24510
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Исследователи Microsoft сообщают об обнаружении нового RAT, который использует сложные методы для уклонения от обнаружения, обеспечения персистентности в целевой среде и кражи конфиденциальных данных.
StilachiRAT с момента выявления в ноябре 2024 году еще не успел широко распространиться, но в Microsoft несмотря на это, решили все же поделиться индикаторами и рекомендациями по смягчению последствий.
В виду ограниченного числа случаев развертываний StilachiRAT в реальных условиях Microsoft пока не смогла атрибутировать вредоносное ПО с конкретным субъектом угроз и понять его географическую привязку.
Из новых функций RAT исследователи отметили такие разведывательные возможности, как сбор системных данных, включая идентификаторы оборудования, наличие камер, активные сеансы RDP и запуск приложений на основе графического интерфейса для профилирования целевых систем.
Анализ модуля WWStartupCtrl64.dll StilachiRAT, содержащего возможности RAT, показал использование различных методов для кражи широкого спектра информации из целевой системы.
После внедрения на взломанные системы злоумышленники могут задействовать StilachiRAT для кражи криптоактивов, сканируя информацию о конфигурации более 20 расширений криптокошельков, включая Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet и др.
Вредоносная ПО также извлекает учетные данные, сохраненные в локальном файле состояния Google Chrome, с помощью API Windows и отслеживает активность буфера обмена на предмет конфиденциальной информации, такой как пароли и ключи криптовалюты, а также отслеживает активные окна и приложения.
После запуска в качестве автономного процесса или службы Windows StilachiRAT поддерживает постоянство с помощью диспетчера управления службами Windows (SCM), обеспечивая автоматическую переустановку при необходимости.
StilachiRAT способен отслеживать активные сеансы RDP, клонируя токены безопасности, что позволяет операторам перемещаться по сетям жертвы после развертывания RAT на серверах RDP, где зачастую размещаются административные сеансы.
Возможности RAT также включают обширные функции уклонения от обнаружения и антианализа, - прежде всего, зачистску журналов событий и проверку «песочницы».
Даже если трояну придется работать в песочнице, вызовы Windows API StilachiRAT кодируются как контрольные суммы, которые динамически разрешаются во время выполнения и дополнительно запутываются, чтобы замедлить анализ.
Наконец, StilachiRAT позволяет выполнять команды и потенциально применять SOCKS-подобное проксирование с использованием команд с сервера C2 на зараженные устройства, что позволяет операторам перезагрузить систему, очистить журналы, выкрасть учетные данные, запустить приложения и манипулировать системными окнами.
Дополнительно реализованный функционал предназначен для приостановки работы системы, изменения значений реестра Windows и перечисления открытых окон.
Компания Curator запустила CDN🔥
Отличная новость: компания Curator запустила в полномасштабную эксплуатацию Curator.CDN — собственную сеть доставки контента с интегрированной DDoS-защитой.
Для чего? Curator.CDN одновременно ускоряет загрузку сайтов и обеспечивает защиту от DDoS-атак.
Для кого? В первую очередь это онлайн-магазины, стриминговые сервисы, развлечения, СМИ и онлайн-образование. Но в современных условиях использование защищенного CDN будет полезно практически для любого бизнеса.
🛡️ Чем Curator.CDN отличается от других решений? Архитектура Curator.CDN изначально спроектирована с учетом безопасности. Неотключаемая защита от DDoS работает как на отрезке от интернет-пользователей до CDN-кэша, так и от CDN до ресурсов заказчика. Это позволяет предотвратить сложные атаки, которые рассчитаны на эксплуатацию уязвимостей в самих сетях доставки контента.
🌍 Глобальная сеть центров обработки данных Curator позволяет расширять региональное покрытие и наращивать сетевую емкость без дополнительных инвестиций, а также многократно повысить качество обслуживания клиентов. Серверы доставки контента есть в 15 городах-миллионниках России, и не только в них.
💸 Еще одна важная особенность Curator.CDN — это прозрачное ценообразование. Все доступные опции уже включены в указанную стоимость, без ограничений и скрытых платежей.
Curator.CDN легко подключается и управляется через единый личный кабинет платформы Curator. Клиентам доступны расширенная аналитика и надежная техническая поддержка 24/7.
👉 Подробнее о Curator.CDN
🪙 Методология Баг-Баунти.
• Эта статья основана на опыте веб-хакера, но описанные в ней принципы в целом применимы ко всем дисциплинам хакинга. В основном материал предназначен для начинающих этичных хакеров и для людей, которые уже нашли несколько багов, но хотят сделать свой подход к баг-баунти более последовательным и систематичным.
• Методология состоит из нескольких основных компонентов:
➡Инструменты: чем пользуется хакер, чтобы атаковать цель?
➡Образ мышления: насколько настойчив хакер? Как хакер преодолевает ментальные барьеры?
➡Подход к работе: некоторые хакеры используют чек-листы. Другие руководствуются собственной интуицией. Как хакеры применяют свои знания на практике?
➡Опыт: конкретный порядок реализации методологии зависит от предыдущего опыта хакера. Опытные хакеры обычно очень в этом эффективны. Эффективность — это результат накопленного опыта.
➡ https://habr.com/ru/post/849370
#bb
⚡️Хорошие новости: разыгрываем 3 книги по этичному хакингу.
• 9 победителей этого конкурса получат по 3 книги в бумажной версии, которые будут полезны ИБ специалистам:
- Сети глазами хакера;
- Контролируемый взлом. Библия социальной инженерии;
- Linux глазами хакера.
• Итоги подведём 22 марта в 18:30 случайным образом при помощи бота. Доставка для победителей бесплатная в зоне действия СДЭК.
Для участия нужно:
1. Быть подписанным на наш канал: ZeroDay.
2. Подписаться на каналы наших друзей: Mycroft Intelligence и infosec.
3. Нажать на кнопку «Участвовать»;
4. Profit...
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
📶 SSH Honeypot. Часть 2.
➡Cowrie — приманка SSH и Telnet со средним и высоким уровнем взаимодействия. Предназначена для регистрации попыток брутфорса. В разных режимах работает как прокси-сервер для SSH и telnet или эмулирует систему UNIX с полноценной фейковой файловой системой. Хорошо работает в паре с Longitudinal Analysis для обработки журналов.
➡sshesame — простой в настройке поддельный SSH-сервер, который позволяет подключиться любому, и регистрирует SSH-соединения и активность, не выполняя на самом деле никаких команд и запросов.
➡Mushorg / Glutton — SSH и TCP-прокси, который работает как MITM между злоумышленником и сервером и позволяет шпионить за его действиями.
