24322
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
🕸 Зарождение Google.
• Чуть больше 24-ти лет назад Google размещался на порядка 100 серверах, которые сами же Ларри Пейдж и Сергей Брин монтировали в стойку и обвязывали между собой! При этом они использовали дешевые комплектующие, что б хоть как то снизить стоимость инфраструктуры их поисковой системы. Первые серверы интернет-гиганта имели довольно необычный вид (на фото), чего только стоили кнопки перезагрузки на передней панели каждого из них и довольно странный, но в тоже время интересный метод пробковой изоляции комплектующих от чего сами серверы получили название «Corkboard».
• На данный момент количество серверов Google, как физических так и виртуальных, далеко перевалило за отметку в 1 млн единиц. Компания вкладывает миллиарды долларов в инфраструктуру и сейчас профит с каждого сервера больше, чем это было в самом начале создания поисковой машины.
• Поскольку комплектующие довольно часто давали сбой, система требовала эффективного отказоустойчивого ПО, потому команда Google больше делала акцент на софт, нежели занималась железом на котором этот софт «крутился».
• В далеком 1999 году Google сделал свой самый объемный заказ на оборудование. Компании King Star Computer необходимо было меньше чем за месяц подготовить порядка 1680 серверов. За каждые 80 серверов Google согласился заплатить $10 тыс предоплаты, а после поставки оплатить еще $99,2 тыс. Как следствие, общая сумма контракта составила почти $2,3 млн, не считая дополнительных бонусов. В заказ входил 21 шкаф, каждый из которых имел по 20 полок и 60 кулеров на задней панели. На каждой полке было размещено по 4 сервера следующей конфигурации:
- материнская плата Supermicro P6SBM;
- процессор x86-совместимой микроархитектуры Intel Pentium II 400;
- оперативная память 256MB PC100;
- 2 жестких диска IBM Deskstar 22GXP;
- сетевая плата Intel 10/100;
- кнопка перезагрузки системы;
- LED-индикатор жестких дисков;
- 2 IDE шлейфа;
- 2,13 м интернет кабеля категории 5.
• Основатели компании Google пришли к выводу, что лучшим способом масштабирования экономической эффективности является самостоятельная разработка аппаратных решений, а не закупка их на стороне. Интернет-гигант и по сей день работает в этом направление, разворачивая самостоятельно дата-центры по всему миру.
#Разное
📘 История подростка, взломавшего Twitter и укравшего миллионы долларов.
• 15 июля 2020 года на аккаунте Илона Маска появился следующий твит:
«Отправьте мне биткоин на тысячу долларов, и я верну вам две тысячи. Это предложение действительно только в течение 30 минут".
📲 Мобильник для перехвата чужих SMS сообщений.
• Есть такая занимательная статистика, которая демонстрирует топ самых продаваемых мобильных телефонов в истории. Первое место в этой статистике занимает Nokia 1100, а общее число продаж этого телефона перевалило за 250 миллионов. Вот Вам забавная история, которая случилась в далеком 2009 году...
• В процессе расследования дела о почтовом мошенничестве в Нидерландах полиция столкнулась с весьма интересным фактом – неизвестный покупатель отдал 25 тысяч евро за телефон Nokia 1100. Данная бюджетная модель была выпущена в конце 2003 г. и предназначалась для развивающихся рынков, а цена телефона составляла менее 100 евро.
• В попытках выяснить, почему хакеры готовы платить такие большие деньги за дешевый и внешне непримечательный аппарат, полиция обратилась к компании Ultrascan Advanced Global Investigations. Эксперты Ultrascan выяснили, что хакеров привлекают не все аппараты Nokia 1100, а только изготовленные на фабрике Nokia в г. Бохум (Германия).
• Эта серия аппаратов была признана бракованной из-за проблем в устаревшем программном обеспечении, созданном еще в 2002 г. За счет этого самого «брака» хакеры научились перехватывать чужие SMS сообщения, в частности, одноразовые коды для банковских транзакций — mTAN (mobile Transaction Authentication Number), которые европейские банки присылали своим клиентам по SMS.
• Таким образом, получается, что хакерам оставалось лишь подключить этот телефон (без какой бы то ни было перепрошивки) к снифферу наподобие #WireShark и дело в шляпе — можно перехватывать SMS, а затем перевести деньги на свой счет.
• Интересно заметить, что на момент инцидента (2009 год), компания Nokia продала во всем мире более 200 миллионов экземпляров Nokia 1100 и моделей на ее базе, однако количество уязвимых аппаратов остается неизвестным...
#Разное
🔎 Archie: первый в мире поисковик.
• До появления поисковиков пользователь был вынужден заходить на FTP-серверы и вручную просматривать каждый документ, ориентируясь только на краткое описание. Вы не могли ввести куда-то запрос из серии: «Сколько весит слон?» и получить мгновенную пачку ответов. Проблему вызвался решить Алан Эмтейдж, который в 1990 году разработал первый в мире поисковик Archie на Unix.
• Если кратко, Archie представлял собой набор скриптов, которые выполняли поиск по списку общедоступных FTP-серверов с использованием протокола Telnet и создавали индексные файлы. Пользователь вводил тему и получал в ответ список адресов в виде доступного каталога документов. При этом Archie оказался удивительно производительным: мог обработать до 2 миллионов файлов, распределенных на сотнях серверов всего за пару минут.
#Разное
Исследователи из Лаборатории Касперского продолжают подводить итоги уходящего года и делать прогнозные оценки по угрозам на следующий, на этот раз связанным с даркнетом.
1. Как и предполагали в прошлом году исследователи, в 2024 году число сервисов, предлагающих крипторы в функционале своих коммерческих решений для обхода защитного ПО, увеличилось.
