:
🟣 Каталог электронных курсов и сертификации
Их можно применить к любому:
— онлайн-курсу
— сертификационному экзамену
— или пакету (курс + сертификация)
🤝 CKA, CKS, CKAD и другие — в комплекте!
Условия розыгрыша просты: 🔵 Подпишитесь на KazDevOps и нажмите "участвую" под этим постом.
🚩 14 ноября подведем итоги и выберем 7 победителей. Каждый получит по ваучеру. Активировать ваучеры нужно до 31.10.2025. После этого у вас будет 1 год и 2 попытки, чтобы завершить обучение и/или сдать экзамен.
Go-go-go, и успехов!
#kubernetes #cka #ckad #cks #k8s #linuxfoundation #cncf
@DevOpsKaz 😛
🔑 Смена пароля по графику - устаревшая практика.
• В большинстве IT-системах и различных компаниях распространяется обязательное правило переодической смены паролей. В моей компании необходимо менять пароль 1 раз в 3 месяца. Как Вы считаете, такой подход является правильным? Ведь такая практика вызывает массу неудобств у обычных сотрудников и пользователи каждый раз просто добавляют (или меняют) цифру в конце своего пароля.
• В мае 2019 года даже компания Microsoft убрала требование периодической смены паролей из базового уровня требований безопасности для персональных и серверных версий Windows 10. Об этом можно прочитать вот тут: https://blogs.technet.microsoft.com
Dropping the password-expiration policies that require periodic password changes.
«Периодическое истечение срока действия пароля является защитой только от вероятности того, что пароль (или хэш) будет украден в течение его срока действия и будет использоваться неавторизованным лицом. Если пароль не украден, нет смысла его менять. И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему».
«Если известно, что пароль, вероятно, будет украден, сколько дней является приемлемым периодом времени, чтобы позволить вору использовать этот украденный пароль? Значение по умолчанию — 42 дня. Разве это не кажется смехотворно долгим временем? Действительно, это очень долго, и всё же наш текущий базовый показатель был установлен на 60 дней — а раньше на 90 дней — потому что форсирование частого истечения вводит свои собственные проблемы. И если пароль не обязательно будет украден, то вы приобретаете эти проблемы без пользы. Кроме того, если ваши пользователи готовы обменять пароль на конфетку, никакая политика истечения срока действия паролей не поможет».
Базовые политики безопасности Microsoft предназначены для использования хорошо управляемыми, заботящимися о безопасности предприятиями. Они также призваны служить руководством для аудиторов. Если такая организация внедрила списки запрещённых паролей, многофакторную аутентификацию, обнаружение атак с брутфорсом паролей и обнаружение аномальных попыток входа в систему, требуется ли периодическое истечение срока действия пароля? А если они не внедрили современные средства защиты, то поможет ли им истечение срока действия пароля?
«Периодическое истечение срока действия пароля является древней и устаревшей мерой защиты, и мы не считаем, что для нашего уровня базовой защиты стоит применять какое-либо конкретное значение. Удаляя его из нашего базового уровня, организации могут выбирать то, что наилучшим образом соответствует их предполагаемым потребностям, не противореча нашим рекомендациям».
👩💻 ++ 101 Linux commands.
• Объемная книга (CheatSheet) для изучения командной строки Linux. Материал пригодиться не только начинающим, но и опытным пользователям Linux. Содержание следующее:
• Basics;
- File Hierarchy Standard (FHS);
- Commands;
• Disk and File System Management;
- General Disk Manipulation (non-LVM);
- Globs (Wildcards);
- Regex;
- Stream redirection;
• Text Readers & Editors;
- Less;
- VI;
• User and Group Management;
• File System Permissions;
• SSH;
• Cronjobs;
• Package Management;
- RPM;
- YUM;
• List of commands by category:
- Directory Navigation;
- File Commands;
- File and Directory Manipulation;
- Package archive and compression tools;
- System commands;
- Networking Commands;
- Package Management;
- User Information commands;
- Session commands;
- Getting Help;
- Applications.