➡pshitt — легковесный поддельный SSH-сервер, предназначенный для сбора аутентификационных данных, отправленных злоумышленниками. Сохраняет в JSON логины и пароли, используемые программным обеспечением для перебора SSH.
➡SSH Honeypot — еще одно решение для сбора базовых сведений об атаке. Прослушивает входящие ssh-соединения и регистрирует IP-адрес, имя пользователя и пароль, которые использует клиент.
➡FakeSSH — докенизированный SSH-сервер-приманка с низким уровнем взаимодействия, написанный на Go. Регистрирует попытки входа в систему, но всегда отвечает, что пароль неверен.
➡docker-ssh-honey — еще одна простая приманка с аналогичной FakeSSH функциональностью.
➡ssh-auth-logger — регистрирует все попытки аутентификации в виде json, не взаимодействует со злоумышленником.
➡ssh-honeypotd — SSH-приманка с низким уровнем взаимодействия, написанная на C.
➡Honeyshell — написанная на Go SSH-приманка. Собирает логины и пароли.
➡Endlessh — коварная штука, которая открывает сокет и притворяется сервером SSH, который очень медленно отправляет SSH-баннер. Способна удерживать клиентов в течение нескольких часов или даже дней. Значительно замедляет и даже парализует работу ботов и сканеров.
#SSH #Honeypot
🎃 Windows Downdate: Downgrade Attacks Using Windows Updates and Beyond.
• Эксперт в области информационной безопасности Алон Левиев в августе выпустил инструмент Windows Downdate, который можно использовать для атак «понижения версии». Эти атаки позволяют возвращать старые уязвимости в современные системы Windows 10, 11 и Windows Server.
• Windows Downdate доступен на GitHub как программа с открытым исходным кодом на основе Python и предварительно скомпилированный исполняемый файл Windows.
• Левиев также поделился несколькими примерами использования, в которых он откатил версии гипервизора Hyper-V (до 2022 года), ядра Windows, драйвера NTFS и драйвера Filter Manager (до базовых), а также других компонентов Windows.
«Помимо этого, Windows Downdate предлагает откат исправлений для CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 и PPLFault»
Взломай меня, если сможешь!
Боты скупают товары быстрее, чем люди. Фишинговые сайты крадут данные пользователей, а мошенники находят лазейки даже в самых защищённых системах. Пока одни компании теряют деньги, другие уже знают, как противостоять киберугрозам.
Хотите узнать, какие атаки ждут ваш бизнес в 2025 году? 13 марта 2025 года с 11:00 до 13:00 приглашаем на бесплатный вебинар, где эксперты F6 разберут самые актуальные техники атак:
– Как злоумышленники используют социальную инженерию?
– Как работает вредоносное ПО (ВПО) в реальных атаках?
– Какие угрозы связаны с NFCGate и SpyNote?
Команда F6 представит реальные кейсы атак, основанные на нашей статистике и опыте исследования ВПО, и покажет, какие стратегии защиты действительно работают.
Регистрируйтесь на вебинар, чтобы узнать, как защитить ваш бизнес от киберугроз!
#реклама
О рекламодателе
⌛ Portal.
• Забавная тулза для передачи файлов. Отправляем файлы, при этом получаем пароль, передаём этот пароль адресату, и с его помощью он скачивает файлы. Portal является кроссплатформенным и его можно использовать на macOS, Linux или Windows.
• Передача файлов происходит через сторонний сервер. Если требуется, то сервер для передачи файлов можно поднять в собственной инфраструктуре.
➡️ https://github.com/SpatiumPortae/portal
#Разное
👩💻 Linux в Голливуде.
• Студии, занимающиеся компьютерной графикой и спецэффектами – такие как Industrial Light and Magic, Pixar, Weta Digital, DreamWorks Animation, широко используют Linux для рендеринга финальных кадров фильмов. Этот процесс требует огромных вычислительных мощностей и может занимать для одного фильма месяцы или даже годы машинного времени. Для обработки столь масштабных задач студии используют так называемые рендер-фермы – кластеры из сотен или тысяч серверов, работающих параллельно. И подавляющее большинство этих серверов работает под управлением Linux.
• Студии могут тонко настроить ОС под свои нужды, оптимизировать производительность и при этом не тратить огромные средства на лицензии, ведь Linux бесплатен. Более того, многие ключевые приложения для 3D-моделирования, анимации и рендеринга, такие как Blender, Houdini, Foundry Nuke, Autodesk Maya и другие, имеют нативные версии для Linux или даже разрабатываются изначально под эту ОС.
• Так что когда вы в следующий раз будете смотреть последний блокбастер от Marvel, Star Wars или Pixar, знайте – без Linux его создание было бы невозможно. Те самые захватывающие дух визуальные эффекты, которыми славится современный кинематограф – результат работы тысяч серверов под управлением этой ОС.
#Разное #Linux
✉ Как электронная почта в 90-х приживалась в бизнесе и обществе.
• Многие из Вас знают, что почта появилась задолго до интернета: первые электронные сообщения начали отправлять еще в 1965 году на суперкомпьютерах IBM. Для этого использовали команду write на операционной системе Unix, а в Tenex приписывали послания к концу отправляемого файла. Передача сообщений происходила в рамках одного компьютера, а позже — локальной сети, но само общение на компьютере больше расценивалось как развлечение.
• В конце 60-х компьютеры считались машинами исключительно для вычислений, а поговорить можно было по телефону или устроив личную встречу. Но даже спустя тридцать лет, когда интернет уже захватывал умы, находились люди, которые продолжали считать так же.
• Технологии развивались. Когда в США появился ARPANET, который начал объединять десятки компьютеров в одну сеть, потребовался общий протокол, который сделает отправку и получение электронных писем стандартным для всех устройств. Так появился SMTP, который используют до сих пор.
• К концу 80-х компьютеры стали достаточно мощными, чтобы между ними можно было постоянно обмениваться электронными письмами. Почта закреплялась как формат общения в сети. Для нее начали делать графические клиенты — так появился Elm, а за ним TUI, Mutt, Pine и другие. Их продолжали делать ученые, но с расчетом на технически менее продвинутую публику.
• В 1993 Всемирная паутина, которая объединила научные сети в одну, становится открытой для всех. Интернет начинают заполнять сайты, доски объявлений, форумы, но для большинства пользователей еще несколько лет он будет оставаться недоступным: скорости входа в сеть еще было недостаточно. Зато общение через электронную почту, которая была встроена как услуга у первых интернет-провайдеров, было популярной точкой входа в киберпространство.
