s_e_book | Unsorted

Telegram-канал s_e_book - S.E.Book

24322

Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo

Subscribe to a channel

S.E.Book

👨‍💻 Кибератака на ядерный реактор: как взломать и разрушить АЭС за 49 минут.

Поздний сентябрьский вечер 2023 года. Вы лениво листаете eBay. Среди обычного барахла попадается странное железо — тяжелые промышленные модули. На платах красуются логотипы Siemens и AREVA. Описание скудное, но профессиональное, цена удивительно доступная.

Перед вами компоненты системы Teleperm XS — цифровой платформы управления ядерными реакторами. Прямо сейчас такое оборудование управляет безопасностью АЭС по всему миру.

Независимый security-исследователь Рубен Сантамарта двадцать лет взламывает всё подряд — от спутниковых терминалов до систем голосования. Увидев эти лоты, он не смог пройти мимо. Купил компоненты и задался вопросом: что будет, если злоумышленник доберется до «мозгов» реактора?

Сегодня мы пройдем его путь и смоделируем реалистичную кибератаку. Сценарий «Кибер Три-Майл-Айленд» (крупнейшая авария в истории коммерческой атомной энергетики США), который, по расчетам Сантамарты, за 49 минут приводит к расплавлению активной зоны реактора.
Путешествие в сердце ядерного реактора начинается.


Ребята из Бастион опубликовали на хабре интересную статью, которая является кратким пересказом одного из исследований безопасности ядерных систем. Важно понимать: описанный сценарий — это теоретическая модель в идеальных для атакующего условиях. В реальности вероятность успеха такой операции крайне низка. Однако, материал является максимально интересным и будет полезен ИБ специалистам:

Читать статью [15 min].

Если вам интересна данная тема, то оригинальную версию исследования можно найти тут. Материал включает в себя 138 страниц информации.

#Пентест

Читать полностью…

S.E.Book

Зацените какая красота (смотреть со звуком). Если честно, то я не совсем понимаю, для чего сделали Reset всей стойки с задержкой включения каждой из ячеек. Могу только предположить, что это сделано для того, чтобы избежать резкой нагрузки на электрику (но это не точно).

P.S. Если кому интересно "что это", то вот ответ: эта система называется "FUYL Tower Smart Locker" и она представляет из себя целую стойку умных ячеек для автоматизации управления, выдачи и возврата устройств, таких как ноутбуки, планшеты и т.д. Там есть доступ через метки RFID, пин-код, система логирования (кто вернул устройство, а кто нет) и еще куча разных фишек. Подробнее вот тут: https://www.lockncharge.com

#Оффтоп #Разное

Читать полностью…

S.E.Book

Мало кто вспомнит, но в 2004 году произошла настоящая эпидемия сетевого червя Sasser. Этот вирус наделал немало шума и вреда в финансовом эквиваленте, хотя изначально не имел такой цели.

Червь распространялся, используя уязвимость в службе LSASS Microsoft Windows, при этом не требовал никаких действий со стороны жертвы для активации.

Вирус создавал FTP сервер на порту 5554 для своего распространения. На диске С червь создавал файл под рутом с именем win.log, который содержал IP адрес компьютера, который червь пытался заразить в последнее время. Также червь использовал Windows API для проверки IP адреса системы, чтобы в дальнейшем на его основе сгенерировать новый адрес. в 25% случаев первые 2 цифры сгенерированного адреса совпадают с хостом, когда последние 2 случайны. Есть вероятность в 23%, что только первая цифра будет совпадать, и вероятность в 52%, что сгенерированный IP будет абсолютно случаен. Процесс выбора случайного адреса использует 128 потоков, что может значительно ухудшить производительность зараженной машины.

Также малварь создает скрипт (cmd.ftp) в системе машины-жертвы, который «заставляет» ее скачивать червя из инфицированного ftp-сервера. После того, как скачивание завершено, скрипт удаляется.

В результате своего распространения Sasser парализовал работу миллионов компьютеров по всему миру, от него пострадали тысячи крупных и мелких компаний, университеты, государственные учреждения. Некоторые авиакомпании отложили или даже отменили рейсы (British Airways, Delta Air Lines), прекратили работу несколько банков (Goldman Sachs и Westpac Bank), а финский банк Samp закрыл все 130 своих отделений в качестве профилактической меры. На Тайване червь парализовал работу технической выставки Computex и трети почтовых отделений, в Гонконге оставил без компьютеров государственные больницы, остановил железную дорогу Австралии.

Исходом работы червя была постоянная перезагрузка компьютера с выводом на экран ошибок процесса lsass.exe. Однако этого хватило, чтобы многие компании понесли огромные потери. В общей сложности ущерб от вируса составил примерно 18 миллиардов долларов. Всего заражено было около 250 000 машин.

Автором этого червя оказался 17-летний немецкий хакер Свен Яшан. Он был вычислен и задержан в мае 2004 года с помощью информаторов. За его поимку компания Microsoft объявила материальное вознаграждение в размере 250 тысяч долларов. В июле 2005 года суд города Фердена признал Яшана виновным в манипулировании данными, компьютерном саботаже и проникновении в корпоративные сети. Хакера приговорили к 1 году и 9 месяцам лишения свободы условно с испытательным сроком 3 года, включая 30 часов общественных работ на время испытательного срока. Несмотря на огромный экономический ущерб от распространения червя, факт корыстной заинтересованности Свена доказан не был; судьи посчитали, что он действовал лишь в целях самовыражения.

#Разное

Читать полностью…

S.E.Book

Альфа-Банк собирает хакеров на соревнования — среди лучших спецов разыгрывают 3 100 000 рублей. В этот раз участвовать могут и школьники — победителям этого трека банк оплатит поездку на научную конференцию.

Такие турниры — хорошая строчка в резюме: участие поможет при трудоустройстве. Соревноваться можно из любой точки мира, нужно только зарегистрироваться до 25 апреля.

Регистрация

Читать полностью…

S.E.Book

• Когда пытаешься зайти в BIOS:

#Юмор

Читать полностью…

S.E.Book

Вы совершаете эту ошибку, если закупаете сервер и серверные комплектующие "по старинке".

Наши инженеры разобрали реальные кейсы и показали,
где именно сейчас теряются деньги в серверных проектах — ПРОЧИТАТЬ РАЗБОР

Реклама. ООО "ИТЕЛОН". ИНН 7701527528. erid: 2W5zFGUg1uK

Читать полностью…

S.E.Book

• Немного оффтопа: в 1914 году владельцы канадского банка Dominion Bank, занимавшиеся кредитованием строительства железных дорог и промышленности, заканчивали строительство двенадцатиэтажного здания в центре Торонто. Главной его особенностью было подземное хранилище. По задумке один его вид должен был внушать клиентам мысль о невероятной надежности банка. Ход, скорее, был маркетинговый, но делали все по-настоящему.

Визитной карточкой хранилища стала дверь (на фото) весом, по разным источникам, от 40 до 44 тонн, что ставит ее на первое место среди всех дверей для банковских хранилищ!