Цены на подобные инструменты остались прежними: от 100 долл. в месяц за обычные крипторы до 20 000 долл. за частные премиум-подписки. Последние постепенно вытесняют публичные предложения.
2. Продолжили развиваться сервисы распространения загрузчиков.
В даркнете фигурировали загрузчики с разной функциональностью: от массовых и дешевых до узкоспециализированных, разработанных по индивидуальным требованиям и продаваемых за тысячи долларов.
Кроме того, злоумышленники все чаще стали использовать несколько языков программирования.
Например, клиентская часть вредоносного ПО может быть разработана на C++, а серверная административная панель - на Go.
Помимо разнообразия предложений загрузчиков, также отмечен спрос на специфические инструменты, которые запускают определенные цепочки заражения.
4. В 2024 году на теневых рынках фиксировался рост активности дрейнеров, инструментов для кражи криптоактивов, таких как токены или NFT.
При этом количество уникальных тем с обсуждениями дрейнеров на подпольных рынках выросло с 55 в 2022 году до 129 в 2024 году.
Разработчики дрейнеров все больше внимания уделяют работе с постоянными клиентами, при этом основная часть деятельности ведется через каналы, доступные только по приглашению.
С функциональной точки зрения дрейнеры претерпели мало изменений, преимущественно добавлялась поддержка новых видов криптоактивов — монет, токенов и NFT.
Кроме того, в 2024 году появился первый мобильный дрейнер.
5. Схемы генерации черного трафика на подпольных рынках сохраняли свою популярность в 2024 году.
Подобные услуги активно продавались на подпольных рынках, а стабильный спрос подчеркивал эффективность распространения вредоносного ПО через популярные рекламные платформы.
6. Рынок же биткойн-миксеров и сервисов анонимизации криптовалюты существенных изменений не показал.
Как прогнозируют в ЛК, в 2025 году будут актуальны следующие тренды:
- утечки данных через подрядчиков;
- миграция преступной деятельности из Telegram на форумы даркнета;
- реализация масштабных и громких операций правоохранителей против APT-группировок;
- сервисы по распространению стилеров и дрейнеров станут еще популярнее в даркнете;
- фрагментация групп вымогателей;
- эскалация киберугроз на Ближнем Востоке: расцвет хактивизма и вымогательства.
Стать этичным хакером за 4 месяца: попробуйте техники взлома на практике и зарабатывайте на Bug Bounty
Используйте промокод [Название этого канала]+10 и получите скидку 10%! Пишите нам @Codeby_Academy
Запись до 20 декабря! 🎄
Программа курса:
- эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
- SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
- техники повышения привилегий, Client-side атаки (XSS, CSRF)
Записаться на курс
Исследователи F.A.С.С.T. в новом отчете подводят итоги 2024 и прогнозируют основные тренды на 2025 год.
В целом основные показатели по условным категориям представлены следующим образом:
1. Сливы этого года: в публичном доступе появилось 259 ранее не опубликованных баз данных российских компаний (в 2023 году их было 246).
В этом году в Telegram появилось множество как закрытых, так и публичных каналов, которые публикуют ранее приватные утечки либо повторно распространяют уже опубликованную информацию.
Самой объемной «мегаутечкой» стал архив из 404 баз данных.
2. Градус жадности: число ransomware-атак выросло на 44% по сравнению с предыдущим годом.
При этом в 10% подобных инцидентов целью киберпреступников был не выкуп, а диверсия для нанесения максимального ущерба жертве.
Чаще всего задействовались шифровальщики LockBit 3 Black и Mimic (на них пришлось до 50% инцидентов), а также Babuk, LokiLocker/BlackBit и Phobos.
К уже известным Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada добавились новые угрозы: MorLock, Head Mare, Masque, Enmity, Proton, Sauron.
Замечены также и те, которые используют для шифрования легитимное ПО: например, группы DCHelp с программой DiskCryptor, Salted2020, использующей OpenSSL и BitLocker, и др.
Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1000-$50 000), а для крупных и средних компаний (каждая пятая атака вымогателей), запросы преступников начинались от 5 млн рублей ($50 000).
Отличилась Shadow, орудующая под именем Darkstar, затребовав от одной из жертв выкуп в 300 млн рублей ($3 млн). А рекорд по скорости развития атаки поставила HsHarada: от «пробива» инфраструктуры до «разлива» шифровальщика - менее трех часов.
3. Высокое давление: число APT, атакующих Россию и СНГ выросло до 27 (в 2023 году было известно о 14 группировках), а групп хактивистов - до 17 (в 2023 - 13).
Наиболее активными были проукраинские APT Sticky Werewolf, Cloud Atlas, PhantomCore, а также пока неатрибутированные к конкретной стране Core Werewolf и XDSpy.
4. Почтовый шпион: рассылка вредоносных писем остаeтся одним из самых популярных векторов атаки на российские компании, а в «начинке» фишинговых писем чаще всего встречаются шпионское ПО и стилеры, их доля составила 69%.
В первой половине 2024-го самым популярным у киберпреступников, как и в предыдущие годы, было шпионское ПО AgentTesla.
После ликвидации его инфраструктуры летом этого года в лидеры вышли FormbookFormgrabber, инструмент для кражи учетных записей и персональных данных, и загрузчик CloudEyE.
5. Ссылки в зоне ru: в 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10 112, фишинговых ссылок - с 2441 до 3714, мошеннических (скам) ресурсов — с 5437 до 6398 на бренд.
Главный вывод - масштабы киберугроз растут по всем фронтам, что отразилось и в прогнозах на 2025:
- рост количества атакующих, атак на мобильные устройства, атак с использованием ИИ и целевых атак на цепочки поставок (Trusted Relationship).
- расширение фишинговых атак на многофакторную аутентификацию (MFA).
- появление новых мошеннических схем и модификации уже известных («Мамонт»).