• Один из них — America Online (AOL). После подключения к сети по диалап-модему всплывает стартовое окно со встроенным почтовым ящиком и чатом. При появлении нового письма приходило голосовое уведомление “You've got mail” — такое же узнаваемое для американских пользователей начала 90-х, как для нас звук нового сообщения в ICQ.
• Несмотря на то что стандарты отправки писем уже были, провайдеры и хостинги использовали разные шлюзы. Например, у CompuServe не было имен — только цифры, который достались в наследство от старой архитектуры. Общаясь внутри сети, вы могли слать письма на, например, 71543,310. Но если вы хотели отправить письмо с того же AOL, то нужно было указать шлюз и убрать запятую: 71543.310@compuserve.com. Для тех лет проблема с разными форматами почтовых имен встречалась достаточно часто. The New York Times обращал внимание, что даже простые адреса могли казаться «написанными по-марсиански: bigk9@avm1.hq.umars.edu».
• Когда доступ к интернету стал дешевле, а модемы — чуть быстрее, то вход в браузер перестал быть проблемой. Появилась веб-почта, одной из первых была HotMail — она была бесплатной и удобной для пользователя. Это серьезно упрощало доступ к обмену почтой: не нужно было разбираться с командными строками, операционными системами и общаться через ящик своего провайдера.
• Спустя несколько лет HotMail выкупит Microsoft и позже превратит его в Outlook. Эта сделка станет знаковой и для РФ: один из создателей Mail.ru, Алексей Кривенков, вдохновится продажей и начнет делать свою почтовую службу.
• К концу 90-х университеты и крупные корпорации обмениваются письмами наравне с бумажными документами. Первые юзеры интернета активно заводят ящики в бесплатных службах Hotmail и RocketMail либо продолжают пользоваться ящиками своих провайдеров. Популярность общения в сети растет.
• СМИ называли этот тренд интернет-манией: сеть начала захватывать умы не только обычных юзеров, но и бизнеса. В 1993 году интернет привлекал по 150 тысяч пользователей ежемесячно, а к 1994 году почтой пользовались от 40 до 50 млн человек, из которых 16 млн — команды и бизнес.
#Разное
Исследователи из Лаборатории Касперского расчехлили массовую кампанию, нацеленную на пользователей DeepSeek с использованием различных сайтов, мимикрирующих под официальный ресурс чат-бота.
Исследуя внутренние данные об угрозах, в ЛК обнаружили несколько различных групп сайтов, копирующих официальный сайт DeepSeek и распространяющих вредоносный код под видом клиента для популярного сервиса.
Первая группа сайтов находилась на доменах, в названиях которых использовались версии моделей DeepSeek (V3 и R1): r1-deepseek[.]net и v3-deepseek[.]com.
На поддельном сайте опция начать чат отсутствует - есть только вариант скачать приложение. При этом у настоящего DeepSeek нет официального клиента для Windows.
При нажатии кнопки Get DeepSeek App на устройство пользователя скачивается небольшой архив deep-seek-installation.zip с файлом DeepSeek Installation.lnk, содержащим URL-адрес. Цепочка в конечном итоге приводит к заражению стилером.
Это написанный на Python скрипт-стилер, ранее не встречавшийся в атаках.
Посредством него злоумышленники получают множество данных с компьютера пользователя: cookie и сессии из браузеров, логины и пароли от учетных записей различных сервисов, файлы с заданными расширениями, информацию о криптокошельках и др.
Собрав всю необходимую информацию, скрипт формирует архив и затем отправляет его операторам стилера через Telegram-бот либо загружает полученный архив на файлообменник Gofile.
В другом случае были обнаружены мимикрирующие под страницу DeepSeek сайты на следующих доменах: deepseek-pc-ai[.]com и deepseek-ai-soft[.]com.
Что примечательно, поддельный сайт использует геофенсинг и при запросах с определенных IP-адресов выдает только заглушу.
Пользователю предлагается скачать клиент или запустить чат-бота, однако при любом из этих действий с поддельной страницы скачивается вредоносный инсталлятор, созданный при помощи Inno Setup.
После запуска инсталлятор обращается к вредоносным URL-адресам для получения команд, одна из которых запускает powershell.exe со скриптом, закодированным по алгоритму Base64, в качестве аргумента.
Он, в свою очередь, загружает по закодированному URL-адресу другой PowerShell-скрипт, который приводит встроенную службу SSH в активное состояние, а также изменяет ее конфигурацию, используя ключи злоумышленника, что дает возможность подключиться к компьютеру жертвы.
Эта группа интересна тем, что исследователям удалось найти основной вектор распространения ссылки на опасный домен — посты в X.
Некоторые были исполнены от якобы австралийской компании. При этом замеченная публикация набрала 1,2 млн. просмотров и более сотни репостов.
Третья группа сайтов, с которых сразу скачивались вредоносные исполняемые файлы: app.delpaseek[.]com, app.deapseek[.]com и dpsk.dghjwd[.]cn.
Механика этих атак нацелена на технически более продвинутых пользователей - загружаемая вредоносная нагрузка маскируется под Ollama, фреймворк для запуска больших языковых моделей, таких как DeepSeek, на локальных мощностях.
Пользователю оставалось лишь запустить «клиент DeepSeek» на своем устройстве, и вредоносная программа сделает свое дело — создаст туннель для передачи трафика по протоколу KCP с заданными параметрами.
Технические подробности и IoC - отчете.
🔐 Безопасность в сети.
• На мой скромный взгляд есть два ключевых сервиса для проверки объекта на вшивость. Первый и самый главный, наша опора и надежа – Virus Total. Этот сервис проверит файл по сигнатурам более чем в 40 баз данных. Куда там одному жалкому антивирусу! На втором этапе из файла будет извлечена вся метадата, чтобы мы могли проанализировать все цифровые составляющие нашего объекта. После этого сервис проверит, как ведет себя пациент в условиях живой природы (это я говорю про виртуальные машины) и даст полный отчет о всех попытках закрепиться в системе или выйти на связь с внешним миром.
• Вторым номером является Intenzer. Он умеет не только защищать ресурсы, но и не хуже справляться с задачами по препарированию файлов. Объектами могут стать не только файлы и url-ссылки, но и запущенные процессы прямо на вашей машине, а также дампы памяти и многое другое. Intenzer осуществляет поиск по известным CVE-уязвимостям, а также высылает алерты в случае обнаружения непотребства. Еще в системе есть интересные новостные ленты с самыми хайповыми на данный момент угрозами.
• Обязательно пользуйтесь этими двумя сервисами и ваша жизнь станет гораздо безопаснее!