#Linux
💸 Деньги — чужие, проблемы – Ваши.
• Автор данной статьи столкнулся с ситуацией, когда на его банковский счет пришла определенная сумма денег от неизвестных отправителей, а затем последовал соответствующий звонок с просьбой вернуть деньги обратно. Что делать в таком случае? Поверить на слово неизвестным людям и отправить деньги в неизвестном направлении? Где гарантия, что через 5 минут не последует звонок от кого-то ещё?
• В общем и целом, в статье описан алгоритм действий автора и несколько полезных ссылок, которые помогут разобраться в случившемся и не попасть в подобную ситуацию. Рекомендую добавить статью в избранное:
➡️ https://habr.com/ru/articles/828632/
#Разное
🕷 Неуловимый баг.
• Случай, о котором пойдет речь, произошел в 2008 году. Во время разработки первой части игры LittleBigPlanet — оригинального паззл-платформера, который должен быть стать эксклюзивом для PlayStation 3 — разработчикам компании пришлось столкнуться с воистину неуловимым багом.
• Обычно для получения «зелёного света» на выпуск игры на консолях требуется пройти сертификацию — выполнить некоторый набор требований, которые устанавливает платформодержатель. Сертификация может предполагать и такие условия, как стабильная работа игры в течение суток без вылетов.
• Процесс разработки LittleBigPlanet практически подошел к концу и оставалось всего две недели до того, как игра должна была «уйти на золото». Внезапно, тестировщик из отдела QA в Японии сообщил о том, что игра стабильно «падает», когда он оставляет ее работать на ночь. Естественно, теперь до исправления бага ни о каком выпуске игры не могло быть и речи.
• Время шло, а команда все никак не могла воспроизвести баг. Несколько дней ушло на то, чтобы удостовериться, что девкиты разработчиков и тестировщиков идентичны – что в них одинаковое «железо», на них стоит одна и та же версия ОС и одинаково настроено окружение. Из-за разницы в часовых поясах, каждая попытка воспроизвести баг занимала более 24 часов, что продолжало накалять обстановку.
• В ходе расследования разработчикам удалось выяснить, что к девкиту тестировщика подключена цифровая камера EyeToy, которая работала в режиме записи аудио — впрочем, особой пользы сам по себе этот факт не принес. Наконец, кто-то заметил странную закономерность: каждый раз игра «падала» в одно и то же время — в 4 утра. Но что же такого могло происходить в Японии в 4 утра?..
• Ответ оказался неожиданным: это были уборщики, добросовестно исполнявшие свой трудовой долг. В игру был встроен голосовой чат – сделано это было для синхронизации губ персонажей с речью, которую игроки могли использовать при кооперативном прохождении игры. В течение того времени, пока велась уборка, возле записывающей звук EyeToy работал пылесос, и при компрессии аудио в игровом чате происходила утечка нескольких байтов памяти — причем возникала она только от «белого шума». Достаточно было просто пылесосить комнату в течение часа, и «креш» был гарантирован.
• Неудивительно, что когда Media Molecule попробовали воспроизвести этот баг в своем офисе при помощи радио, настроенного на «белый шум», у них это сразу же получилось. В итоге, на то, чтобы устранить сам баг, разработчикам понадобилось лишь около пяти минут...
#Разное
🔑 «Пароль неверный». Парольные менеджеры глазами хакера.
• Пароль и безопасность для многих людей могут казаться синонимами. Но когда возникает вопрос о безопасности самих паролей, то непосредственно безопасность выходит на первое место. В конкурентной борьбе вендоры предлагают различные решения, чья надежность на первый взгляд не подлежит сомнению, однако за разрекламированными менеджеры паролей могут скрывать банальные уязвимости, что может сыграть с ними злую шутку.