- архивы останутся самым популярным доставщиком вредоносной нагрузки в фишинговых письмах, но их упаковка будет меняться.
- рост доступности вредоносного ПО расширит возможности кибератак.
🪟 Скрытые функции Windows: откуда взялись BEAR, BUNNY и PIGLET?
• Если покопаться в системных файлах Windows 95, там можно было обнаружить недокументированные функции с именами наподобие BEAR35, BUNNY73 и PIGLET12. Откуда взялись эти дурацкие имена? Оказывается, что у них занятная история:
• «Мишка» (Bear) был талисманом Windows 3.1. Это был плюшевый мишка, которого всюду таскал за собой Дэйв — один из самых главных программистов, занятых в проекте. Когда он приходил к кому-нибудь в офис, он запускал мишку в монитор, чтобы на него отвлеклись.
• Кроме имён системных функций, Мишка засветился ещё в двух местах в Windows 3.1. В диалоге выбора шрифта для DOS-окна, если выбрать маленький шрифт, можно было увидеть в списке файлов несуществующий файл BEAR.EXE.
• Мишка перенёс немало издевательств. Однажды через его голову продели шнур питания, от уха до уха. В другой раз ему в зад запихали петарду. Ко времени Windows 95 состояние Мишки стало уже плачевным, так что его отставили с должности, и заменили розовым кроликом, получившим кличку Кролик (Bunny). Но Мишка-ветеран не отправился на помойку: дети одного из менеджеров сжалились над ним, и неплохо подлатали.
• Дэйв занимался в основном GUI, так что названия BEAR и BUNNY получали функции, относящиеся к интерфейсу с пользователем. Ядром занимался Майк, а у него был плюшевый диснеевский Пятачок. Так что когда нужно было назвать в ядре новую функцию для внутреннего использования, её называли PIGLET.
• Примечание: BEAR и BUNNY до сих пор живы в 32-битных версиях Windows. Раньше BEAR жил в \Windows\System32\user.exe, а BUNNY в \Windows\System32\krnl386.exe; но начиная с Windows 8, они переехали в каталог \Windows\WinSxS\x86_microsoft-windows-ntvdm-system32-payload_31bf3856ad364e35_<версия>_none_<хэш>\
➡️ https://devblogs.microsoft.com/oldnewthing/20030818-00/?p=42873
#Разное
⚡️ Эльфы из SOC'а обнаружили это сообщение во внутренней сети системы распределения подарков... новое задание уже ждет вас!
➡️ @codeby_se_bot
Исследователи Symantec в новом отчете раскрывают подробности шпионской APT-кампаний, нацеленной на известные организации в Юго-Восточной Азии.
Кибератаки инициировались как минимум с октября 2023 года и были направлены на организации из различных секторов, включая правительственный сектор в двух разных странах, организацию по управлению воздушным движением, телекоммуникационную компанию и СМИ.
Первоначальный вектор заражения исследователям Symantec установить не удалось ни в одной из атак.
Известно, что злоумышленниками задействовались инструменты, которые ранее были замечены в арсенале китайских APT и включали как опенсоср-технологий, так и LotL.
При этом в Symantec отмечают прокси под названием Rakshasa и использование файла легального приложения (Bitdefender Crash Handler) от 2011 года для загрузки DLL. Оба инструмента ранее применялись Earth Baku (также известной как APT41, Brass Typhoon).
Полный перечень инструментария включал: Dismap, FastReverseProxy, Impacket, Infostealer, Inveigh, keylogger, NBTScan, ReverseSSH, SharpGPOAbuse, SharpNBTScan, Stowaway Proxy Tool, TightVNC, а также living off the land: PowerShell, Reg.exe и WMI.
В ходе атак был развернут PlugX (он же Korplug), троян удаленного доступа, используемый сразу несколькими китайскими хакерскими группами.
Акторы также устанавливали настроенные DLL-файлы, которые действуют как фильтры механизма аутентификации, что позволяло им перехватывать учетные данные для входа.
В ходе одной из атак, продолжавшейся в течение трех месяцев с июня по август 2024 года, злоумышленник проводил разведывательные мероприятия и кражу паролей, а также устанавливал кейлоггер и запускал полезные нагрузки DLL, способные перехватывать данные для входа пользователя в систему.
Symantec отметила, что злоумышленникам удалось сохранить скрытый доступ к скомпрометированным сетям в течение длительного времени, что позволило им собирать пароли и составлять карты сетей, представляющих интерес.
Собранная информация сжималась в защищенные паролем архивы с помощью WinRAR, а затем загружалась в облачные хранилища, такие как File.io.
Столь длительный период ожидания и расчетливый подход подчеркивают изощренность и настойчивость субъекта угроз.
Хотя злоумышленники в этой кампании использовали широкий выбор TTP, географическое расположение целевых организаций, а также использование ранее детектированных инструментов (связанных с APT31, APT41 и APT27) позволяет предположить, что выявленная активность - это дело рук китайских акторов.
Учитывая, что многие из этих китайских APT часто делятся инструментами и используют схожие TTP, конкретная атрибуция в этом случае невозможна.
Индикаторы компрометации - в отчете.
🖥 FTP. 1971.
• Именно в 1971 году родившийся в Индии студент магистратуры MIT Абхай Бхушнан впервые разработал File Transfer Protocol. FTP, появившийся спустя два года после telnet, стал одним из первых примеров работающего пакета приложений для системы, которая в дальнейшем стала известна как ARPANET. Он обогнал электронную почту, Usenet и даже стек TCP/IP. Как и telnet, FTP по-прежнему используется, хоть и ограниченно. Однако в современном Интернете он потерял значимость, в основном из-за проблем с безопасностью, а его место занимают альтернативные протоколы с шифрованием — в случае FTP это SFTP, протокол передачи файлов, работающий поверх протокола Secure Shell (SSH), по большей мере заменившего telnet.