#ИБ
🚨 А ваш бизнес готов к отражению угроз?
С каждым днем киберпреступники становятся все изощреннее, и даже малейшая уязвимость в вашей защите может обернуться катастрофой. Потеря данных, удар по репутации, финансовые потери — все это может стать реальностью, если вовремя не принять меры.
✏️ Мы подготовили для вас чек-лист, который поможет:
✅ Оценить уровень защиты вашего бизнеса от киберугроз.
✅ Выявить слабые места в системе информационной безопасности.
✅ Понять, какие меры нужно усилить, чтобы минимизировать риски.
Чек-лист охватывает ключевые аспекты кибербезопасности и позволит вам определить, насколько ваш бизнес готов к атакам. В зависимости от результатов вы попадете в одну из трех категорий и получите четкий план действий.
⏳ Не ждите, пока станет слишком поздно!
Скачайте чек-лист прямо сейчас и начните защищать свой бизнес уже сегодня.
Помните: безопасность вашего бизнеса — в ваших руках.
#реклама
О рекламодателе
📶 Computer Networking Fundamentals.
• Вашему вниманию предлагается крайне наглядный разбор SSH туннелей. Уж сколько про них уже написано, но такого красиво оформленного материала вроде еще не видел.
Всем начинающим для прочтения строго обязательно.
➡️ https://iximiuz.com/en/posts/ssh-tunnels/
• В дополнение: Практические примеры SSH.
➡SSH socks-прокси;
➡SSH через сеть Tor;
➡SSH к инстансу EC2;
➡Установка VPN по SSH;
➡Обратный прокси SSH;
➡Обратный SSH-туннель;
➡SSH-туннель на третий хост;
➡Прыжки по хостам с SSH и -J;
➡Двухфакторная аутентификация;
➡Копирование ключа SSH (ssh-copy-id);
➡Туннель SSH (переадресация портов);
➡Потоковое видео по SSH с помощью VLC и SFTP;
➡Удалённое выполнение команд (неинтерактивно);
➡SSH Escape для изменения переадресации портов;
➡SSH Escape для изменения переадресации портов;
➡Мультиплексирование SSH с помощью ControlPath;
➡Удалённый перехват пакетов и просмотр в Wireshark;
➡Удалённые приложения GUI с переадресацией SSH X11;
➡Удалённое копирование файлов с помощью rsync и SSH;
➡Блокировка попыток брутфорса SSH с помощью iptables;
➡Копирование локальной папки на удалённый сервер по SSH;
➡Монтирование удалённого SSH как локальной папки с SSHFS;
➡Редактирование текстовых файлов с помощью VIM через ssh/scp;
#SSH #Сети
• Ранее публиковал пост, где в двух словах описан процесс проведения ремонтных работ поврежденных подводных кабелей, которые прокладывают на дне морей и океанов. Так вот, я нашел очень большой и красиво оформленный лонгрид о людях, которые выполняют данную работу. Пролистать стоит даже просто ради эстетического удовольствия.
➡ https://www.theverge.com/internet-cables-undersea-deep-repair-ships
#Разное
🖥 Система доменных имен: с чего все началось?
• Свое начало система доменных имен берет в 50-х — 60-х годах прошлого века. Тогда она помогла упростить адресацию хостов в сети ARPANET и очень быстро перешла от обслуживания сотен компьютеров к работе с сотнями миллионов.
• Сеть ARPANET стали использовать университеты, телекоммуникационные компании и учёные из разных областей науки. В 80-х к ней были подключены целых 320 компьютеров. Такое количество устройств породило проблему — стало сложно работать с адресами. Для обмена данными каждый из подключенных компьютеров скачивал файл hosts.txt с информацией об остальных хостах. Этот файл существовал в единственном экземпляре на сервере, размещенном в Стэнфордском исследовательском институте. Пользователям становилось все сложнее работать с раздутым списком, учитывая тот факт, что идентификаторы при подключении приходилось прописывать вручную.
• Особенно сильно проблема была заметна во время отправки электронных писем. Чтобы переслать сообщение с одного компьютера на другой, пользователь должен был сам указать путь для его передачи между системами. Задачу усложнял тот факт, что отдельные устройства могли выходить в сеть в разное время дня. Выглядел коммуникационный путь примерно следующим образом:
utzoo!decvax!harpo!eagle!mhtsa!ihnss!ihuxp!grg
Банда вымогателей BlackBasta разработала и задействовала автоматизированную платформу под названием BRUTED для взлома корпоративных брандмауэров и VPN.
С инструментом ознакомились исследователи EclecticIQ, обнаружив ее в ходе анализа утекшей переписки банды.
Инструмент позволил BlackBasta оптимизировать получение первоначального доступа к сети и масштабировать атаки с использованием ransomware на уязвимые конечные точки, доступные через Интернет.
Причем в течение 2024 года фиксировалось несколько подобных масштабных атак в отношении указанных устройств, некоторые из которых могут быть связаны с BRUTED или аналогичными операциями.
Как отмечает исследователи, Black Basta как раз начала использовать BRUTED с 2023 года для проведения атак с подстановкой учетных данных и брутфорсом на периферийные сетевые устройства.
Инструмент написан на PHP и специально разработан для подбора учетных данных в следующих продуктах: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) и WatchGuard SSL VPN.
Фреймворк ищет общедоступные периферийные сетевые устройства, соответствующие списку целей, перечисляя поддомены, разрешая IP-адреса и добавляя префиксы, такие как «.vpn» или «remote».
Все совпадения передаются обратно на сервер C2, откуда извлекаются списки паролей и реализуется множество запросов на аутентификацию с помощью нескольких процессов ЦП.
При этом BRUTED может извлекать общее имя (CN) и альтернативные имена субъектов (SAN) из SSL-сертификатов целевых устройств, что помогает генерировать дополнительные варианты паролей на основе домена цели и соглашений об именовании.
Чтобы избежать обнаружения, фреймворк использует список прокси-серверов SOCKS5 с интересным доменным именем, которое скрывает инфраструктуру злоумышленника за промежуточным слоем.
ElecticIQ в отчете также поделилась перечнем IP и доменов, используемых BRUTED, которые следует учесть для блокировки запросов от вредоносной инфраструктуры.
📦 Hack The Box. Прохождение машин с разным уровнем сложности.
• Прохождение Linux-машины CODIFY — это легкая Linux-машина, на которой установлено веб-приложение, позволяющее пользователям тестировать код Node.js. Приложение использует уязвимую библиотеку vm2, которая используется для удаленного выполнения кода. По мере исследования цели обнаруживается база данных SQLite, содержащая хэш, который, будучи взломанным, дает SSH-доступ к устройству. Наконец, уязвимый скрипт Bash может быть запущен с повышенными привилегиями для раскрытия пароля пользователя root, что приводит к получению привилегированного доступа к машине.