Изготовлением двери занимался известный инженер Фредерик Холмс, сотрудничавший с компаниями, специализировавшимися на строительстве именно таких объектов.

Вызывал любопытство процесс транспортировки двери до построенного хранилища. Сохранился ряд фотографий (выше) с улиц Торонто, где специально построенную телегу с дверной рамой тянут 19 лошадей. По всей видимости ее перевозили в частично разобранном виде и дособирали уже на месте.

Сама дверь имела круглую форму и толщину 1 метр 37 см. Ее 44 тонны веса крепились на двух петлях, снабженных несколькими мощными шариковыми и роликовыми подшипниками.

Вес двери одновременно использовался в качестве дополнительной защиты, поскольку в закрытом положении дверь переносила 15 тонн из своей общей нагрузки с петель на нижнюю часть рамы.

А еще там был окуляр кодового замка и небольшое колесо, управляющее выдвижением запорных засовов внутри двери.

Открытие и закрытие двери происходило по определенным алгоритмам. В первом случае нужно было дождаться разблокировки часового замка; затем сотрудники опускали пол перед дверью; правильно ввести комбинацию на кодовом замке и с помощью колеса задвинуть дверные засовы; колесом на двери снять давление, создаваемое дверью на раму; открыть дверь за рукоятки и пристегнуть ее к стене; поднять платформу с полом и опустить переходной мостик.

Закрытие шло в обратной последовательности, но первым пунктом добавлялась установка времени на часовом замке, а также задвижка в корпус двери штифтов управления засовами. Финальный аккорд – установка кодовой комбинации, которую в банке знали лишь два человека.

Банк проработал в этом здании до 2000 года, после чего было принято решение о его реконструкции и открытии большого люксового отеля. Хранилище переделали в один из ресторанных залов, который можно арендовать для частных вечеринок, а дверь стала оригинальным элементом декора. Такая вот история...

#Оффтоп #Разное

Читать полностью…

S.E.Book

Злоумышленники используют три недавно раскрытые уязвимости Windows для проведения атак, направленных на получение прав доступа к системе (SYSTEM) или повышенных прав администратора.

С начала месяца исследователь Chaotic Eclipse (Nightmare-Eclipse) выкатил PoC для всех трех уязвимостей в знак протеста против того, как Центр реагирования на инциденты безопасности Microsoft (MSRC) обработал процесс раскрытия информации.

Две из этих уязвимостей (получивших названия BlueHammer и RedSun) представляют собой LPE-уязвимости в Microsoft Defender, а третья (UnDefend) может быть использована обычным пользователем для блокировки обновлений определений Microsoft Defender.

На момент раскрытия уязвимости безопасности, на которые были нацелены эти эксплойты, считались 0-day согласно определению Microsoft, поскольку для их устранения не существовало официальных исправлений или обновлений.

В четверг исследователи из Huntress Labs сообщили об детектировании всех трех 0-day в реальных условиях, при этом уязвимость BlueHammer используется уже с 10 апреля.

Они также обнаружили эксплойты UnDefend и RedSun на устройстве под управлением Windows, взломанном с использованием скомпрометированного пользователя SSLVPN, в атаках, демонстрирующих признаки «активности злоумышленников, непосредственно работающих с клавиатурой».

В общем, как отметили в Центре оперативного управления Huntress, им удалось отследить признаки использования всех методов эксплуатации BlueHammer, RedSun и UnDefend, разработанных Nightmare-Eclipse.

Microsoft в настоящее время отслеживает уязвимость BlueHammer как CVE-2026-33825 и устранила её в обновлениях за апрель 2026 года, две другие уязвимости остаются незакрытыми.

Как сообщалось ранее, злоумышленники могут использовать RedSun для получения привилегий SYSTEM в системах Windows 10, Windows 11 и Windows Server 2019 и более поздних версиях при включенном Windows Defender, даже после установки апрельского Patch Tuesday.

Когда Windows Defender обнаруживает, что вредоносный файл имеет метку «облако», по какой-то глупой и нелепой причине антивирус, который должен защищать, решает просто перезаписать найденный файл в его исходное местоположение.

В вышедших PoC это поведение используется для перезаписи системных файлов и получения административных привилегий.

Microsoft заверяет клиентов, что намерена расследовать все сообщения о проблемах и как можно скорее обновить затронутые устройства для защиты пользователей. Впрочем, зная микромягких, удивляться нечему - работа над ошибками начинается с хорошего пинка. Будем следить.

Читать полностью…

S.E.Book

Вот вам немного занимательного оффтопа: Рэймонд Чен, инженер‑ветеран Microsoft, более трёх десятилетий участвующий в развитии Windows, с 2003 года ведёт популярный технический блог The Old New Thing. Чен регулярно публикует в нём короткие истории о внутренней кухне Windows.

На этот раз он объяснил, почему Microsoft перешла на обозначения «H1» и «H2» в названиях полугодовых релизов Windows. Если честно, то я никогда даже не задумывался на эту тему...

Наверняка вы понимаете, что «H» означает «half» (половина). Однако до 2019 года обновления называли «весенними» и «осенними», к примеру 2017 Fall Creators Update или 2018 Spring Update. Зачем было менять?

А всё дело в том, что не везде сначала идёт весна, а затем осень. В Южном полушарии Земли всё наоборот, не так, как у нас: в декабре начинается лето, в марте — осень, ну а в июне будет зима, за которой следует весенний сезон с сентября по ноябрь. Поэтому сразу возникает вопрос: «весеннее обновление» — это когда?

Это очень базовый географический факт, но вопрос вообще интересный. Если задуматься, то вся основная современная цивилизация развилась именно в Северном полушарии — отсюда и нормы речи. Более того, про южнополушарцев легко забыть и без этого: там живёт всего 10–12 % мирового населения, поскольку там меньше пятой части суши, и значительную площадь занимают океаны.

В Microsoft про такие базовые соображения о географии вспомнили далеко не сразу. На одном из общекорпоративных собраний топ-менеджер задал вопрос о возможных бессознательных предубеждениях. Один из коллег Чена поднял руку. Имя Рэймонд не приводит, но замечает, что этот сотрудник вырос в Южном полушарии Земли. Разработчик озвучил факт о северополушарной предвзятости.

«Сезонные» названия заменили на нейтральные «H1» и «H2» уже на следующий день.

➡️ https://devblogs.microsoft.com/oldnewthing

#Оффтоп #Разное #Windows

Читать полностью…

S.E.Book

Обратите внимание на сервис с бесплатными лабораторными работами по работе с Wireshark. По ссылке ниже вы найдете полностью интерактивные лаборатории, разработанные для более быстрого и эффективного обучения. Даже есть ИИ помощник, если возникнут трудности с выполнением заданий.

➡️ https://labex.io/free-labs/wireshark

В качестве дополнения напоминаю, что в канале есть много полезного материала для изучения данного инструмента:

Полный курс по WireShark [1], [2], [3];
Бесплатный курс: Компьютерные сети 2025;
Руководство: Анализ трафика сети посредством Wireshark;
Полный список фильтров Wireshark.
Статья: Wireshark. Лайфхаки на каждый день;
Статья: Практические приёмы работы в Wireshark;
Mindmap: Wireshark.