• FTP настолько стар, что появился раньше электронной почты, а в начале он сам играл роль email-клиента. Наверно, неудивительно, что среди множества программ прикладного уровня, созданных для раннего ARPANET именно FTP выделился и проложил себе дорогу в мир современных технологий.
• Причина этого сводится к его базовой функциональности. По сути, это утилита, упрощающая передачу данных между хостами, однако секрет его успеха заключается в том, что он в определённой степени сгладил различия между этими хостами. Как говорит Бхушан в своём рабочем предложении (RFC), самая большая сложность использования telnet в то время заключалась в том, что каждый хост немного отличался от другого.
• Придуманный им протокол FTP пытался обойти сложности непосредственного подключения к серверу при помощи способа, который он назвал «косвенным использованием»; этот способ позволял передавать данные или исполнять программы удалённо. «Первая сборка» протокола, которая десятки лет спустя по-прежнему используется, хотя и в видоизменённом виде, использовала структуру директорий для исследований различий между отдельными системами.
• Автор приступил к разработке протокола из-за очевидной потребности в приложениях для зарождающейся системы ARPANET, в том числе из-за потребности в электронной почте и FTP. Эти первые приложения стали фундаментальными строительными блоками современного Интернета и за последующие десятилетия сильно усовершенствовались.
• Бхушан рассказал, что из-за ограниченных возможностей компьютеров того времени сначала функции электронной почты были частью FTP и позволяли распространять письма и файлы по протоколу в более легковесной формате. И в течение четырёх лет FTP был своего рода электронной почтой.
• Разумеется, Бхушан был не единственным, кто принял участие в разработке этого фундаментального раннего протокола, ведь после выпуска из вуза он получил должность в Xerox. Созданный им протокол продолжил своё развитие без него, получив в 1970-х и 1980-х серию обновлений в виде RFC; в том числе примерно в 1980 году появилась его реализация, позволявшая обеспечивать поддержку спецификации TCP/IP...
• В отличие от ситуации с IRC (когда у протокола отобрали популярность коммерческие инструменты) и Gopher (рост которого погубил внезапный переход на коммерческую модель), FTP сейчас уходит из веб-браузеров потому, что его возраст подчёркивает отсутствие инфраструктуры безопасности.
• Самые распространённые способы его использования, например, для организации публично доступных анонимных FTP-серверов, по сути, потеряли свою популярность. А в своей основной нише он в конечном итоге был заменён более защищёнными и современными версиями, например SFTP.
• Уверен, что какой-нибудь технарь может заявить, что FTP никогда не умрёт, потому что для него всегда найдётся специализированная область применения. Да, это возможно. Но у подавляющего большинства людей после отключения FTP в браузере Chrome, вероятно, не будет причин искать способы подключиться к нему снова.
• Если уход FTP из веб-браузеров ускорит его окончательную гибель, то быть по сему. Однако в течение пятидесяти с лишним лет, меняя версии и вариации, он служил нам верой и правдой.
#Разное
👨💻 Анализ безопасности Wi-Fi.
• Подробное исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3: какие атаки и уязвимости существуют, и какой инструментарий применяется для их эксплуатации.
• Все эксперименты проводились на ноутбуке с #Kali Linux, при помощи адаптера TP-Link Archer T3U Plus, беспроводного роутера Keenetic-8990 и смартфона в качестве клиента.
• Содержание:
- Краткий экскурс в историю;
- Разбор атак на WPA2-PSK;
- Разбор атак на WPA2-Enterprise;
- Разбор атак на WPA3;
- Стратегии защиты;
- Полезные источники (книги, статьи, презентации).
➡ Читать статью [13 min].
#WiFi
🔒 Cryptography for Hackers.
• Encryption and Decryption in Cryptography;
• Popular Cryptographic Methods;
• Hashing in Cryptography;
• Difference Between Data-at-Rest and Data-in-Transit Cryptography;
• Finding the Cryptography Algorithm from Encrypted Text:
- Step-by-Step Process;
- Step-by-Step Character Review and Conditions;
• Scenario: Received Encrypted Text:
- Step-by-Step Example;
• Arithmetic and Logic Operations:
- Set Operations;
- Logic Operations;
- Arithmetic Operations;
- Bitwise Operations;
- ROT Cipher Operations;
• Compression and Decompression Techniques:
- Compression and Decompression Methods;
• Block and Stream Ciphers;
• Hashing Algorithms and Checksum Methods;
• Technical Analysis of Cryptographic Operations;
• Data Format Conversion Algorithms.
#Криптография
🎄 В преддверии Нового Года разыгрываем годовую подписку на журнал «Хакер».
• Целых 30 (!) призовых мест, а итоги подведем ровно через неделю (14 декабря, в 11:30 по московскому времени) с помощью бота, который рандомно выберет победителя.
• Напоминаю, что участники сообщества Xakep.ru получают несколько материалов в неделю: мануалы по кодингу и взлому, гайды по новым возможностям и эксплойтам, подборки хакерского софта и обзоры веб-сервисов. Не упусти возможность вступить в сообщество и выигрывать 1 из 30 призов.
Для участия нужно:
1. Быть подписанным на наш канал: Mr. Robot.
2. Подписаться на каналы наших друзей: infosec.
3. Нажать на кнопку «Участвовать»;
4. Profit...
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
🗣 Сергей Лебедь, Сбер: Мы делаем аналитику киберугроз для всей страны
Сергей Лебедь, вице-президент Сбера по кибербезопасности, рассказал порталу Cyber Media о ключевых результатах работы по защите инфраструктуры банка, особенностях противодействия современным киберугрозам и первых итогах программы Bug Bounty, а также о ситуации с кадрами.