• Любой из Вас знает, что самое надежное хранилище паролей — это голова. В то же время, большинство программ, требующих авторизации пользователя, предоставляют возможность сохранения пароля в программе для ускорения процесса входа в систему в дальнейшем.
• Разработчики реализуют такой функционал по разному — кто-то хранит пароль в файлах настроек, кто-то в реестре, кто-то в защищенном хранилище Windows (тот же реестр, но доступный лишь пользователю System). Вариантов хранения масса. Впрочем, как и методов кражи паролей из этих мест. К чему это приводит, все понимают. А как происходит такая компрометация — читайте в сегодняшней статье:
➡️ https://habr.com/ru/post/713284/
#Разное #ИБ
👨💻 Веб-маяки на сайтах и в электронной почте.
• Вы когда-нибудь задумывались над тем, по какому принципу нам показывают таргетированную рекламу? Почему, даже ничего не лайкая во время сёрфинга пользователь, возвращаясь в любимую социальную сеть, видит рекламу, связанную с посещёнными им сайтами? И кто заинтересован в том, чтобы отслеживать пользователей?
• Веб маяк («web beacon», или «1x1 pixel image») — это крошечная или прозрачная картинка, которая встраивается в страницу и используется для отслеживания действий пользователей. Такие невидимые маяки могут использоваться не только для веб аналитики, но и для сбора агрегированной информации с целью продажи её сторонним сайтам, для построения социальных графов.
• В этой статье эксперты Лаборатории Касперского расскажут, что такое веб-маяки (web beacons, web bugs, трекинговые пиксели), какие компании, как и для чего используют их на веб-сайтах и в электронной почте.
➡️ https://securelist.ru/web-beacons-on-websites-and-in-email/106703/
#Разное #ИБ
🦜 Parrot OS.
• Дистрибутивов для пентеста множество. Одни популярны, другие — не очень, но все они преследуют цель дать специалистам удобный и надежный инструмент на все случаи жизни. На этот раз мы поговорим об очень красивой и функциональной ОС — Parrot.
• Parrot базируется на Debian и по концепции близок к Kali Linux, но предлагает больше предустановленного ПО для «мирного» повседневного использования. Впрочем, внутри хватает и специализированных утилит: в состав дистрибутива включено больше 600 инструментов для Red и Blue Teaming, сгруппированных в меню по назначению.
• Parrot доступен в виде образов VirtualBox, Parallels и VMware. Также эту ОС можно развернуть в Docker-контейнере. Она поддерживает криминалистический режим, в котором не оставляет следов на хост-системе. Пускай Parrot менее популярна, но не уступает #Kali по удобству использования.
• Стоит отметить, что Parrot OS подходит не только для тестов на проникновение, она может и служить ОС для ежедневного использования тем, кто знает, зачем им это нужно. Ну и в качестве дополнения держите ссылки, которые помогут найти единомышленников или найти нужную документацию по установке:
Полезные ссылки:
- ParrotOS Download Page;
- ParrotOS Mirror List;
- Official ParrotOS Gitlab repo;
- Official ParrotOS Github repo;
- Official ParrotOS SubReddit;
Гайды и документация:
- ParrotOS Installation Guide;
- Dualboot with Windows;
- Fix guide for the Kernel Panic issue;
- ParrotOS Documentation;
- Parrot OpenBooks.
Комьюнити:
- Telegram;
- Facebook;
- Twitter;
- Instagram;
- Discord;
- LinkedIn.
#Разное #ИБ
⚡️Хорошие новости: разыгрываем годовую подписку на «Хакер»
• Всего будет 25 призовых мест, а итоги подведем ровно через неделю (29 октября, в 19:00 московскому времени) с помощью бота, который рандомно выберет победителя.
• Напомним, что участники сообщества Xakep.ru получают несколько материалов в неделю: мануалы по кодингу и взлому, гайды по новым возможностям и эксплоитам, подборки хакерского софта и обзоры веб-сервисов. Не упусти возможность вступить в сообщество и выигрывать 1 из 25 призов.