#Wireshark

Читать полностью…

S.E.Book

Как нам подсказали подписчики, исследователи из Лаборатории Касперского разобрались в кейсе с компрометацией веб-сайта cpuid[.]com, на котором размещались установщики популярных ПО для администрирования систем CPU-Z, HWMonitor (и Pro) и Perfmonitor 2.

В ЛК обнаружили, что примерно с 9 апреля, 15:00 UTC, до 10 апреля, 10:00 UTC, легитимные URL для загрузки установщиков этого ПО были заменены URL-адресами на следующие вредоносные веб-сайты: cahayailmukreatif.web[.]id, pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev, transitopalermo[.]com и vatrobran[.]hr.

Злоумышленники распространяли вредоносные дистрибутивы различного популярного ПО для администрирования систем через cpuid[.]com, включая: CPU-Z (версия 2.19), HWMonitor Pro (версия 1.57), HWMonitor (версия 1.63) и PerfMonitor (версия 2.04).

Вирус распространялся как в виде ZIP-архивов, так и в виде отдельных установщиков. Файлы содержат легитимный подписанный исполняемый файл для соответствующего продукта и вредоносную DLL-библиотеку CRYPTBASE.dll, созданную с использованием метода боковой загрузки DLL.

Вредоносная DLL отвечает за подключение к C2 и дальнейшее выполнение полезной нагрузки. Перед этим она также выполняет ряд проверок на предмет соответствия требованиям песочницы, и если все проверки пройдены, она подключается к серверу C2.

Примечательно, что злоумышленники повторно использовали как адрес C2, так и конфигурацию подключения из кампании марта 2026 года, где они разместили фейковый сайт FileZilla, распространяющий вредоносные файлы.

Загрузчик также содержит огромный массив MAC-адресов (представленных в виде строк), которые впоследствии формируют полезную нагрузку следующего этапа путем преобразования шестнадцатеричных символов в MAC-адресах в их байтовые значения. После набора вспомогательных загрузчиков цепочка выполнения приводит к созданию сложной системы RAT.

Однако RAT на заключительном этапе не является чем-то новым. Злоумышленник решил повторно использовать так называемый STX RAT, о котором сообщала Esentire, тем самым совершив еще одну ошибку.

Как отмечают в ЛК, заключительный этап полностью обнаруживается правилами YARA, представленными у eSentire. Злоумышленники приложили усилия для взлома популярного сайта с ПО, но не смогли избежать обнаружения с помощью известных индикаторов взлома.

Согласно телеметрии ЛК, выявлено более 150 пострадавших, в основном - частные лица. Однако заразились и организаций различных секторов, включая торговлю, производство, консалтинг, телеком и сельское хозяйство. Большинство заражений - в Бразилии, России и Китае.

По сравнению с другими недавними атаками типа watering hole и атаками на цепочки поставок, как в случае с Notepad++, атака на cpuid[.]com была организована крайне плохо.

Самая серьёзная ошибка злоумышленников заключалась в повторном использовании той же цепочки заражения с использованием STX RAT и тех же доменных имён для связи C2, что и в предыдущей атаке, связанной с поддельными установщиками FileZilla.

Общий уровень разработки/развертывания вредоносного ПО и OpSec злоумышленников довольно низок, что, в свою очередь, позволило обнаружить компрометацию на ранней стадии.

Индикаторы компрометации и рекомендации - в отчете.

Читать полностью…

S.E.Book

• Пост выходного дня: Вы знали, что при прослушивании определенной музыкальной композиции, некоторые жесткие диски могли выйти из строя? Такая уязвимость даже получила свой номер - CVE-2022-38392.

В описании уязвимости указано, что запуск на ноутбуке с жёстким диском OEM производителя, работающим на скорости 5400 об/мин, воспроизведения видеоклипа с песней Джанет Джексон «Rhythm Nation» может привести к аварийному завершению сеанса или отключению системы из-за сбоев в работе жёсткого диска, связанных с возникающим резонансом при проигрывании звуков клипа определённых частот. Причём атаку на резонансной частоте с помощью звуков из музыкального видео Джанет можно провести удалённо с физически находящегося поблизости воспроизводящего устройства.

Примерно в 2005 году данную проблему обнаружил при тестировании один из крупных производителей ноутбуков в своей лаборатории. Также в ходе опытов выяснилось, что некоторые ноутбуки других вендоров начинали тормозить или выходить из строя, если на них не запускался ролик, но они находились рядом с устройством, которое воспроизводило клип «Rhythm Nation».

Расследование этой нештатной ситуации показало, что проблема действительно возникла из-за некоторых звуков из песни. Жёсткие диски в недорогих ноутбуках, работающие на скорости 5400 об/мин, начинали резонировать и ломаться.

Эксперты считают, что обычно недорогие жёсткие диски для ноутбуков вибрируют в диапазоне частот 5 кГц, также в них иногда наблюдаются определённые пики на частотах 12,5 Гц, 87,5 Гц, 1100 Гц, 1450 Гц, 1700 Гц и 1850 Гц. Пример есть в инструкции с параметрами вибрации и частоты от Hitachi.

Производители ноутбуков решили эту проблему простым способом. Разработчики добавили в драйвер аудиокодека специальный фильтр, который обнаруживал и удалял нежелательные частоты во время воспроизведения таких звуков. Такие вот дела...

➡️ https://youtu.be/OAwaNWGLM0c

#Разное

Читать полностью…

S.E.Book

Федеральное бюро расследований США смогли получить копии входящих сообщений Signal с iPhone пользователя, который удалил мессенжер со смартфона - копии содержимого переписки сохранились в архиве push-уведомлений устройства. Об этом сообщило издание 404 Media со ссылкой на несколько источников, которые присутствовали во время дачи показаний на судебном процессе.

Дело касалось группы людей, которые в июле прошлого года запускали фейерверки и повредили имущество в центре содержания иммиграционной полиции ICE Prairieland в городе Альварадо, штат Техас. Один из обвиняемых ранил в шею полицейского.

В Signal есть настройка, которая блокирует отображение содержимого сообщений в push-уведомлениях. Однако если настройки в Signal конкретно на iPhone позволяют отображать уведомления и превью сообщений на экране блокировки, то устройство сохраняет их во внутренней памяти, рассказал сторонник обвиняемых.

В 404 Media считают, что эта уязвимость затрагивает любые мессенджеры, а не только Signal. Проблема заключается в том, как Apple обрабатывает push-уведомления.

➡️ https://www.404media.co/signal

#Новости

Читать полностью…

S.E.Book

Defiant предупреждает о начале массированных атак, нацеленных на критическую уязвимость в платном дополнении Ninja Forms File Uploads для WordPress, которая позволяет загружать произвольные файлы без аутентификации, что может привести к удаленному выполнению кода.

По данным компании, ее межсетевой экран Wordfence заблокировал более 3600 атак на CVE-2026-0740 за последние 24 часа.