Разгадайте тайну новогоднего подарка в новом задании!🎄
➡️ @codeby_se_bot
Возвращаясь к ботнетам, исследователи BitSight сообщают, что о резком увеличении BadBox, который смог заразить 192 000 устройств Android после того, как его обезвредили немецкие спецслужбы.
В BitSight предупреждают, что вредоносное ПО, по всей видимости, расширило охват своего воздействия за пределы китайских брендов Android-устройств, заражая теперь более известные и распространенные, такие как телевизоры Yandex и смартфоны Hisense.
BadBox - вредоносное ПО для Android, предположительно, на базе штамма Triada, которое нацелено на устройства посредством атак на прошивки в цепочке поставок, через инсайдеров, либо путем внедрения на этапе распространения продукции.
Впервые был обнаружен на Android TV-приставке T95, купленной на Amazon канадским ИБ-консультантом Дэниелом Милишичем в начале 2023 года. С тех пор вредоносная кампания охватила и другие малоизвестные продукты, продаваемые в Интернете.
Главной целью кампании BadBox является финансовая выгода, которая достигается путем задействования устройства в качестве резидентного прокси или для совершения мошенничества с рекламой.
Кроме того, вредоносное ПО BadBox может использоваться для установки дополнительных вредоносных программ на устройства Android, позволяя выполнять более серьезные вредоносные операции.
На прошлой неделе представители Федеральное ведомство по ИБ Германии (BSI) отрапортовали об успешной операции, в результате которой силовикам удалось нейтрализовать активность BadBox в стране, взломав один из С2-серверов и отключив связь с 30 000 устройств Android.
В числе них были цифровые фоторамки и устройства для потоковой передачи мультимедиа на базе Android, но BSI предупредила, что BadBox, скорее всего, может присутствовать также и в других категориях продуктов.
Аналогичным образом один из С2 удалось похакать исследователям BitSight, которые констатировали, что BADBOX несмотря на усилия немцев живее всех живых.
Только за 24 часа наблюдения Bitsight детектировали более 160 000 зараженных устройств, причем число продолжает расти.
Число обнаруженных устройств значительно превысило ранее наблюдавшееся пиковое значение и достигло 74 000.
В числе зараженных устройств - очень популярный в России телевизор Yandex 4K QLED Smart TV и смартфон Hisense T963.
Основная масса зараженных девайсов располагается в России (до 113 000), затем следуют Китай (до 60 000), Индия, Белоруссия, Бразилия и Украина (от 1800 до 30 000).
BitSight отмечает, что недавняя операция BSI никак фактически не повлияла на телеметрические данные, поскольку действие было географически ограничено, что позволило вредоносному ПО BadBox для Android беспрепятственно продолжить свою деятельность.
Будем следить.
Fortinet предупреждает о критической уязвимости безопасности в Wireless LAN Manager (FortiWLM), которая может привести к раскрытию конфиденциальной информации.
CVE-2023-34990 имеет оценку CVSS 9,6 и позволяет удаленному неаутентифицированному злоумышленнику прочитать конфиденциальные файлы.
Согласно описанию уязвимости в NIST (NVD), уязвимость обхода пути также может быть использована злоумышленником для выполнения несанкционированного кода или команд с помощью специально созданных запросов к конечной точке /ems/cgi-bin/ezrf_lighttpd.cgi.
Она затрагивает FortiWLM версий 8.6.0–8.6.5 (исправлено в 8.6.6 и выше) и 8.5.0–8.5.4 (исправлено в 8.5.5 и выше).
Раскрытие приписывается исследователю безопасности Horizon3.ai Заку Хэнли.
При этом, CVE-2023-34990 относится к уязвимости ограниченного чтения файлов без аутентификации, которую Horizon3.ai раскрыла еще в марте в составе широкого набора из шести недостатков в FortiWLM.
Проблема возникает из-за отсутствия проверки входных данных в параметрах запроса, что позволяет злоумышленнику просматривать каталоги и читать любые файлы журналов в системе.
Успешная эксплуатация CVE-2023-34990 может позволить злоумышленнику прочитать файлы журнала FortiWLM и получить идентификатор сеанса пользователя и логин, что позволит ему также эксплуатировать аутентифицированные конечные точки.
Кроме того, злоумышленники могут воспользоваться тем, что идентификаторы веб-сеансов не меняются между сеансами пользователей, чтобы перехватить их и получить административные разрешения на доступ к устройству.
И это еще не все.
Злоумышленник также может объединить CVE-2023-34990 с CVE-2023-48782 (оценка CVSS: 8,8), уязвимостью аутентифицированного внедрения команд, которая также была исправлена в FortiWLM 8.6.6 для получения RCE в контексте root.
Помимо нее Fortinet также исправила серьезную уязвимость внедрения команд CVE-2024-48889 (CVSS: 7.2) в FortiManager, которая позволяет аутентифицированному удаленному злоумышленнику выполнить несанкционированный код с помощью запросов, созданных FGFM.
Учитывая, что устройства Fortinet становятся объектом первоочередных устремлений киберподполья, крайне важно обновить свои экземпляры для защиты от потенциальных угроз.
💻 Бесплатный мини-курс: MySQL для новичков.
• Еще один бесплатный курс от Selectel для новичков, который описывает установку и настройку базы данных MySQL и как ими управлять, Вы научитесь работать с таблицами и разными типами данных, создавать ключи и настраивать права доступа. В конце курса — подборка полезных книг, которые точно пригодятся в начале пути.
- Как установить MySQL на Windows;
- Как установить и настроить MySQL в Ubuntu 20.04;
- Создание базы данных в MySQL;
- Типы данных в MySQL;
- Как создавать таблицы в MySQL (Create Table);
- Создание нового пользователя и настройка прав в MySQL;
- Сброс пароля root в MySQL;
- ALTER TABLE — изменение таблицы в SQL;
- Insert в MySQL — добавление данных в таблицу;
- Работа с командой UPDATE — как обновить данные в таблице MySQL;
- Как установить и использовать MySQL Workbench;
- Как создать первичные и внешние ключи MySQL;
- Книги по MySQL: пособия для начинающих и продолжающих.