• Прохождение Linux-машины INTENTIONS — это сложная машина на Linux, которая начинается с веб-сайта галереи изображений, подверженного вторичной SQL-инъекции, что приводит к обнаружению хэшей BCrypt. Дальнейшее расследование раскрывает наличие API v2, которое позволяет аутентификацию через хэши вместо паролей, что ведет к доступу администратора к сайту.
• Расследуем инцидент взлома MEERKAT — Вас пригласили в качестве нового поставщика услуг безопасности для Forela, быстро развивающегося стартапа. Стартап использовал платформу для управления бизнесом, но с недостаточной документацией и потенциально слабыми методами обеспечения безопасности. Вам предоставляются PCAP и данные журналов, и перед вами ставится задача определить, произошла ли компрометация. Этот сценарий заставит вас применить свои навыки анализа, эффективно просеивая сетевые данные и журналы для обнаружения потенциальных признаков вторжения, и тем самым даст реальное представление о ключевой роли кибербезопасности в защите развивающегося бизнеса.
➡️ Дополнительный материал можно найти на YT: MrCyberSec/videos" rel="nofollow">https://www.youtube.com/@MrCyberSec/videos
#HTB #CTF
🗼Telefontornet — замок связи.
• Вот так выглядела телефонная башня, которую построили в 1887 году в Стокгольме…
• А началось всё еще в далеком 1876 году, когда был совершён первый междугородный телефонный звонок. Телефон уже был патентован и вызвал интерес у правителей разных стран: так случилось, что в 1877 году шведский король Оскар II принял свой первый звонок. Правитель решил, что стране нужна эта технология и за 4 года в Швеции был установлен 121 телефон. Это сейчас нам кажется чем-то крайне малым, но тогда провести телефон было не только сложно, но и очень дорого: в зависимости от длины линии владелец должен был заплатить от 160 до 280 шведских крон. Такое могла себе позволить только знать.
• Связь в те времена была, разумеется, проводная, и возникла новая проблема — провода нужно было куда-то «наматывать и замыкать», а именно нужен был большой единый коммутатор с множеством линий. Так в 1887-1890 году появилась Telefontornet — самая большая в мире телефонная башня, чей рекорд (5500 линий) так никто и не побил (угадали, почему?). От башни по крышам Стокгольма тянулись более 5000 км проводов, город опутала причудливая и очень нужная паутина (на фото).
• Вообще, башня должна была быть ещё более причудливой: 80-метровая стальная мачта, но власти воспротивились и сошлись с бизнесом на четырёх по 45 метров. А вот красивые (и нефункциональные) ажурные башенки, придающие сооружению вид замка, появились лишь в 1890 году, когда «уродский» элемент городского ландшафта реконструировали, объявив конкурс. Так башня стала достопримечательностью, предметом обожания и ненависти, потому что именно она доминировала во всём архитектурном комплексе города.
• Однако инженеры связи видели очевидные проблемы висящих проводов: зимние неприятности, короткий срок службы, провисы и обрывы, затратное и сложное обслуживание, уродливое городское небо и т.д.
• Поэтому ещё в начале 1890-х телефонные кабели стали уходить под землю. А уже в 1913 году от башни шли лишь некоторые линии, она перестала быть главной телефонной башней и оставалась скорее частью архитектурного ансамбля и памятником совсем недавней истории. Однако башне ещё предстояло сыграть роль… рекламного носителя: в 1939 году на неё установили самые большие в Европе часы диаметром 7,6 м и весом 7 тонн. Их было видно отовсюду, а на циферблате красовались буквы N и K — логотип крупнейших универмагов Nordiska Kompaniet (универмаги до сих пор функционируют).
• К слову, в среде связи есть версия, что именно «паутинное» небо Стокгольма стало главным стимулом к закладке кабелей в землю по всему миру — судя по фотографиям, было и правда ну очень жутко.
• А история самой башни закончилась довольно печально: она погибла в результате пожара в радиолаборатории в 1952, а в 1953 году башню демонтировали. Вот такие дела...
#Разное
👩💻 Linux и мировые рекорды производительности.
• Знаете ли вы, что абсолютное большинство мировых рекордов производительности было установлено на системах под управлением Linux? От высокопроизводительных вычислений и обработки больших данных до сетевых коммуникаций и энергоэффективности – Linux доминирует практически во всех дисциплинах.
• Возьмем, к примеру, тест LINPACK, который используется для составления списка Top500 самых мощных суперкомпьютеров мира. Этот тест измеряет скорость решения плотных систем линейных уравнений и является одним из основных показателей производительности суперкомпьютеров.
• Текущий рекорд в тесте LINPACK принадлежит суперкомпьютеру Frontier и составляет 1.2 экзафлопса (квинтиллиона операций с плавающей запятой в секунду). Frontier работает под управлением специализированного дистрибутива Linux и использует более 9408 оптимизированных 64-ядерных процессоров AMD Epyc Milan с частотой 2 ГГц и 37632 ускорителя AMD Instinct MI250x.
• Другой важный рекорд – скорость передачи данных по сети. В 2020 году команда исследователей из Университета Иллинойса, Калифорнийского технологического института и Ливерморской национальной лаборатории им. Лоуренса установила новый мировой рекорд пропускной способности сети – 1,2 петабита в секунду (Пбит/с) на расстоянии 1000 км. Это примерно в миллион раз быстрее, чем средняя скорость домашнего интернет-соединения.
• Для достижения такой скорости исследователи использовали экспериментальную сеть, состоящую из четырех оптических линий, каждая из которых работала на скорости 300 Гбит/с. Управляющие серверы этой сети работали под управлением модифицированного ядра Linux с поддержкой специальных сетевых протоколов и драйверов.
• Linux также помогает устанавливать рекорды энергоэффективности в центрах обработки данных (ЦОД). Проект Hyperscale Datacenter Efficiency (HDE) разрабатывает стандарты и практики для повышения эффективности использования энергии в крупных ЦОД. Участники проекта, такие как Google, Facebook, Intel и другие, регулярно публикуют отчеты о достижениях в этой области.
• Так, в 2021 году компания Supermicro объявила о достижении рекордной эффективности использования энергии (PUE) на уровне 1,008 для своего ЦОД в Кремниевой долине. Это означает, что на каждый ватт энергии, потребляемой серверами, тратится всего 0,008 ватт на охлаждение и другие накладные расходы. Ключевую роль в достижении такой эффективности сыграло использование серверов на базе процессоров Intel Xeon и ОС Linux с оптимизированным управлением питанием.