Ninja Forms - популярный конструктор форм для WordPress с более чем 600 тыс. загрузками, который позволяет пользователям создавать формы без программирования, используя простой интерфейс перетаскивания. Расширение для загрузки файлов в том же пакете, обслуживает более 90 тыс. клиентов.

CVE-2026-0740 имеет критическую оценку CVSS 9,8 из 10 и затрагивает все версии Ninja Forms File Upload до 3.3.26 включительно.

По данным Wordfence, уязвимость вызвана отсутствием проверки типов/расширений файлов в целевом имени файла, что позволяет неавторизованному злоумышленнику загружать произвольные файлы, включая PHP-скрипты, а также манипулировать именами файлов для осуществления обхода пути.

В уязвимой версии функция не включает в себя проверку типа файла или расширения имени целевого файла перед операцией перемещения, что позволяет загружать не только безопасные файлы, но и файлы с расширением .php.

Поскольку проверка имен файлов не используется, вредоносный параметр также облегчает обход путей, позволяя переместить файл даже в корневой каталог веб-сервера.

Все это позволяет неавторизованным злоумышленникам загружать произвольный вредоносный PHP-код, а затем получать доступ к файлу для запуска удаленного выполнения кода на сервере.

Возможные последствия эксплуатации могут быть катастрофическими, включая развертывание веб-оболочек и полный захват сайта.

Уязвимость была обнаружена исследователем Селимом Лануаром (whattheslime), который 8 января отправил по ней отчет в программу вознаграждения за обнаружение ошибок Wordfence.

После проверки Wordfence в тот же день предоставила поставщику полную информацию и внедрила временные меры защиты с помощью правил брандмауэра для своих клиентов.

После проверки патчей и частичного исправления 10 февраля, производитель выпустил полное исправление в версии 3.3.27, доступной с 19 марта.

Учитывая, что Wordfence теперь ежедневно фиксирует тысячи попыток взлома, пользователям Ninja Forms File Upload настоятельно рекомендуется обновиться до последней версии.

Читать полностью…

S.E.Book

• Когда сказал начальнику, что тебе нужен специальный стол для работы стоя.

#Юмор

Читать полностью…

S.E.Book

Ну, во-первых, это красиво.... а во-вторых, надежно и безопасно!!!

#Юмор

Читать полностью…

S.E.Book

И еще одна новая атака на цепочку поставок, нацеленная на экосистему Node Package Manager (npm), нацеленная на кражу учетных данных разработчиков и распространение вредоносного кода через пакеты, опубликованные с скомпрометированных учетных записей.

Угрозу обнаружили исследователи Socket и StepSecurity сразу в нескольких пакетах от Namastex Labs, компании, предоставляющей решения на основе ИИ для повышения прибыльности.

Socket отметила, что методы, используемые для кражи учетных данных, утечки и самораспространения, схожи с атаками CanisterWorm, проводимыми TeamPCP, но имеющиеся доказательства не позволяют с уверенностью установить их авторство.

По данным Socket, в результате атаки уже были скомпрометированы 16 пакетов Namastex: automagik/genie (4.260421.33-4.260421.39), pgserve (1.1.11–1.1.13), @fairwords/websocket (1.0.38-1.0.39), fairwords/loopback-connector-es (1.4.3-1.4.4), openwebconcept/theme-owc@1.0.3 и openwebconcept/design-tokens@1.0.3.

Они используются в инструментах для агентов ИИ и в работе с базами данных, поэтому атака нацелена на важные конечные точки, а не на массовое заражение. Однако из-за своей червеобразной структуры, при соблюдении определенных условий, распространение может происходить быстро.

Исследователи обнаружили, что внедренный вредоносный код собирает конфиденциальные данные, связанные с различными секретами, такими как токены, ключи API, ключи SSH, учетные данные для облачных сервисов, систем CI/CD, реестров и платформ LLM, а также конфигурации Kubernetes/Docket.

Кроме того, программа пытается извлечь конфиденциальные данные Chrome и Firefox, включая данные криптовалютных кошельков, таких как MetaMask, Exodus, Atomic Wallet и Phantom.

В свою очередь, в StepSecurity утверждают, что вредоносное ПО представляет собой «червя цепочки поставок», который может находить токены для публикации в npm и внедряться «в каждый пакет, который может быть опубликован с помощью этого токена.

Вредоносные версии pgserve были впервые опубликованы 21 апреля в 22:14 UTC, и в тот же день последовали еще две вредоносные версии.

Если токены публикации обнаружены в скомпрометированной системе в переменных окружения или в конфигурационном файле ~/.npmrc, вредоносный скрипт определяет пакеты, которые жертва может публиковать, добавляет полезную нагрузку и повторно публикует их в npm с увеличенным номером версии.

Недавно зараженные пакеты при установке выполняют тот же процесс, что и предыдущие, обеспечивая рекурсивное распространение.

Исследователи отметили, что, в случае обнаружения учетных данных PyPI система применяет аналогичный метод к пакетам Python, используя полезную нагрузку на основе файлов .pth, что делает эту атаку многоэкосистемной.

Разработчикам следует рассматривать все указанные версии пакетов как вредоносные.

Socket и StepSecurity предоставили соответствующие IOCs, рекомендуя где обнаружены затронутые пакеты, удалить их из систем разработки и CI/CD, ротировать все учетные данные и секретные данные, а также поискать внутренние зеркала пакетов, артефакты и кэши.

Socket также рекомендует проверять наличие связанных пакетов с тем же файлом public.pem, тем же хостом веб-перехватчика или тем же шаблоном postinstall.

Читать полностью…

S.E.Book

👩‍💻 Не совсем по теме, но будет полезно: еще в начале 2025 года в блоге у Oracle появилась статья, которая описывает ряд инструментов, скриптов и конфигураций, предназначенных для анализа производительности и работы Linux. Думаю, что эта подборка окажется весьма полезной, если вы используете Linux в работе и решаете определенные задачи в части администрирования:

➡️ https://blogs.oracle.com/oracle-linux

Помимо общей статьи в блоге, где присутствует только краткое описание, на сайте oracle есть отдельные мануалы для каждого инструмента:

memstate – анализирует использование памяти в системе. Весьма полезно для выявления возможных утечек памяти.
kstack – тулза для диагностики зависших процессов в системе.
scripts – набор скриптов, предназначенных для отладки специфических проблем. К примеру, диагностики сетевых соединений.
syswatch – выполняет пользовательские команды при достижении определённого уровня загрузки CPU. Отличная тулза для диагностики скачков потребления CPU в системе.
scanfs – проверяет образы дисков KVM на предмет повреждений файловых систем без необходимости останавливать виртуальные машины.

➡️ https://github.com/oracle/oled-tools

Нужно отметить, что этот софт был предназначен для внутренних нужд Oracle, но их решили сделать доступными для сообщества!

#Tools #Linux

Читать полностью…

S.E.Book

Исследователи F6 и Positive Technologies выкатили отчеты по результатам отслеживания активности PhantomCore, которая является одной из наиболее активных групп на российском ландшафте угроз.