Для участия нужно:
1. Быть подписанным на наш канал: @xakep_ru
2. Подписаться на канал наших друзей: @it_secur
3. Нажать на кнопку «Участвовать».
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
📚 Бесплатная онлайн книга для пентестеров.
• По ссылке ниже Вы найдете по-настоящему полезную и актуальную информацию для пентестеров. Советы, методы, инструменты, примеры различных техник и множество другой информации, которая поможет Вам в изучении различных аспектов пентеста:
➡ https://book.hacktricks.xyz/
#Пентест
🔸Автоматизация и скрипты на Bash
🔸Широкий набор инструментов: SElinux (AppArmor), iptables/firewalld/(ufw), PAM, SSH, двухфакторная аутентификация
🔸Возможность быстро реагировать на новые угрозы, создавая и внедряя патчи и обновления в открытый исходный код
👨💻 Adaptive DLL Hijacking.
• В операционной системе Windows приложения и службы при запуске ищут DLL, необходимые для их правильного функционирования. Если эти DLL не найдены или их загрузка реализована небезопасным способом (DLL вызываются без использования полного пути), то можно повысить привилегии, заставив приложение загрузить и выполнить вредоносный DLL-файл. В этой статье описаны различные методы, которые можно использовать для перехвата DLL:
- Known DLLs;
- Safe Search;
- What is Export Table;
- How Export Table Cloning Process Work;
- Dynamic IAT patching: Modifying the Import Address Table;
- How Dynamic IAT Patching works?
— Advantages of Dynamic IAT Patching;
— Example Code Snippet (Simplified);
- Siofra;
- DLLSpy;
- Robbers;
- Explanation of module search order;
- Stack walking: Manipulating the call stack;
— Manipulating the Call Stack;
- Run-time table reconstruction: Rebuilding tables during execution;
— Adaptive DLL Hijacking Techniques;
— Advanced Techniques;
- Security Research.
• В качестве дополнительного материала: Perfect DLL Hijacking. Разбор техники.
#ИБ #DLL #RE
🤯 Самая странная ОС: TRON.
• Эта операционная система была задумана доктором Кеном Сакамурой из Токийского университета. TRON (The Real-Time Operating system Nucleus) была задумана кросс-платформенной операционной системой реального времени, способной работать на широчайшем ассортименте различных, прежде всего, встраиваемых и промышленных устройств.
• Проект был основан в 1984 году, и преследовал амбициозную цель: создание идеальной компьютерной архитектуры и сети, способной удовлетворить все потребности общества. Исходный код ядра T-Kernel открыт, и разработчики могут видоизменять его для обеспечения совместимости с различными аппаратными архитектурами.
• Можно было бы предположить, что TRON так и останется экспериментальным проектом группы университетских ученых, однако еще в 90-е эта система (вернее, ее ядро) нашла свое применение во множестве устройств — прежде всего, в автомобильных бортовых компьютерах и промышленных роботах японского производства. Хотя имеются и версии ОС с графическим пользовательским интерфейсом (разумеется, исключительно на японском языке). Отсутствие внятной документации на английском привело к тому, что проект TRON почти неизвестен за пределами Японии, однако на родине он продолжает активно развиваться.
• Дополнительно: cамая странная ОС: Suicide Linux.
#Разное
🫠 Уволенный сотрудник Disney устроил кибератаку на систему меню ресторанов в тематическом парке Walt Disney World.
• Бывший сотрудник Disney Майкл Шойер использовал пароли, которые остались у него после увольнения, и скомпрометировал систему для создания меню и инвентаризации. Шойер неоднократно менял информацию в меню, изменяя цены, добавляя в текст ненормативную лексику, а также «внес несколько изменений, которые угрожали здоровью и безопасности людей», изменив информацию об аллергенах.