• Таким образом, Linux не только помогает устанавливать рекорды производительности, но и делает работу ИТ-систем более экологичной и экономичной. Благодаря открытости и гибкости Linux, исследователи и инженеры могут оптимизировать каждый аспект системы – от ядра ОС до прикладных библиотек и алгоритмов, добиваясь поразительных результатов.
#Linux
Исследователи из Лаборатории Касперского продолжают отслеживать APT SideWinder, активность которой в Южной и Юго-Восточной Азии, на Ближнем Востоке и в Африке ранее описывали в прошлогоднем отчете.
Группа агрессивно расширяла свою деятельность за пределы своих типичных целей (правительственные, военные и дипломатические структуры), заражая логистические компании и морскую инфраструктуру.
Новые замеченные ЛК атаки распространились на Австрию, Бангладеш, Камбоджу, Джибути, Египет, Индонезию, Мозамбик, Мьянму, Непал, Пакистан, Филиппины, Шри-Ланку, ОАЭ и Вьетнаме.
Среди дополнительных целей были выявлены атомные электростанции и инфраструктура ядерной энергетики в Южной Азии и Африке, а также телекоммуникационные, консалтинговые, ИТ-сервисные компании, агентства недвижимости и гостиничный бизнес.
SideWinder также фокусировалась на дипучреждения в Афганистане, Алжире, Болгарии, Китае, Индии, Мальдивах, Руанде, Саудовской Аравии, Турции и Уганде.
Причем таргетирование на Индию имеет важное значение, поскольку ранее предполагалось, что субъект угрозы имеет индийское происхождение.
Описывая APT как высокоразвитого и опасного противника, исследователи отмеячают, что SideWinder постоянно работает над улучшением своих наборов инструментов, опережая обнаружения антивирусным ПО, расширяя стойкость в сетях и сокрытие присутствия в зараженных системах.
Как только их инструменты идентифицированы, они реагируют, генерируя новую и измененную версию вредоносного ПО, часто менее чем за пять часов.
Если происходят поведенческие обнаружения, SideWinder пытается изменить методы, используемые для поддержания стойкости и загрузки компонентов.
Кроме того, они меняют имена и пути своих вредоносных файлов.
Ранее исследователи документировали использование SideWinder модульного набора инструментов постэксплуатации StealerBot для сбора широкого спектра конфиденциальной информации со скомпрометированных хостов.
Последние цепочки атак совпадают с теми, что наблюдались ранее.
Начальным вектором выступали фишинговые письма, которые реализуют доставку вредоносных документов, задействующих известную уязвимость в Microsoft Office (CVE-2017-11882) для запуска вредоносного шелл-кода.
Далее инициируется многоуровневый процесс заражения, который приводит к установке вредоносного ПО, названное Backdoor Loader.
Он действует как загрузчик для окончательного запуска StealerBot.
Backdoor Loader и StealerBot были подробно описаны в прошлогоднем отчете, но злоумышленник распространил многочисленные варианты загрузчика за последние месяцы, тогда как имплант остался неизменным.
Новые варианты вредоносного ПО содержат улучшенную версию кода антианализа и более широко используют сглаживание потока управления для обхода обнаружения.
В ходе расследования исследователи ЛК обнаружили также новую версию компонента Backdoor Loader на C++.
Логика вредоносного ПО та же, что и в вариантах .NET, но версия C++ отличается от имплантов .NET тем, что в ней отсутствуют методы антианализа.
Кроме того, большинство образцов были адаптированы под конкретные цели, поскольку они были настроены на загрузку второго этапа из определенного пути файла, встроенного в код, который также включал имя пользователя.
Несмотря на использование старого эксплойта, не стоит недооценивать этого субъекта угроз.
Фактически SideWinder уже продемонстрировала свою способность компрометировать критически важные активы и высокопоставленные цели, включая военные и правительственные.
Исследователи GreyNoise предупреждают о массовой эксплуатации критической уязвимости в PHP, приводящей к RCE на уязвимых серверах.
CVE-2024-4577 (оценка CVSS 9,8) может быть использована на серверах Windows, использующих Apache и PHP-CGI, если они настроены на использование определенных кодовых страниц, для удаленного внедрения аргументов и выполнения произвольного кода.
Поскольку реализация PHP в Windows не учитывает поведение «наилучшего соответствия», которое реализует преобразование символов Unicode в наиболее близкие по значению символы ANSI, злоумышленники могут указать определенные последовательности символов, которые при преобразовании будут неверно интерпретированы модулем php-cgi как параметры PHP.
Уязвимость была публично раскрыта в июне 2024 года, а первые попытки ее эксплуатации, приписываемые вымогателям, были зафиксированы всего два дня спустя.
На прошлой неделе исследователи Cisco предупредили, что с января 2025 года уязвимость использовалась в вредоносной кампании, нацеленной на японские организации в сфере образования, развлечений, электронной коммерции, технологий и телекоммуникаций.
В рамках атак злоумышленники задействуют инструменты для получения системных привилегий, меняют ключи реестра и добавляют запланированные задачи для обеспечения устойчивости, а также создают вредоносные службы с использованием плагинов Cobalt Strike TaoWu.
В свою очередь, GreyNoise констатирует, что эксплуатация CVE-2024-4577 не ограничивается Японией.
Фактически, заметные всплески активности наблюдались в США, Великобритании, Сингапуре, Индонезии, Тайване, Гонконге, Индии, Испании и Малайзии.
Посредством своей сети ханипотов GOG исследователи только в январе 2025 года обнаружили 1089 уникальных IP-адресов, пытающихся эксплуатировать CVE-2024-4577, при том, что на текущий момент доступно 79 общедоступных эксплойтов, нацеленных на эту уязвимость.
За последний месяц более 43% IP-адресов, использованных в атаках на CVE-2024-4577, располагались в Германии и Китая, а GreyNoise в феврале наблюдала рост эксплуатации систем по всему миру, что указывает на автоматизацию сканирования на предмет уязвимых целей.
CVE-2024-4577 влияет на все версии PHP на Windows и была устранена в версиях PHP 8.1.29, 8.2.20 и 8.3.8.
Пользователям рекомендуется обновить свои установки как можно скорее.
Как провести успешный пентест, взломать AD, скомпрометировать всё, что можно, и выйти из сети заказчика победителем?
Изучите техники и методики атак на инфраструктуру Active Directory на курсе от Академии Кодебай!