Как отмечает в F6, впервые ее обнаружили её в 2024 году, а позднее выяснили, что самые ранние атаки группировка провела в 2022 году. Группа атакует государственные и частные организации широкого круга отраслей, специализируясь на кибершпионаже и краже конфиденциальных данных. 

Одна из главных особенностей эволюции PhantomCore – её постоянная адаптивность: АРТ быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки вредоносного ПО до атакуемых организаций.

В 2022 году главной целью злоумышленников были кража, повреждение и уничтожение данных. В 2024 году они переключились на шифрование инфраструктур атакованных компаний и получение финансовой выгоды.

Отличительная черта PhantomCore – использование как общедоступных инструментов (Velociraptor, Memprocfs, Dokan, DumpIt), так и собственных разработок (MacTunnelRAT, PhantomSscp, PhantomProxyLite).

Причём, судя по количеству самописных программ, а также по количеству атак на российские и белорусские компании, команда разработчиков этой киберпреступной группы постоянно ищет новые решения, совершенствует свои инструменты и внимательно следит за новыми уязвимостями.

Одна из таких собственных разработок – KermitRAT, получивший название по причине использования аналогичных подстрок в именах файлов, используемых программой.

Это новая малварь от PhantomCore, которая впервые задетектировалась специалистами F6 в начале апреля 2026 года. Функциональные возможности включают:

- использование различных способов выполнения команд на зараженной системе (скрытый; выполнение PowerShell/cmd; с записью результата в файл и последующей его выгрузкой);

- создание и эксфильтрация снимков экрана;

- хищение файлов по полученному от сервера шаблону;

- определение и перехват нажатия клавиш жертвой с дальнейшей их записью и эксфильтрации на сервер;

- сбор подробной информации о зараженной системе, включая сетевую инфраструктуру, сведения о логических дисках, количество пользователей, информацию о процессах и сервисах, наличие антивирусного ПО, установленном ПО и так далее.

В своем отчете F6 на примере новой атаки PhantomCore на российскую компанию исследователи рассказали про развитие инструментария и TTPs, внедрение нового ПО и расширение спектра используемых технологий, включая AI-решения, для повышения эффективности атак.

В свою очередь, Позитивы в результате расследования выявили широкомасштабную кампанию кибершпионажа и возможный раскол APT‑группировки PhantomCore.

При этом отметили, что в рассматриваемый период группа активно атаковала организации, использующие сервер видеоконференцсвязи TrueConf, и, помимо этого, продолжает использовать фишинг для получения первоначального доступа.

Для перемещения внутри периметра злоумышленники преимущественно используют WinRM, а для закрепления - обратный SSH‑туннель, для этого они доставляют на Windows‑машины собственный установщик ssh.msi.

В качестве имен серверов управления выбираются доменные имена из зоны space и online, мимикрируя под различное легитимное ПО.

PhantomCore активно ищет уязвимости в отечественном ПО, разрабатывает эксплойты и тем самым получает возможность проникать в большое количество российских компаний.

Подробности исследования сетевой инфраструктуры атакующих и атрибуции, TTPs и IOCs - в отчетах F6 и Positive Technologies (здесь и здесь соответственно).

Читать полностью…

S.E.Book

• Знаете какой вирус был самым распространенным в 90-е годы? Он назывался OneHalf, а его активность в основном перепала на 1994 год!

• Тут нужно отметить, что этот вирус появился на компьютерах под MS-DOS. И он до сих пор может прятаться на некоторых древних машинах. Основной принцип OneHalf — не проявлять себя, пока не заразишь половину жёсткого диска. Именно отсюда и название «Одна половина». Как ему это удавалось и почему антивирусы его не замечали?

• Ну, во-первых, все заражённые файлы шифровались и становились длиннее на 3544 байта — в этом «хвосте» хранились случайно сгенерированный ключ и дешифратор. Каждый раз, когда пользователь обращался к файлу, вирус на лету декодировал его, а сам оставался незамеченным — следов его работы не было видно. Данные в файле шифровались побитовыми операциями исключающего «или» (XOR), которые затем в реальном времени расшифровывались вирусом по тому же алгоритму.

Во-вторых, OneHalf перехватывал контроль над операционной системой, подменял MBR на поддельный и отображал зашифрованные файлы так, как будто их размер не изменился. Потому антивирусы и не могли заметить ничего необычного. Даже размер свободной оперативной памяти показывался без учёта нагрузки от вируса — как будто он вообще её не использовал.

• Как думаете, зачем OneHalf скрывал занятые собой пару килобайт ОЗУ. Дело в том, что в те времена все боролись за каждый килобайт, потому что максимальный объём оперативки был всего 640 КБ, и этого не хватало на всё. Например, перед запуском игры приходилось загружать в оперативку звуковой драйвер и драйвер мыши вместо драйверов CD-ROM и клавиатуры. Это уже потом в MS-DOS появился himem.sys внутри config.sys, который позволял использовать больше 640 КБ памяти.

• Если вы даже заметите вирус и захотите его удалить, то пропадут все зашифрованные файлы, потому что вместе с инфекцией теряется и случайно сгенерированный ключ...

• OneHalf.3544 генерировал ключи случайным образом, но дешифратор всегда оставался неизменным и запускался каждый раз при обращении к заражённому файлу. Как же инфекции удавалось остаться незамеченной?

• Уже в те годы любой нормальный вирус изначально создавался полиморфным. Иначе он не продержался бы и суток: антивирусы постоянно сканируют файлы, ищут в них известные фрагменты вирусного кода и удаляют заражённые блоки.

• OneHalf.3544 хранил в начале каждого файла специальную карту дешифратора — в ней был набор адресов, из которых дешифратор собирался по кусочкам. Эти кусочки были раскиданы по всему файлу. Поэтому ни один фрагмент кода в заражённых файлах не повторялся.

• Чаще всего OneHalf передавался на дискетах. Как только операционная система получала доступ к дисководу, вирус запускался и проверял имена и размеры файлов. Он был хитрый и не хотел тревожить антивирусы, имеющие встроенную защиту от заражения. Поэтому не трогал файлы, в названиях которых встречались слова SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV, CHKDSK, СПИД, ADINF или WEB.

• Перед заражением вирус получал от операционной системы размер файлов, для того чтобы пропускать совсем маленькие. Причина в том, что дешифратор состоял из 10 фрагментов, которые требовалось скрыть внутри одного файла, а минимальное расстояние между этими кусочками кода составляло 10 байт.

• После проверки OneHalf начинал записывать себя во все файлы и блокировал на время доступ к накопителю — никто не мог извлечь дискету, пока он не закончит работу. Расчёт был прост: пользователь не захочет её портить, а потом покупать новую.

• В первую очередь OneHalf заражал EXE и COM файлы. Это стандартное поведение вирусов — ведь им надо было как-то запускаться, а именно эти файлы являются исполняемыми.

• Кстати, в те времена многие антивирусы ограничивали проверку системы только такими файлами, потому что это был единственный способ распространения вирусов. Когда в свет вышла ОС Windows 95 и более новые версии, вирус OneHalf практически вымер...