• А еще наш герой использовал доступ FTP-серверу, который был предназначен для печати больших меню. На этих баннерах он изменил QR-коды, которые отправляли посетителей на сторонние сайты. Кроме того, Шойер заблокировал доступ к учётным данным минимум 14 сотрудникам Disney, а также хранил папку с личной информацией о домах, номерах телефона и родственниках четырех работников компании. Хуже того, в документах сказано, что Шойер появлялся возле дома одного из них ночью (на фото).
• По итогу Шойера поймали. Слушание по делу назначено на 5 ноября 2024 г. Ему грозит до 10 лет лишения свободы.
➡️ https://storage.courtlistener.com
#Новости
👨🏻💻 Awesome Memory Forensics.
• Главная задача в цифровой криминалистике — сбор информации, а именно — получение образов жестких дисков, оперативной памяти и дампов сетевых соединений.
• Если говорить об анализе RAM, то по такому дампу можно определить, какие приложения запускались во время сеанса, потому что, пока человек не выключил или не перезагрузил ПК, в оперативной памяти хранится вся интересующая нас информация (например, данные процессов).
• Для анализа дампов памяти существует множество инструментов, которые собраны в репозитории: https://github.com/digitalisx/awesome-memory-forensics
• Помимо инструментов, в репозитории можно найти массу информации в виде ссылок на мануалы, видеоматериал, книги, презентации и отчеты.
#Форензика
В США назревает серьезный скандал по поводу китайской APT Salt Typhoon, которая, по мнению национальных спецслужб, причастна к атакам на сети AT&T, Lumen и Verizon.
DHS намерена обратиться в Cyber Safety Review Board (CSRB) с запросом на проверку всех обстоятельств, которые позволили китайцам совершить крупный взлом американских телекоммуникационных компаний и попутно заполучить доступ к системам контроля телефонных переговоров и Интертнет-трафика.
В настоящее время в DHS ожидают окончания расследования ФБР и CISA, в котором наиболее интересная часть будет посвящена участию Salt Typhoon в перехвате звонков Дональда Трампа, Дж.Д. Вэнса, лидера большинства в Сенате Чака Шумера, а также некоторых членов штаба Харрис-Вальца.
Главное в любом расследовании не выйти на самих себя, а по всей видимости - риски такого сценария имеют место быть.
Ведь, согласно недавним разоблачениям китайских партнеров, аналогичная Volt Typhoon оказалась фейком, под флагом которого шпионажем в реальности занималась АНБ США, умело эмулируя «правильную» атрибуцию и привлекая для расследований «ручные» инфосек-компании.
А если это так, то выводы делайте сами.
Уверены, что окончания расследования ФБР и CISA дождутся и в Поднебесной, после чего ознакомят мировую общественность с результатами уже своего.
Но будем посмотреть.
Как разрабатывать и настраивать Grafana Stack для эффективного визуализирования метрик и логов?
🔹Расскажем на открытом уроке «Grafana Stack: закрываем все современные потребности Observability», урок приурочен к курсу «Observability: мониторинг, логирование, трейсинг» от Otus.
Рассмотрим ключевые компоненты Grafana Stack и их роли в Observability.
Настроим интеграции с различными системами для получения актуальных данных.
✅ Практика: Создание настраиваемых дашбордов и алертов, для эффективного управления производительности и надежности сервисов
👉 Регистрация и подробности:
https://otus.pw/bRNC/?erid=LjN8Ka279
#реклама
О рекламодателе
Исследователь SafeBreach Алон Левиев продолжает наседать на Microsoft, которая до сих пор не устранила уязвимости, приводящие к понижению версий компонентов ядра Windows, позволяя обходить проверку подписи драйверов и развернуть руткиты на полностью исправленных системах.
Это реализуется путем взятия под контроль процесса обновления Windows и установки устаревших, уязвимых компонентов ПО на обновленную машину без изменения операционной системой статуса полностью исправленного ПО (CVE-2024-21302 и CVE-2024-38202).