Наша практическая лаборатория содержит более 30 виртуальных машин, которые вам предстоит сломать. Запись до 13 марта — осталось 5 мест! Регистрация здесь.
Содержание курса:
✦ Архитектура AD
✦ Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
✦ Захват и укрепление позиций внутри инфраструктуры
✦ Применение и анализ популярных эксплоитов
Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff
Узнайте полную программу курса @Codeby_Academy
👨💻 Перейди по ссылке, и я узнаю твой номер.
• В цифровую эпоху уже никто не удивляется, когда ему названивают с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных мы подписываем и на каких сайтах оставляем свой номер.
• Но сейчас на рынке информационных услуг всё большую популярность набирают сервисы, занимающиеся деанонимизацией пользователей при одном лишь открытии сайта. Причём всё это преподносится как абсолютно легальный сервис для бизнеса, с соблюдением закона о персональных данных.
• В этой статье автор описывает кликджекинг-сервисы, которые пытаются получить сторонние cookies у зашедшего на страницу пользователя, чтобы затем проверить их у своих партнёров. Если у этого партнёра по переданным куки-файлам будет привязан номер телефона, то дело сделано, ваш номер найден.
• И всё вроде здорово, ведь по такой схеме, чтобы защититься от сбора ваших данных, пользователю можно просто запретить сторонние cookies... Но увы, не всё так просто, тут, как всегда, есть несколько очень важных нюансов:
➡ Читать статью [7 min].
#Разное
📦 Первые контейнеры.
• Первые контейнеры, официально называвшиеся именно этим термином, появились в феврале 2004 года в операционной системе Solaris 10 от Sun Microsystems, они использовались на серверах с архитектурой x86 и SPARC. Solaris Containers включали в себя изолированные «песочницы» для запуска ОС (в терминологии разработчика они назывались «зонами»), а также инструменты управления системными ресурсами, допускавшими создание «моментальных снимков» отдельных зон и их клонирование. То есть, механизмы оркестрации.
• Зоны представляли собой полностью изолированные виртуальные серверы внутри хостовой операционной системы. Каждый такой экземпляр ОС имел собственное сетевое имя, использовал выделенные сетевые интерфейсы, собственную файловую систему, набор пользователей (включая root) и конфигурацию. При этом для работы виртуального сервера не требовалось жестко выделять память или процессор — аппаратные ресурсы использовались общие, однако при необходимости администратор имел возможность зарезервировать определенные серверные мощности для какой-то конкретной зоны. Процессы внутри контейнеров выполнялись изолированно, не имели доступа друг к другу и потому не могли конфликтовать.
• Основным отличием Solaris Containers от предшественников (Process Containers, LXC и Warden, #Docker и #Kubernetes) можно назвать то обстоятельство, что, как и ранее, виртуальные ОС использовали ядро хостовой системы, но при желании администратор мог запускать копии системы в контейнерах с собственным ядром. Это стало следующим важным шагом в эволюции технологий контейнеризации.
#Разное
Исследователи Cisco Talos в новом отчете раскрывают новые кампании китайской APT Lotus Blossom, нацеленные на на правительственный, производственный, телеком и медиа секторы на Филиппинах, во Вьетнаме, Гонконге и Тайване с использованием обновленных версий уже известного бэкдора Sagerunex.
Lotus Blossom также известна с 2009 года как Billbug, Bronze Elgin, Lotus Panda, Spring Dragon и Thrip и задействует Sagerunex как минимум с 2016 года.
Впервые была профилирована компанией Symantec в июне 2018 года.
В конце 2022 года исследователи Symantec также подробно анализировали атаки APT на центр цифровой сертификации, а также на правительственные и оборонные учреждения в странах Азии, которые включали использование бэкдоров, таких как Hannotog и Sagerunex.
Последний считается обновленным вариантом ранее известного вредоносного ПО Billbug (Evora). Фактически это внедренный в DLL RAT, который использует различные сетевые стратегии для сохранения контроля.
Точный начальный вектор доступа в последних вторжениях неизвестен, однако Lotus Blossom обычно практикует проведение целевого фишинга и атак типа watering hole.
Наблюдавшаяся активность примечательна использованием двух новых вариантов вредоносного ПО, которые задействуют облачные сервисы, такие как Dropbox, Twitter и Zimbra для C2, заменяя оригинальный метод VPS.
Бэкдор предназначен для сбора информации о целевом хосте, ее шифрования и передачи на удаленный сервер злоумышленника. Версии Sagerunex для Dropbox и X использовались в период с 2018 по 2022 год, в то время как версия Zimbra существует с 2019 года.
Последняя предназначена не только для сбора информации о жертве и отправки ее на почтовый ящик Zimbra, но и для того, чтобы позволить злоумышленнику использовать содержимое почты Zimbra для отправления команд и управления машиной жертвы.
Если в почтовом ящике есть легитимный командный контент, бэкдор грузит его и извлекает команду, в противном случае удаляет контент и ожидает ее поступления.
Результаты выполнения команды впоследствии упаковываются в виде архива RAR, закрепляются к черновику электронного письма в «черновиках» и «корзине» почтового ящика.
Каждый вариант реализует различные проверки, такие как задержки на основе времени и системные проверки, для поддержания устойчивости.
Загрузчик вредоносного ПО внедряет бэкдор в память и использует шифрование для сокрытия данных. Кроме того, использование VMProtect скрывает код вредоносного ПО, чтобы избежать обнаружения антивирусом.
В атаках также используются другие инструменты, включая стилер для сбора учетных данных браузера Chrome, прокси-утилита с открытым исходным кодом Venom, программа для настройки привилегий, специальное ПО для сжатия и шифрования захваченных данных и модифицированный инструмент ретрансляции mtrain V1.01.
Кроме того, было замечено, что злоумышленник запускает такие команды, как net, tasklist, ipconfig и netstat для разведки целевой среды, а также осуществляет проверки для определения доступа в Интернет.
Причем если доступ в Интернет ограничен, у злоумышленника две стратегии: использовать настройки прокси-сервера цели для установления соединения или полагаться на Venom для подключения изолированных машин к системам, имеющим доступ в Интернет.
В совокупности найденные артефакты подчеркивают долгосрочную устойчивость и адаптивность тактики Lotus Blossom. IoC - в отчете.
🔐 Шифруем переписку: OpenKeychain.
• Как обеспечить передачу конфиденциальной информации через недоверенную сеть — интернет, где каждый, начиная провайдером и заканчивая администратором почтового сервера, может перехватить и прочитать передаваемую информацию?