#Разное

Читать полностью…

S.E.Book

• В детстве песочница была местом отдыха реальных пацанов. Там строились и разрушались замки, а самые продвинутые юные надмозги создавали свои транспортные империи и запускали межконтинентальные ракеты. Но по долгу службы я был вынужден делать свою песочницу с блекджеком и дамами не очень высокой социальной ответственности. А если серьезно, то во взрослом мире, если ты тру-хардкорный осинтер, у тебя должен быть свой террариум для цифровых гадов ползучих: вирусов, троянов, бэкдоров и прочей нежити, которую ты сам же и притащил, «просто посмотреть, что внутри». Посмотреть, да. А потом перезаписывать образ системы, потому что «забыл отключить макросы».

• Собственно, для чего это таки надо? Только в песочнице можно безопасно отследить, как файл лезет в реестр, с кем он разговаривает в интернете, какие процессы спавнит и какие бэкдоры себе открывает. Это как изолированное крыло психбольницы для особо опасных маньяков, только вместо прозрачной камеры с Ганнибалом Лектором у тебя — PowerShell-скрипты, которые делают curl в сторону китайского CDN. Без песочницы всё это ловится вслепую — как будто боксируешь с тенью, а она, зараза, бьёт в ответ и прямо по шарам.

• Хочешь, чтобы всё было без седалищной боли по типу «нажал кнопку — получил отчет» - готовь деньги, милый. Без денег такой любви не бывает. Чтобы ты мог без геморроя получать качественные поведенческие отчеты — нужно пользоваться серьезными корпоративными продуктами. Но если на них нет денег — то есть неплохие альтернативы.

• Например, ANY.RUN — живой интерфейс, богатая визуализация, прям хоть на конференции показывай. Intezer Analyze строит геном вредоноса и находит кодовое родство, как будто это сериал про семейные ценности. Threat.Zone — русифицированный, бодрый, с понятным UI, не требует перевода с маркетингового на человеческий. Но не стоит обманываться — хоть и работает на русском, это не значит, что разработан в России. Это, скорее, как бургер с майонезом из Пятерочки — вроде как бы уже своё, но что-то все-таки не так.

• А ещё есть Falcon Sandbox, на котором работает Hybrid Analysis, Joe Sandbox (кстати, рекомендую), Tria.ge и многие другие. Короче, имя им легион. Все как один — функциональные, как швейцарский нож с лазером, но по цене — как хирургическая операция на жёппе в той-же вашей Швейцарии. И главное - за бесплатно - только публично. Короче, ваш подгруженный малварь, который шифранул ваших бухгалтеров, попадет в общую базу данных. Так что осторожнее.

• Ну а если душа просит боли и приключений, добро пожаловать в ад опенсорса. Тут у нас CAPE — мощный форк старого доброго Cuckoo, с возможностью вытаскивать payload’ы, снимать снимки API и ловить даже сложные образцы. Звучит круто, пока не столкнёшься с древнейшими зависимостями на Python 3.7.2.4b и адищем БДСМ интеллектуальных совокуплений с libvirt. FLARE VM, Freki, Noriben — каждая как отдельная фракция в стратегии: свои плюсы, свои баги, свои моменты, когда ты смотришь в терминал и думаешь: «Где я, кто я, почему у меня 98% CPU и ничего не работает?». Собирать это — как чинить телепорт из Рика и Морти, будучи огурчиком.

• Вывод прост. Хочешь работать быстро — плати. Хочешь бесплатно — становись раком монахом Debian и молись, чтобы XML-отчёты хотя бы открывались. И помни, как говорил великий король орков из Властелина Колец: «Время людей прошло. Наступает эпоха скриптов и песочниц». А ты всё ещё пытаешься запустить .doc в виртуалке без сети.

#Песочница #Malware

Читать полностью…

S.E.Book

Нашел на GitHub крутой репозиторий, который содержит в себе очень ценный и полезный материала по изучению SQL (подсказки, советы, Mindmap, команды и т.д.). Всё разбито по темам и с возможностью скачать информацию в формате PDF.

Особое внимание следует обратить на сборник вопросов из собеседований. Там вы найдете 800 + вопросов и соответствующие задания для получения практического опыта. Однозначно в коллекцию:

➡️ https://github.com/gowthamrajk/SQL-Tutorials

#SQL

Читать полностью…

S.E.Book

Исследователи предупреждают, что уязвимость в протоколе контекста модели Anthropic позволяет выполнять необработанные команды незаметно, что может привести к полной компрометации системы в широко используемых средах ИИ.

MCP стал настоящим благом для пользователей агентного ИИ и широко используется и пользуется доверием на местном уровне среди компаний, внедряющих агентный ИИ внутри своих предприятий. 

Представленный Anthropic в ноябре 2024, он предоставляет стандартный коннектор между агентами и данными. Используется локально, чтобы избежать сложностей разработки собственных коннекторов, в качестве локального STDIO MCP-сервера.

Существует множество поставщиков MCP-серверов, почти все из которых используют код Anthropic. Однако как сообщает OX Security, проблема заключается в архитектурном недостатке кода MCP от Anthropic, встроенного в большинство этих локальных STDIO MCP.

Как полагают в OX Security, уязвимость может привести к полному захвату системы пользователя. Причем механизм эксплуатации довольно прост: интерфейс STDIO MCP был разработан для запуска локального серверного процесса. Но команда выполняется независимо от того, успешно ли запустился процесс.

Если передать вредоносную команду, выйдет ошибка - но команда всё равно выполнится. Никаких предупреждений о проверке на наличие вредоносного кода, равно никаких тревожных сигналов в инструментарии разработчика на этот случай не предусмотрено.

OX Security провела различные исследования на предмет возможности использования этой «уязвимости», добилась значительных успехов и широко поделившись своими выводами среди поставщиков MCP.

Но реакция была мягко сказать некорректной. В конце концов, все сошлось на бездействии в сочетании с предположением, что такое поведение было «задумано».

Однако исследователи продемонстрировали, что такое «заложенное в проекте» поведение может быть легко использовано злоумышленниками, а миллионы пользователей потенциально могут стать жертвами кражи данных, ключей API и корпоративных секретов, утечки истории чатов и др.

Если процесс, в котором произошел сбой MCP, включал вредоносное ПО, то оно вполне, как оказывается, могло быть установлено незаметно, что потенциально могло привести к полному захвату системы.

В итоге единственным очевидным действием со стороны Anthropic стало незаметное обновление рекомендаций по безопасности, в которых указывалось на использование адаптеров MCP «с осторожностью», оставив уязвимость в неизменном виде и переложив ответственность на разработчиков.

Полиция Anthropic предполагает, что разработчики сами несут ответственность за безопасность того, что они разрабатывают. Так что любая компания, подвергшаяся взлому, не попадает в зону ответственности Anthropic, а виновата в неправильной настройке установки MCP.

В OX настаивают на том, что Anthropic должна взять на себя ответственность и самостоятельно исправить «архитектурный недостаток».

В противном случае отрасль остается уязвимой для «самой масштабной атаки на цепочку поставок», которая начнётся с Anthropic, распространится на многие тысячи локальных пользователей MCP, а с их скомпрометированных систем - на массу других серверов.