#MySQL
👾 Icelandic. 1989.
• Предметом искусства может быть картина, скульптура, поэма, симфония и даже компьютерный вирус, как бы странно это не звучало. К сожалению, создание вирусов в наши дни сопряжено с извлечением выгоды из своего творения или причинением вреда окружающим. Однако на заре компьютерных технологий вирусописатели были истинными художниками, чьими красками были кусочки кода, умело смешанные они превращались в шедевр. И цель их была не столь обидеть кого-то, сколь заявить о себе, продемонстрировать свой ум и смекалку и, порой, просто позабавить людей. Сегодня поговорим о первом вирусе, который инфицировал исключительно файл .exe на системе DOS:
• Вирус под названием Icelandic попадал на компьютер в виде файла .exe, при запуске которого вирус проверял наличие себя самого в памяти системы. Если его копии там не было, вирус становился резидентным. Также он модифицировал некоторые блоки памяти дабы скрыть свое присутствие. Это могло привести к падению системы, если программа пыталась провести запись на эти самые блоки. Вирус далее заражал каждый десятый исполняемый файл, добавляя в конце каждого свой код. Если же файл был формата «read only», Icelandic удалял свой код.
• Если на компьютере использовались жесткие диски объемом более 10 мегабайт, вирус выбирал область FAT, которая не использовалась, и помечал ее как битую. Эта операция проводилась каждый раз, когда происходило заражение нового файла.
• Также существовало несколько разновидностей Icelandic, которые отличались друг от друга некоторыми функциями и свойствами:
- Icelandic.632 — заражал каждую третью программу. Помечал как битый один кластер на диске, если тот был больше 20 мегабайт;
- Icelandic.B — был усовершенствован для усложнения обнаружения некоторыми антивирусами, не производил никаких действий кроме распространения;
- Icelandic.Jol — подвариант Icelandic.B, который 24 декабря выводил сообщение на исландском «Gledileg jol» («Счастливого Рождества»);
- Icelandic.Mix1 — впервые обнаруженный в Израиле, вызывал искажение символов при передаче их серийным устройствам (к примеру, принтеры);
- Icelandic.Saratoga — с 50% вероятностью заражал запущенный файл.
#Разное
🔒 Защита от Bluetooth-маячков.
• 20 апреля 2021 года на презентации Apple был представлен очень интересный девайс — Apple AirTag. Идея таких Bluetooth-трекеров заключается в том, что они помогают нам в повседневной деятельности (искать предметы, которые вы успешно забыли где-либо). Как это работает? При помощи технологии Bluetooth различные девайсы экосистемы Apple определяют наличие метки поблизости и передают примерные или точные координаты в вашу учетную запись Apple. При помощи сервиса Apple Find My вы можете посмотреть, куда в итоге попала ваша вещь — в бюро находок или к новому владельцу. Самое главное, что все это происходит автоматически, и даже устанавливать ничего не надо. Все нужное для работы системы поиска AirTag уже встроено в iOS у сотен миллионов пользователей.
• Так вот, это я к тому, что когда данный девайс поступил в продажу, то люди начали следить за другими людьми с помощью AirTag. Спустя год и несколько громких дел Apple догадались выпустить обновление для своих устройств и реализовали оповещения, которые информируют человека о том, что рядом находится метка AirTag.
• Но ведь помимо AirTag в мире существует сотни других маячков, не так ли? И есть достаточно популярные устройства, которые никак не связаны с экосистемами по типу Samsung или Apple. Как в таком случае защититься от слежки? Такие решения есть! Еще и с открытым исходным кодом и для вашего #Android:
• AirGuard и MetaRadar: оба инструмента работают по следующему принципу — сканируют частоты, на которых работают Bluetooth-трекеры, а приложения определяют те идентификаторы, которые находятся постоянно с вами (наушники, часы, браслеты, которые принадлежат вам). Как только появляется новое устройство перемещающиеся с вами (порог срабатывания выставляется либо вручную, либо по умолчанию фиксируется 3 появления в зоне присутствия смартфона) приложения начинают вас информировать о неизвестном устройстве и показывают отметку на карте, где оно было зафиксировано. В среднем обнаружение может занимать от 30 минут до 3х часов. Пользуйтесь!
#Разное
😎 Хотели бы внести свой вклад в создание безопасного цифрового пространства в проекте с многомиллионной аудиторией?
В Авито актуальна подходящая вакансия:
Специалист по администрированию средств защиты информации
Вам предстоит проводить мониторинг и анализ инцидентов ИБ, разрабатывать правила детектирования инцидентов для выявления утечек информации, а также выстраивать, тестировать и оптимизировать процессы расследования инцидентов ИБ.
Вас ждут:
– прозрачная система премий и достойная зарплата, размер которой обсуждается на собеседовании;
– талантливая команда, готовая поддержать ваши инициативы;
– возможность внешнего и внутреннего обучения за счёт компании (курсы, тренинги, лекции, обмен опытом и практиками с зарубежными коллегами);
– забота о сотрудниках и их здоровье: с первого дня работы вы получите ДМС со стоматологией и компенсацию питания, также в офисе ведут приём терапевт и массажист;
– возможность удалённого формата работы;
– комфортный офис в двух минутах от метро «Белорусская».
Откликайтесь по ссылке!
📦 Malware Configuration And Payload Extraction.
• CAPE (Malware Configuration And Payload Extraction) — это автоматизированная система анализа вредоносного ПО с открытым исходным кодом.