Microsoft опровергла уязвимость, заявив, что она не пересекает определенную границу безопасности, хотя и возможна при получении доступа к выполнению кода ядра от имени администратора.
На конференциях по безопасности BlackHat и DEFCON в этом году Левиев продемонстрировал, что атака осуществима, тем не менее проблема не устранена полностью, что оставляет открытыми возможности для атак с понижением версии/откатом.
Исследователь представил инструмент под названием Windows Downdate, который позволяет создавать пользовательские понижения версии и подвергать, казалось бы, полностью обновленную целевую систему через устаревшие компоненты, такие как библиотеки DLL, драйверы и ядро NT.
Несмотря на то, что безопасность ядра значительно улучшилась за последние годы, Левиеву удалось обойти функцию принудительной подписи драйверов DSE, показав, как злоумышленник может загрузить неподписанные драйверы ядра для развертывания вредоносного руткита.
Исследователь поясняет, что хотя новые меры защиты затрудняют взлом ядра, возможность понижения версии компонентов, находящихся в ядре, значительно упрощает задачу злоумышленникам.
Левиев называет свой метод обходом DSE ItsNotASecurityBoundary, поскольку он представляет собой более раннюю версию одноименного эксплойта, использующего ложные уязвимости неизменности файлов.
В новом исследовании Левиев показал, как злоумышленник с правами администратора на целевом компьютере может использовать процесс обновления Windows, чтобы обойти защиту DSE путем понижения версии компонента, даже на полностью обновленных системах Windows 11.
Атака возможна путем замены ci.dll, файла, отвечающего за реализацию DSE, на неисправленную версию, которая игнорирует подписи драйверов, что по сути обходит защитные проверки Windows.
Кроме того, Левиев также описал возможности отключения или обхода Microsoft Virtualization-based Security (VBS).
VBS обычно использует средства защиты (блокировки UEFI и конфигурации реестра для предотвращения несанкционированных изменений), но их можно отключить, если не настроен максимальный уровень безопасности, выполнив целевое изменение раздела реестра.
При частичном включении ключевые файлы VBS, такие как SecureKernel.exe, могут быть заменены поврежденными версиями, которые нарушают работу VBS и открывают путь для обхода ItsNotASecurityBoundary и замены ci.dll.
Работа Левиева показывает, что атаки с понижением уровня безопасности все еще возможны, даже если для них иногда требуются серьезные привилегии.
Пока одни работают, другие микромягко разрабатывают меры по снижению рисков, но пока безуспешно.
Крутая возможность для:
• специалистов с опытом в IT/ИБ от 1 года
• аналитиков SOC
• начинающих специалистов по DFIR
⚡️Практический курс по цифровой криминалистике и реагированию на инциденты
На курсе вы узнаете:
📎 Что и как нужно собирать в рамках расследования инцидентов: образы дисков, дампы ОЗУ, triage, и в каком порядке
📎 Какие инструменты для этого использовать
📎 Как собирать и исследовать отдельные виды артефактов Windows, Linux, MacOS
📎 Выявлять поверхность кибератаки, выбирать подходящие стратегию и способ реагирования в зависимости от ситуации, проводить атрибуцию атакующих
✅ Авторы и эксперты курса:
1. Мирослава Ульянова — Incident response Team Lead
2. Олег Скулкин — Incident Response expert, head of threat intelligence department
3. Лада Антипова — Incident Response Team Lead
✅ Учим тому, что точно пригодится в работе
✅ Комфортная нагрузка без отрыва от работы
✅ Вечный доступ в чат с экспертами и коллегами
Старт: 9 ноября
→ Смотри программу и записывайся
👨💻 Атака Port Shadow, позволяющая перенаправлять соединения других пользователей VPN и Wi-Fi.