OX реализовала скоординированный процесс раскрытия информации, в результате чего было получено более 30 подтвержденных сообщений об уязвимостях и исправлено более 10 критически важных уязвимостей.

Однако, как утверждается, основной недостаток проектирования остается, оставляя миллионы пользователей и тысячи систем уязвимыми для несанкционированного доступа. Несмотря на то, что в своем отчете OX подробно описала, как Anthropic могла бы решить проблему.

Текущая реализация MCP перекладывает всю ответственность за безопасность на разработчика - структурный сбой, гарантирующий уязвимость в больших масштабах. Любой компании, внедряющей STDIO MCP в рамках разработки агентного ИИ, следует делать это «с осторожностью».

Читать полностью…

S.E.Book

• Microsoft выкатили обновление, в рамках которого реализовали функционал предупреждения пользователей при открытии файлов подключения к удаленному рабочему столу (.rdp).

• Файлы rdp широко используются в корпоративной среде для подключения к удалённым хостам. Атакующие активно используют этот функционал в фишинговых кампаниях. При открытии эти файлы могут подключаться к системам, контролируемым злоумышленниками, и перенаправлять локальные диски на подключённое устройство, позволяя красть файлы.

• В рамках апрельских накопительных обновлений 2026 года для Windows 10 (KB5082200) и Windows 11 (KB5083769 и KB5082052) Microsoft выпустила новые средства защиты, предотвращающие использование вредоносных файлов RDP-подключения на устройствах.

• При попытках открыть файл .rdp теперь будет отображаться диалоговое окно безопасности перед установлением любого соединения. Это диалоговое окно показывает, подписан ли файл RDP проверенным издателем, адрес удалённой системы, а также перечисляет все перенаправления локальных ресурсов, такие как диски, буфер обмена или устройства, при этом все параметры по умолчанию отключены.

• Если файл не имеет цифровой подписи, Windows отображает предупреждение "Внимание: Неизвестное удалённое соединение" и помечает издателя как неизвестного, указывая на отсутствие возможности проверить, кто создал файл.

➡️ https://learn.microsoft.com/rdp-security-warnings

#Новости #Разное

Читать полностью…

S.E.Book

👨‍💻 Почему мы до сих пор пользуемся QWERTY?

Вы когда-нибудь задумывались, почему ваша клавиатура устроена именно так? Не потому что это удобно, а потому что в XIX веке механика пишущей машинки просто не могла работать иначе. Проблема была в рычагах: если нажимать соседние клавиши слишком быстро, они залипали. А рычаги тут при том, что пишущие машинки переросли в клавиатуры, сохранив свою суть.

Кристофер Шоулз, журналист и изобретатель, нашел решение — перемешал буквы, чтобы часто используемые сочетания оказались на разных сторонах. Это снизило скорость набора, но спасло от заклинивания.

К 1980-м QWERTY закрепилась в компьютерах. Производители не спешили переходить на другие раскладки, даже зная об их преимуществах. Эргономика не победила инерцию: сменить раскладку значило переучивать пользователей, ломать привычные шаблоны, тратить ресурсы на то, что не приносило явного выигрыша.

Но давайте поговорим о самой эффективной раскладке - Dvorak Simplified Keyboard (DSK), появившаяся в 1936 году, обещала больше: 70% набора — на основном ряду, минимальное движение пальцев, снижение усталости. Исследования Дворака показали, что его раскладка позволяет новичкам достигать большей скорости за меньшее время тренировок чем на QWERTY. Такой подход позволил существенно сократить расстояние, которое пальцы проходят за день работы: если на QWERTY это до 32 км, то на Dvorak — всего около 1,5 км.

Вначале 90-х Барбара Блэкберн установила мировой рекорд по скорости набора текста. На протяжении 50 минут она печатала в среднем 150 слов в минуту. Максимальная скорость достигла 212 слов в минуту. Это быстрее человеческой речи. Но чтобы добиться таких результатов, Блэкберн отказалась от привычной QWERTY-раскладки в пользу клавиатуры Дворака (на фото).

Вокруг этого способа набора сформировался настоящий культ. Но эти успехи так и остались в теории, хотя люди создавали даже фанатские журналы в поддержку раскладки.

Кроме того, для достижения скорости 40 слов в минуту новичку на QWERTY требуется в среднем 56 часов тренировки, а на Dvorak — всего 18 часов. Не удивляйтесь, мы сейчас говорим про бородатые года. Сейчас, конечно, каждый школьник печатает быстрее.

Эффект сетевого стандарта оказался непреодолимым: уже на тот момент многие использовали QWERTY, а с каждым днем стоимость перехода для каждого нового пользователя только росла. К середине 1980-х на Dvorak печатали лишь около 100 тысяч человек, тогда как QWERTY оставалась безальтернативной для миллионов. Успехи не стали массовыми: тесты, доказывающие преимущества Dvorak, часто финансировались самим изобретателем, а независимые исследования давали менее впечатляющие цифры.

Помимо Dvorak была еще раскладка Colemak, появившаяся в 2006 году, пыталась смягчить переход. Автор, Шолом Колеман, изменил всего 17 клавиш по сравнению с QWERTY, чтобы снизить когнитивное и мышечное «трение» при миграции. Сохранились базовые сочетания вроде Ctrl+Z и Cmd+C. Это не революция, а компромисс: уменьшить движение пальцев, но не ломать привычные хоткеи. Однако даже такая «мягкая» замена сталкивается с барьерами: нет поддержки «из коробки» в ОС, не все драйверы работают гладко, а в корпоративной среде, где каждый проект зависит от стандартов, смена раскладки — это риск.

В профессиональных нишах, вроде программирования, есть свои варианты: Programmer Dvorak, Workman, русские БЭЙ и ЯВЕРТЫ. Они оптимизируют расположение символов под код или язык, но их аудитория остается узкой. Да и большинство проектов, документации и команд все еще написаны под QWERTY. Сейчас мало кто задумывается о раскладке, все привыкли, и даже не думают, что может быть по-другому.

#Разное

Читать полностью…

S.E.Book

🪟 Windows ME.

Windows ME - одна из самых худших версий ОС за все время. С момента выпуска прошло более 25 лет, а Windows Millennium Edition называли «линолеум эдишн», либо «Mistake Edition» (версия-ошибка).

• В 2000 году, на фоне юридических разногласий с Министерством юстиции, компания Microsoft выпустила две операционные системы: Windows 2000 для предприятий и Windows Millennium Edition для индивидуальных потребителей. Сегодня Windows Me считается одной из худших ОС в истории Microsoft.

• Windows Me была выпущена как быстрое продолжение Windows 98, ориентированное на домашних пользователей. ОС имела некоторые общие аспекты с Windows 2000, такие как элементы пользовательского интерфейса и стек TCP/IP. Однако, в отличие от Windows 2000, которая использовала ядро Windows NT, Windows Me придерживалась структуры DOS, и это решение, по мнению многих, стало ее гибелью.