• Песочница используется для автоматического запуска и анализа файлов, а также для сбора полной информации. Результаты анализа показывают, что делает вредоносное ПО во время работы внутри изолированной операционной системы (в основном ОС Windows).
• CAPE может получить следующие типы результатов:
- Следы вызовов Win32 API, которые выполнялись всеми процессами, порожденными вредоносным ПО;
- Файлы, которые были созданы, удалены и загружены вредоносной программой во время ее выполнения;
- Дампы памяти процессов вредоносного ПО;
- Трассировка сетевого трафика в формате PCAP;
- Снимки экрана рабочего стола Windows, сделанные во время работы вредоносной программы;
- Полные дампы памяти виртуальных машин.
• CAPE является "выходцем" из одной достаточно популярной песочницы Cuckoo Sandbox и предназначен для использования как в качестве автономного приложения, так и в качестве интегрированного решения в более крупные структуры благодаря своей модульной конструкции.
• Что можно анализировать:
- Общие исполняемые файлы Windows;
- DLL-файлы;
- PDF-документы;
- Документы Microsoft Office;
- URL-адреса и HTML-файлы;
- PHP-скрипты;
- CPL-файлы;
- Сценарии Visual Basic (VB);
- ZIP-файлы;
- Java-JAR-файл - Файлы Python;
- Почти все остальное.
• CAPE обладает мощными возможностями, которые благодаря модульности архитектуры позволяет создавать неограниченное количество различных сценариев.
➡ Документация есть вот тут: https://capev2.readthedocs.io/en/latest/
➡ Cтабильная и упакованная версия продукта: https://github.com/kevoreilly/CAPEv2
#Песочница #Malware
📚 IPv6 book.
• Бесплатная книга об IPv6, которая содержит в себе более 130 страниц информации на данную тему. Книга на английском языке, но с учетом развития различных ИИ ресурсов у Вас не составит труда ее перевести (если не владеете английским языком): https://github.com/becarpenter/book6/
• К слову, добавил книгу в свой репо. Обязательно загляните, если изучаете сети, тут много полезной информации: https://github.com/SE-adm/Awesome-network/
#Сети
👩💻 Бесплатный мини-курс: PostgreSQL для новичков.
• Достаточно хороший и бесплатный курс от Selectel, если хотите погрузиться в мир PostgreSQL. В этом курсе говориться про установку и настройку базы данных PostgreSQL, как ими управлять, организовать резервное копирование и репликацию. А главное — что делать, если администрировать самим БД не хочется.
- Подойдет ли PostgreSQL вообще всем проектам или нужны альтернативы;
- Установка и использование PostgreSQL в Ubuntu 22.04;
- Как настроить репликацию в PostgreSQL;
- Резервное копирование и восстановление PostgreSQL: pg_dump, pg_restore, wal-g;
- Установка и настройка PostgreSQL в Docker;
- Установка пулера соединений PgBouncer для PostgreSQL;
- Популярные расширения для PostgreSQL: как установить и для чего использовать;
- Как создать пользователя в PostgreSQL;
- Как узнать версию PostgreSQL;
- DBaaS: что такое облачные базы данных;
- Как работают облачные базы данных PostgreSQL;
- Как начать работу с облачной базой данных PostgreSQL;
- 8 книг по PostgreSQL для новичков и профессионалов;
- Морской бой на PostgreSQL.
#PostgreSQL
Обнаруженная критическая уязвимость в OpenWrt подвергла пользователей риску установки вредоносных образов прошивки, фактически делая сервер обновления уязвимым для злонамеренной эксплуатации.
CVE-2024-54143 имеет CVSS v4: 9,3 и затрагивает функцию OpenWrt Attended Sysupgrade (ASU), которая используется для создания пользовательских образов прошивки по запросу.
Проект OpenWrt - это популярная альтернативная операционка с открытым исходным кодом на базе Linux, разработанная для встраиваемых устройств, в частности сетевых устройств, включая маршрутизаторы, точки доступа и другое оборудование IoT.
Уязвимость внедрения команд и усечения хэша была обнаружена исследователем Flatt Security (RyotaK) во время планового обновления маршрутизатора в домашней лаборатории.
Проблема была исправлена в течение нескольких часов после раскрытия.
OpenWrt включает в себя службу ASU, которая позволяет пользователям создавать собственные сборки прошивки по запросу, включающие ранее установленные пакеты и настройки, обновляя устройство до новой прошивки и сохраняя пакеты и настройки.
RyotaK обнаружил, что служба sysupgrade.openwrt.org обрабатывает входные данные с помощью команд, выполняемых в контейнеризированной среде.
Уязвимость в механизме обработки ввода, возникающая из-за небезопасного использования команды make в коде сервера, позволяет вводить произвольные команды через имена пакетов.
Другая проблема, обнаруженная RyotaK, заключалась в том, что сервис использует 12-символьный усеченный хэш SHA-256 для кэширования артефактов сборки, ограничивая хэш всего 48 битами.
Исследователь объясняет, что это делает возможным перебор коллизий, позволяя злоумышленнику создать запрос, который повторно использует ключ кэша, найденный в легитимных сборках прошивки.
Объединив две проблемы и применив инструмент Hashcat на видеокарте RTX 4090, RyotaK продемонстрировал возможность модификации артефактов прошивки для доставки вредоносных сборок ничего не подозревающим пользователям.
В свою очередь, команда OpenWrt в срочном порядке отреагировала на частный отчет, отключив на три часа службу sysupgrade.openwrt.org 4 декабря 2024 года для применения исправлений.
В OpenWrt полагают, что вряд ли кто-либо смог воспользовался уязвимостью CVE-2024-54143, при этом никаких доказательств того, что эта уязвимость затронула образы с downloads.openwrt.org, также не получено.
Несмотря на это, проблема существует уже некоторое время, поэтому всем пользователям следует предпринять рекомендуемые OpenWrt меры из соображений предосторожности.