• Группа исследователей из канадских и американских университетов разработала технику атаки Port Shadow, позволяющую через манипуляцию с таблицами трансляции адресов на стороне VPN-сервера добиться отправки ответа на запрос другому пользователю, подключённому к тому же VPN-серверу.
• Метод может быть использован для организации перехвата или перенаправления шифрованного трафика, проведения сканирования портов и деанонимизации пользователей VPN. В качестве примера показано как можно использовать метод для перенаправления на хост атакующего DNS-запросов пользователя, работающего через VPN-сервер, к которому в качестве клиента имеет возможность подключиться атакующий.
➡️ Описание атаки Port Shadow.
➡️ Источник.
#Новости #vpn #wifi
Знаете Linux? А если проверим? 😏
➡️ Заходите в бота и отвечайте на наши вопросы про Linux.
За прохождение теста без ошибок вас ждёт бонус, а если ошибки всё же будут – бот о них расскажет и поможет восполнить знания ⚡️
Прокачайте себя и забирайте свой подарок ЗДЕСЬ. Это бесплатно 🤌
erid: LjN8K5Q4e
Исследователи SentinelOne предупреждают о негативной тенденции, связанной с появлением нового штамме лansomware, созданного на основе кода LockBit и нацеленного на системы macOS, который получил условное наименование macOS.NotLockBit.
Впервые об обнаружении образца на прошлой неделе сообщала Trend Micro. Он имел неплохие возможности блокировки файлов и эксфильтрации данных, маскировался под вымогателя LockBit при успешном шифровании файлов пользователя.
До сих пор угрозы вымогателей для компьютеров Mac были в лучшем случае являлись лишь «доказательством концепции», а в худшем — совершенно неспособными достичь своей очевидной цели.
Несмотря на то, что одна из наиболее близких попыток ранее была предпринята самими LockBit, это последнее открытие, по-видимому, связано с совершенно другим субъектом угрозы, присвоившим себе авторитетное имя.
Исследователи SentinelOne обнаружили пять связанных между собой образцов Mach-O в дополнение к тому, о котором сообщили предыдущие исследователи.
Программа-вымогатель написана на Go и распространяется как двоичный файл x86_64, что означает, что она будет работать только на компьютерах Mac на базе Intel или Apple Silicon с установленным программным обеспечением для эмуляции Rosetta.
При выполнении программа-вымогатель собирает системную информацию с хоста (имя продукта, версию и сборку, сборку архитектуры).
Поиск заголовков Magic в бинарном файле реализует обнаружение встроенного открытого ключа. Это допускает возможность асимметричного шифрования, делая расшифровку невозможной без доступа к закрытому ключу, хранящемуся у злоумышленника.
Вредоносная ПО использует этот встроенный открытый ключ для шифрования случайно сгенерированного главного ключа, который, в свою очередь, используется в последующем процессе шифрования файлов и записывается в README.txt, размещенный в каждой папке с зашифрованными файлами.
После завершения процесса шифрования вредоносная ПО пытается заменить фоновый рисунок рабочего стола баннером LockBit 2.0.
Перед операцией блокировки файла вредоносная ПО пытается извлечь данные пользователя на удаленный сервер. Для этой цели злоумышленник использует облачное хранилище AWS S3 с учетными данными, жестко закодированными в двоичном файле.
Во всех версиях этого вредоносного ПО злоумышленникам в некоторой степени будут мешать средства защиты TCC от Apple. Однако учитывая, что обход TCC является достаточно тривиальным, развитие ПО по этой части, вероятно, будет отражено в будущих версиях.
К настоящему времени вредоносное ПО NotLockBit находится в стадии активной разработки. На данный момент учетные записи злоумышленников AWS удалены, и нет никаких известных жертв или методов распространения.
Тем не менее, как заключили в SentinelOne, учитывая объем работы, который был проделан на данный момент, следует ожидать проявление злоумышленника в краткосрочной или среднесрочной перспективе.
Индикаторы компрометации и технический разбор изученных образцов - в отчете.