• Несмотря на свои проблемы, Windows ME представила несколько функций, которые стали стандартными в последующих версиях Windows. К ним относятся «Восстановление системы», позволяющее пользователям вернуться к предыдущему состоянию ОС без потери файлов и программ, и «Автообновление», позволяющее автоматически загружать обновления. В ОС также был обновлен проигрыватель Windows Media Player, появилась новая программа Movie Maker и DVD-плеер, не требующий отдельной карты декодера.

• Первые отзывы о Windows ME были неоднозначными. Некоторые высоко оценили функции восстановления системы и автоматического обновления, а также более быстрое время загрузки и мультимедийные инструменты. Однако другие отмечали более низкую производительность некоторых приложений Windows по сравнению с Windows 98, что делало обновление на ME довольно бессмысленным.

• Многие пользователи не смогли установить ОС, а те, кому это удалось, часто сталкивались с проблемами при запуске программ или подключении к другому оборудованию. Проблемы были настолько распространены, что PC World назвал Windows ME одним из худших технических продуктов всех времен, окрестив его «Windows Mistake Edition».

• Признав неудачу, Microsoft не стал выпускать пакеты обновлений для Windows ME и быстро перешел к Windows XP, которая была запущена в 2001 году с использованием ядра Windows NT. Многие пользователи Windows 98 полностью отказались от Windows ME и перешли непосредственно на Windows XP.

• Основная поддержка Windows ME завершилась 31 декабря 2003 года, а 11 июля 2006 г. прекратилась расширенная поддержка. Millennium Edition заслуженно считается одной из худших версий Windows после 95, однако эта система все же оставила свой след в истории — пусть он получился и не столь ярким, как у других версий Windows.

#Разное

Читать полностью…

S.E.Book

👾 Самая дорогостоящая малварь.

26 января 2004 в России был зафиксирован первый случай заражения новой малварью, которую назвали MyDoom. Всего за неделю, распространяясь через электронную почту, MyDoom поразил до 500 тысяч компьютеров по всему миру. Этот червь стал настоящим рекордсменом по скорости распространения и даже умудрился частично парализовать работу поисковых систем (Google, Yahoo!, AltaVista и Lycos), а на пике активности исходящий от MyDoom спам снизил мировой интернет-трафик на 10 процентов. В то время MyDoom генерировал 16-25% от общего числа всех писем в мире.

В 2011 году эксперты McAfee и вовсе признали MyDoom самой «дорогой» малварью в истории: убытки, связанные с потерей производительности и прекращением торговли в связи с заражением вирусом в результате крупных спам-кампаний, в конечном итоге составили 38 миллиардов долларов.

MyDoom распространяется через электронные письма с вредоносными вложениями. На каждой новой зараженной машине малварь ищет новые email-адреса в различных файлах, а затем рассылает свои копии по всем обнаруженным адресам. При этом спам маскируется, к примеру, под уведомления о неудачной доставке сообщения, или тема письма может содержать случайные символы и слова «hello», «hi» и так далее. Казалось бы, такие приманки можно отнести к числу самых примитивных, но они работают по сей день.

В период с 2015 по 2018 год порядка 1,1% всех электронных писем с вредоносными вложениями содержали червя именно MyDoom. Жертвами таких вредоносных рассылок становятся компании из самых разных отраслей, начиная от высоких технологий, оптовой и розничной торговли, до здравоохранения, образования и производства.

В первой половине 2019 года MyDoom даже продемонстрировал небольшой рост количества образцов малвари, а также увеличение количества вредоносных писем, отправляемых и получаемых жертвами. Основными источниками такой корреспонденции являются США, Китай и Великобритания.

Фактически MyDoom полностью самодостаточен и автономен. Червь может распространяться вечно, до тех пор, пока люди продолжают открывать почтовые вложения.

Кстати, в самом начале своей активности MyDoom атаковал сайт Microsoft. Червь был слишком мало распространён и потому не нанёс ему серьёзного ущерба. Однако Microsoft назначила свои $250 000 «за голову» его создателя. Эти деньги не нашли получателя — мир так и не узнал, кто создал MyDoom.

https://yourstory.com/MyDoom

#Разное

Читать полностью…

S.E.Book

У разработчика Miner Search (тулза для поиска и уничтожения скрытых майнеров), есть интересный список инструментов, с помощью которых можно ручным подходом осуществить поиск вредоносов. Список следующий:

Autorunsбесплатный инструмент от Microsoft, чтобы выявить все возможные варианты автозапуска, что грузится вместе с виндой. Обязательно запускать от админа, чтобы видеть весь полный список.

В первую очередь обращаем внимание на строки с неподписаными файлами (выделены красным).
Если не знаем, что за софт и надо ли его отключать – гугл в помощь.
Всё что выделено жёлтым означает, что запись осталась, а конечного файла что запускать уже нет. Можно удалять (кроме раздела KnownDlls и Services).
Ну и пара слов про оптимизацию, отключаем всё несвязное с системой, что можно запускать самому (всякие стимы, дискорды, whatsapp, OneDrive и т.д.), обычно находится в разделе Run и Task Scheduler (Планировщик задач).

System Informer – Мощный опенсорсный инструмент для мониторинга процессов, потоков и модулей. Показывает дерево процессов, что от чего запускается. Кто-то может возразить, мол есть process explorer, но это кому как удобнее.

Everything – опенсорсный инструмент, мгновенный поиск по файловой системе, в разы быстрее штатного поиска, встроенного в проводник. Можно искать как по файлам, так и по содержимому для документов. Вообщем, вещь удобная.

#Tools #Malware

Читать полностью…

S.E.Book

🛡 Реальная ИБ: где теряются деньги и как закрыть риски уже сегодня.

• 15 апреля у Контур.Эгиды и Staffcop пройдет бесплатный вебинар, который будет полезен всем ИБ и ИТ-специалистам. Поговорим о человеческом факторе и социальной инженерии. Сравним самостоятельную разработку ИБ и доверие вендорам: риски, преимущества, примеры инцидентов. Моделирование угроз как основа бюджетирования. Работа с персональными данными при аутсорсе/аутстаффе без рисков.

Зарегистрироваться можно по ссылке.

#ИБ #Вебинар

Читать полностью…

S.E.Book

🚀 INFRAX 1.0.0 — официальный выход из беты!

INFRAX — это единая российская on-premise платформа (ситуационный центр ИТ-инфраструктуры).
В одном интерфейсе: мониторинг (ITOM), Service Desk (ITSM), CMDB + ITAM, резервное копирование, удалённый доступ (RPAM), автоматизация, агентный ИИ-помощник и управление виртуализацией.
Заменяет зоопарк из 12+ разрозненных систем — всё под рукой, данные не уходят наружу.

Главное в версии 1.0.0

• SNMP-мониторинг
• Резервное копирование
• SLA
• CMDB + ITAM
• Поддержка из тикета
• Инструменты инженера
• Агентный ИИ-помощник

INFRAX 1.0.0 — вся ИТ-инфраструктура теперь в одной удобной и мощной системе.
Готовы закрыть все боли одним решением?
infrax.ru 🔥
#реклама
О рекламодателе

Читать полностью…
Subscribe to a channel