Исследователи из Лаборатории Касперского выкатили аналитику по эксплойтам и уязвимостям в третьем квартале 2024 года.
Как отмечают исследователи, третий квартал 2024 года принес целый набор уязвимостей, обнаруженных в нестандартных для кибератак подсистемах Windows и Linux.
Связано это с тем, что разработчики операционных систем выпускают новые механизмы противодействия целым группам уязвимостей в популярных подсистемах.
Например, в CLFS (Common Log Filing System), подсистеме ведения журналов в Windows, появится проверка целостности логов, поэтому количество эксплойтов для нее будет идти на спад.
Что касается Linux, то для нее существует механизм контроля целостности ядра Linux Kernel Runtime Guard (LKRG), выполненный в виде отдельного модуля ядра.
Несмотря на то, что первая версия LKRG вышла еще в 2018 году, он постоянно совершенствуется. Кроме того, в последнее время его стали активнее использовать в различных сборках.
Возвращаясь к квартальной статистике, в третьем квартале 2024 года сохраняется тренд к обнаружению и регистрации все большего количества уязвимостей: рост как по общему количеству, так и по критическим.
Общее количество PoC, которые были опубликованы впервые по свежим CVE, также увеличилось на 2%, что показывает тенденцию к ускорению создания эксплойтов.
Также рост показателя может быть связан с тем, что исследователи все чаще стали публиковать не только описание уязвимости, но и подробные данные, включающие эксплойты.
Причем львиная доля PoC появляется в течение недели после публикации патчей разработчиками ПО, в котором была обнаружена уязвимость.
Исследователи ЛК отмечают изменения в перечне распространенных в APT-атаках уязвимостей.
Теперь в нем присутствуют уязвимости, позволяющие получать доступ к системам с веб-приложениями и почтовыми серверами.
При этом некоторые уязвимости достаточно свежие: одна из них была зарегистрирована в прошлом году и еще три — в этом.
Однако большую часть списка составляют уязвимости, которым три года и более.
Подробная статистика по CVE, особенности эксплуатации и наиболее трендовые уязвимости квартала - в отчете.
🖥 Holborn 9100.
• Если вам интересно, как в конце 70-х большинство людей представляли себе «футуристичный» компьютер, то ответ кроется в этом малоизвестном нидерландском ПК. Модель Holborn 9100. появилась на рынке в 1981 году. Выпускала эти компьютеры небольшая компьютерная компания Holborn, расположенная в Нидерландах. Название бренда, фактически, представляло собой сокращение от “Born in Holland”.
• Система Holborn 9100 представляла собой единую консоль, состоявшую из монитора и клавиатуры, а также отдельный массивный модуль, в котором размещались два флоппи-дисковода (в качестве опции был доступен HDD 30Мб). Без сомнений можно сказать, что визитной карточкой 9100 явился интегрированный монитор 12”, выступавший из консоли, подобно перископу.
• Полностью «заряженная» версия в качестве дополнительного способа ввода включала фоточувствительное световое перо для ЭЛТ-экрана (мыши тогда еще не были широко доступны). В основе аппаратной части Holborn 9100 лежал ЦПУ Zilog Z80A и ОЗУ объемом 72Кб, который можно было расширить до 220Кб. Продавались эти компьютеры с двумя вариантами операционных систем: классической CP/M и собственной Holborn OS.
• Модель 9100, действительно, практически полностью изготавливалась из белого термически формованного пластика. Забавный факт. Многие находят сходство между формой корпуса 9100 и головой персонажа фильма «Инопланетянин» 1982 года. Конечно же, разработка Holborn происходила намного раньше, так что можно считать это чистым совпадением.
• В итоге весь модельный ряд составили четыре модели: 9100, 7100, 6500 и 6100. Причем порядок выпуска получился по убыванию номера модели, то есть сначала появился 9100, а за ним уже остальные модификации. Всего компания выпустила 200 машин, из которых на сегодня уцелело, по примерной оценке, около 20, что делает их одними из редчайших в своем роде.
• Эти продукты компании Holborn, имеющие эксклюзивный дизайн и хорошую техническую начинку, на то время можно было назвать достаточно амбициозными устройствами, которые ориентировались на малый и средний сегменты бизнеса.
• На деле же появление компьютеров IBM и сравнительно высокая розничная стоимость в $10 000 способствовали коммерческому провалу 9100 и последующих серий, что в конечном счете вынудило Holborn объявить в 1983 году о банкротстве...
➡️ https://www.inexhibit.com/case-studies/computer-design-holborn-9100-1981/
#Разное
Имея даже 1 решенное задание есть шанс получить главный приз. Если еще не присоединились к конкурсу, самое время это сделать Новогодний CTF от S.E. x Codeby
Для решения доступно второе задание из 10:
🎅 Северный полюс
🎄 Категория: Веб
❄️ Уровень: лёгкий
🎁 Награда: 1 ключ
🎯 Описание:
Санта запустил новый сервис для сбора пожеланий к Новому году!
Говорят, где-то на его сервере спрятан особый подарок, но доступ к нему есть только у помощников Санты...
🔎 Uscrapper. Собираем информацию с веб-сайтов.
• Uscrapper — open source инструмент командной строки, который поможет найти и получить данные с веб-сайтов:
- Адрес электронной почты;
- Ссылки на социальные сети;
- Имена людей;
- Геолокацию;
- Номера телефонов.
• Помимо парсинга различной информации, автор реализовал функционал выгрузки подробного отчета, который содержит найденную информацию. Кроме того, Uscrapper оснащен необходимыми модулями для обхода анти-парсинга и поддерживает технологии для извлечения информации из всех ссылок в пределах одного домена.
➡ Информация по установке, подробное описание инструменты и другая информация: https://github.com/z0m31en7/Uscrapper
#OSINT