Расширить свой стек — легко! ⚡️
Приглашаем инженеров на обучение: Ansible, Golang, CI/CD с Jenkins, Grafana, Keycloak, SRE и еще более 10 востребованных направлений ждут вас в формате видеокурсов в учебном центре Слёрм.
Учёба в Слёрм — это:
✔️ старт в любое время: вы не привязаны к расписанию и проходите курс в комфортном для вас темпе;
✔️ фокус на практику: она занимает около 80% обучения;
✔️ гибкие условия оплаты: рассрочка, налоговый вычет, оплата зарубежной картой и даже оформление оплаты от работодателя;
✔️ передача знаний от ведущих экспертов современного IT рынка.
Цените свое время и приходите осваивать best practices и прокачивать свои навыки вместе с нами!
Подробнее — на сайте 😉
Продолжаем отслеживать наиболее трендовые уязвимости и начнем с «трендовой».
1. Trend Micro выпустила обновление для исправления RCE-уязвимости в своем устройстве безопасности Cloud Edge с CVSS 9,8/10.
CVE-2024-48904 может быть использована неаутентифицированными злоумышленниками для внедрения и запуска команд на устройстве, в связи с чем поставщик попросил клиентов исправить ее как можно скорее.
2. VMware предпринимает вторую попытку для исправления RCE-уязвимости в vCenter Server, обнаруженной еще в июне на Matrix Cup 2024 в КНР.
Как оказалось, исправления vCenter, выпущенные 17 сентября 2024 года, не полной мере устраняли CVE-2024-38812 с CVSS 9,8/10, подробностей по этому поводу поставщик не предоставил.
Уязвимость связана с переполнением кучи в реализации протокола распределенной вычислительной среды/удалённого вызова процедур (DCERPC) в vCenter Server.
Злоумышленник, имеющий сетевой доступ к vCenter Server, может активировать эту уязвимость, отправив специально созданный сетевой пакет, потенциально приводящий к удаленному выполнению кода.
При этом новый патч VCenter Server также устраняет уязвимость CVE-2024-38813 (CVSS 7,5/10), связанную с EoP и также вызываемую отправкой специально созданного сетевого пакета.
3. Разработчики античит-системы BattlEye сообщают о нейтрализации эксплойта, который позволял злоумышленникам банить аккаунты других игроков.
Уязвимость затронула сразу несколько игр, включая PvP-игры, такие как PUBG, Rainbow Six Siege и Escape from Tarkov.
Команда проекта сейчас работает совместно с производителями игр над аннулированием «кривых» банов.
При этом ошибка BattlEye была раскрыта на следующий день после того, как Activision исправила аналогичный баг в античите Call of Duty.
4. Atlassian выпустила исправления для уязвимостей высокой степени серьезности в Bitbucket, Confluence и Jira Service Management.
Обновления Bitbucket Data Center и Server устраняют уязвимость серьезную CVE-2024-21147 в Java Runtime Environment (JRE), которая может привести к несанкционированному доступу к критически важным данным и их изменению.
Обновления Confluence Data Center и Server затрагивают четыре серьезные проблемы, в том числе две в библиотеке дат JavaScript Moment.js, которые были публично раскрыты в 2022 году.
CVE-2022-24785 и CVE-2022-31129 описываются как уязвимости обхода пути и ReDoS, которые можно эксплуатировать без аутентификации.
Компания также анонсировала исправления для CVE-2024-4367, ошибки XSS, которая может позволить аутентифицированным злоумышленникам выполнить произвольный код HTML или JavaScript в браузере пользователя, а также для CVE-2024-29131, уязвимости Apache Commons Configuration, которая может привести к DoS.
Обновления для Jira Service Management Data Center и Server устраняют CVE-2024-7254 - проблему переполнения буфера Protobuf, которая может позволить злоумышленникам повлиять на доступность сервиса.
Данных об эксплуатации в реальных условиях не получено, во всяком случае пока.