• Если Вы используете Android, обратите внимание на приложение OpenKeychain, которое имеет открытый исходный код, проверенный компанией Cure53 на безопасность, прозрачно интегрируется с почтовым клиентом K-9 Mail, Jabber-клиентом Conversations и даже может передавать зашифрованные файлы в приложение EDS (Encrypted Data Store). Всё что нужно - это сгенерировать ключ и правильно передать его тому с кем мы хотим осуществить обмен информацией.
➡Домашняя страница;
➡GitHub;
➡F-Droid;
➡4PDA.
#Шифрование
Исследователи Proofpoint раскрывают новую узкотаргетированную фишинговую кампанию, нацеленную на не менее пяти организации ОАЭ в области авиации, спутниковой связи и критической инфраструктуры с использованием ранее недокументированного бэкдора Sosano.
Выявить вредоносную активность удалось в конце октября 2024 года и с тех пор отслеживается как новый кластер с условным наименованием UNK_CraftyCamel.
Примечательным аспектом цепочки атак является задействование злоумышленником доступа к скомпрометированному почтовому аккаунту индийской компании INDIC Electronics для отправки фишинговых сообщений и доставки Sosano.
Индийская компания по производству электроники имела доверительные деловые связи со всеми целями кампании, а приманки были персонально адаптированы под каждую из них.
В электронных письмах содержались URL-адреса, указывающие на домен, мимикрирующий под индийскую компанию («indicelectronics[.]net»), на котором размещался ZIP-архив, включающий файл XLS и два файла PDF.
Но на самом деле XLS был ярлыком Windows (LNK), использующим двойное расширение, выдавая себя за документ Microsoft Excel.
Два PDF являлись полиглотами: один был дополнен файлом HTA, а другой — прикрепленным к нему архивом ZIP.
Оба PDF-файла могли быть интерпретированы как два разных допустимых формата в зависимости от того, как они анализируются с использованием таких программ, как файловые менеджеры, инструменты командной строки и браузеры.
Последовательность атаки включала в себя использование файла LNK для запуска cmd.exe, а затем - mshta.exe для запуска файла-полиглота PDF/HTA, что приводило к выполнению скрипта HTA, который, в свою очередь, содержал инструкции по распаковке содержимого архива ZIP, присутствующего во втором PDF-файле.
Один из файлов во втором PDF-файле представляет собой файл интернет-ярлыка (URL), который отвечает за загрузку двоичного файла, который реализует посредством файла изображения декодирование и запуск бэкдора DLL под названием Sosano.
Написанный на языке Golang, имплантат обладает ограниченной функциональностью, позволяющей устанавливать связь с C2 для выполнения дальнейших команд, в том числе запуска неизвестной полезной нагрузки следующего этапа.
Proofpoint отмечает при этом, что активность UNK_CraftyCamel не пересекаются с действиями других известных злоумышленников или групп, но скорее всего, связана с Ираном, учитывая целевые сектора (авиация, спутниковая связь, критически важная транспортная инфраструктура в ОАЭ).
При этом мелкий масштаб в сочетании с многочисленными методами сокрытия, а также доверенную стороннюю компрометацию для атаки, указывают на стратегическую заинтересованность APT-актора в получении разведывательной информации.
🚨Собираем пожарную команду на практикум Слёрма по SRE для инженеров.
Будем тушить инцидент сервиса покупки билетов в кинотеатр, чтобы понять, как выглядит работа SRE-специалиста в реальности.
Программа сделана с участием SRE-инженеров из ведущих международных компаний — Google, Booking, Databricks, TangoMe, Яндекс, Ecommpay, Финам.
На курсе-интенсиве:
🔹 научим быстро поднимать продакшн силами команды;
🔹 покажем, какие метрики собирать и как это делать правильно;
🔹 расскажем, как решать конкретные проблемы, связанные с надежностью сервиса;
🔹 внедрим правки прямо в прод;
🔹 рассмотрим, как снизить ущерб от отказов в будущем.
Старт — 17 марта.
Посмотреть программу и подать заявку — по ссылке 📍
Реклама. ООО "СЛЁРМ". ИНН 3652901451. erid: 2W5zFGnBjs6
• А Вы знали, что в 1970-х годах дизайн китайских компьютеров и клавиатуры кардинально отличался от того, каким был на заре компьютерных технологий? Ни один из проектов, появившихся в ту эпоху, не использовал клавиатуру типа QWERTY, а если говорить о клавишах-модификаторах, то это вообще была целая наука. Мы привыкли к тому, что, грубо говоря, а + Shift = A. А что если бы a + Shift + Shift давало бы на выходе ắ? Это просто пример, но примерно так и была устроена одна из самых успешных и знаменитых систем — IPX, которая имела интерфейс со 120 уровнями «сдвига» (Shift). Это позволяло умещать около 20 000 китайских иероглифов и других символов в пространстве, лишь немногим большем, чем интерфейс QWERTY.
• Другие клавиатуры имели от 256 до 2 000 клавиш. Третьи вообще даже нельзя назвать клавиатурами, ведь у них не было клавиш. Они обходились стилусом и сенсорным планшетом или сеткой китайских иероглифов, обернутой вокруг вращающегося цилиндрического интерфейса.
• К середине 1970-х годов после многих лет разработок команда Пекинского университета остановилась на клавиатуре с 256 клавишами, 29 из которых предназначены для различных функций, а остальные 227 — для ввода текста. Каждое нажатие клавиши генерировало 8-битный код, сохраняемый на перфоленте. Эти 8-битные коды затем были преобразованы в 14-битный внутренний код, который компьютер использовал для получения нужного символа.
• Всего клавиатура содержала 423 полноценных китайских иероглифа и 264 символьных компонента. В окончательном варианте на клавиатуре Пекинского университета можно было вводить в общей сложности 7 282 китайских иероглифа. По оценкам команды, это составляло более 90% всех иероглифов, использующихся в повседневности. С помощью одного нажатия можно было ввести 423 наиболее распространенных символа. С помощью двух — 2 930 символов, с помощью трех — 3 106. Остальные 823 символа потребовали четырех или пяти нажатий клавиш.
• Клавиатура Пекинского университета была лишь одной из многих в той эпохе. IBM в 1970-х годах создала собственную 256-клавишную клавиатуру для китайского и японского языков. Она включала 12-значную клавиатуру, с помощью которой оператор мог переключаться между 12 полноценными китайскими иероглифами, расположенными на каждой клавише (всего 3 072 символа). В 1980 году профессор Китайского университета Гонконга Ло Шиу-чан разработал клавиатуру, которая также имела 256 клавиш.
➡️ https://spectrum.ieee.org/chinese-keyboard
#Разное