24322
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
Стать этичным хакером за 4 месяца: попробуйте техники взлома на практике и зарабатывайте на Bug Bounty
Используйте промокод [Название этого канала]+10 и получите скидку 10%! Пишите нам @Codeby_Academy
Запись до 20 декабря! 🎄
Программа курса:
- эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
- SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
- техники повышения привилегий, Client-side атаки (XSS, CSRF)
Записаться на курс
Исследователи F.A.С.С.T. в новом отчете подводят итоги 2024 и прогнозируют основные тренды на 2025 год.
В целом основные показатели по условным категориям представлены следующим образом:
1. Сливы этого года: в публичном доступе появилось 259 ранее не опубликованных баз данных российских компаний (в 2023 году их было 246).
В этом году в Telegram появилось множество как закрытых, так и публичных каналов, которые публикуют ранее приватные утечки либо повторно распространяют уже опубликованную информацию.
Самой объемной «мегаутечкой» стал архив из 404 баз данных.
2. Градус жадности: число ransomware-атак выросло на 44% по сравнению с предыдущим годом.
При этом в 10% подобных инцидентов целью киберпреступников был не выкуп, а диверсия для нанесения максимального ущерба жертве.
Чаще всего задействовались шифровальщики LockBit 3 Black и Mimic (на них пришлось до 50% инцидентов), а также Babuk, LokiLocker/BlackBit и Phobos.
К уже известным Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada добавились новые угрозы: MorLock, Head Mare, Masque, Enmity, Proton, Sauron.
Замечены также и те, которые используют для шифрования легитимное ПО: например, группы DCHelp с программой DiskCryptor, Salted2020, использующей OpenSSL и BitLocker, и др.
Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1000-$50 000), а для крупных и средних компаний (каждая пятая атака вымогателей), запросы преступников начинались от 5 млн рублей ($50 000).
Отличилась Shadow, орудующая под именем Darkstar, затребовав от одной из жертв выкуп в 300 млн рублей ($3 млн). А рекорд по скорости развития атаки поставила HsHarada: от «пробива» инфраструктуры до «разлива» шифровальщика - менее трех часов.
3. Высокое давление: число APT, атакующих Россию и СНГ выросло до 27 (в 2023 году было известно о 14 группировках), а групп хактивистов - до 17 (в 2023 - 13).
Наиболее активными были проукраинские APT Sticky Werewolf, Cloud Atlas, PhantomCore, а также пока неатрибутированные к конкретной стране Core Werewolf и XDSpy.
4. Почтовый шпион: рассылка вредоносных писем остаeтся одним из самых популярных векторов атаки на российские компании, а в «начинке» фишинговых писем чаще всего встречаются шпионское ПО и стилеры, их доля составила 69%.
В первой половине 2024-го самым популярным у киберпреступников, как и в предыдущие годы, было шпионское ПО AgentTesla.
После ликвидации его инфраструктуры летом этого года в лидеры вышли FormbookFormgrabber, инструмент для кражи учетных записей и персональных данных, и загрузчик CloudEyE.
5. Ссылки в зоне ru: в 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10 112, фишинговых ссылок - с 2441 до 3714, мошеннических (скам) ресурсов — с 5437 до 6398 на бренд.
Главный вывод - масштабы киберугроз растут по всем фронтам, что отразилось и в прогнозах на 2025:
- рост количества атакующих, атак на мобильные устройства, атак с использованием ИИ и целевых атак на цепочки поставок (Trusted Relationship).
- расширение фишинговых атак на многофакторную аутентификацию (MFA).
- появление новых мошеннических схем и модификации уже известных («Мамонт»).
- архивы останутся самым популярным доставщиком вредоносной нагрузки в фишинговых письмах, но их упаковка будет меняться.
- рост доступности вредоносного ПО расширит возможности кибератак.
🪟 Скрытые функции Windows: откуда взялись BEAR, BUNNY и PIGLET?
• Если покопаться в системных файлах Windows 95, там можно было обнаружить недокументированные функции с именами наподобие BEAR35, BUNNY73 и PIGLET12. Откуда взялись эти дурацкие имена? Оказывается, что у них занятная история:
• «Мишка» (Bear) был талисманом Windows 3.1. Это был плюшевый мишка, которого всюду таскал за собой Дэйв — один из самых главных программистов, занятых в проекте. Когда он приходил к кому-нибудь в офис, он запускал мишку в монитор, чтобы на него отвлеклись.
• Кроме имён системных функций, Мишка засветился ещё в двух местах в Windows 3.1. В диалоге выбора шрифта для DOS-окна, если выбрать маленький шрифт, можно было увидеть в списке файлов несуществующий файл BEAR.EXE.
• Мишка перенёс немало издевательств. Однажды через его голову продели шнур питания, от уха до уха. В другой раз ему в зад запихали петарду. Ко времени Windows 95 состояние Мишки стало уже плачевным, так что его отставили с должности, и заменили розовым кроликом, получившим кличку Кролик (Bunny). Но Мишка-ветеран не отправился на помойку: дети одного из менеджеров сжалились над ним, и неплохо подлатали.
• Дэйв занимался в основном GUI, так что названия BEAR и BUNNY получали функции, относящиеся к интерфейсу с пользователем. Ядром занимался Майк, а у него был плюшевый диснеевский Пятачок. Так что когда нужно было назвать в ядре новую функцию для внутреннего использования, её называли PIGLET.
• Примечание: BEAR и BUNNY до сих пор живы в 32-битных версиях Windows. Раньше BEAR жил в \Windows\System32\user.exe, а BUNNY в \Windows\System32\krnl386.exe; но начиная с Windows 8, они переехали в каталог \Windows\WinSxS\x86_microsoft-windows-ntvdm-system32-payload_31bf3856ad364e35_<версия>_none_<хэш>\
➡️ https://devblogs.microsoft.com/oldnewthing/20030818-00/?p=42873
#Разное
⚡️ Эльфы из SOC'а обнаружили это сообщение во внутренней сети системы распределения подарков... новое задание уже ждет вас!
➡️ @codeby_se_bot
Исследователи Symantec в новом отчете раскрывают подробности шпионской APT-кампаний, нацеленной на известные организации в Юго-Восточной Азии.
Кибератаки инициировались как минимум с октября 2023 года и были направлены на организации из различных секторов, включая правительственный сектор в двух разных странах, организацию по управлению воздушным движением, телекоммуникационную компанию и СМИ.
Первоначальный вектор заражения исследователям Symantec установить не удалось ни в одной из атак.
Известно, что злоумышленниками задействовались инструменты, которые ранее были замечены в арсенале китайских APT и включали как опенсоср-технологий, так и LotL.
При этом в Symantec отмечают прокси под названием Rakshasa и использование файла легального приложения (Bitdefender Crash Handler) от 2011 года для загрузки DLL. Оба инструмента ранее применялись Earth Baku (также известной как APT41, Brass Typhoon).
Полный перечень инструментария включал: Dismap, FastReverseProxy, Impacket, Infostealer, Inveigh, keylogger, NBTScan, ReverseSSH, SharpGPOAbuse, SharpNBTScan, Stowaway Proxy Tool, TightVNC, а также living off the land: PowerShell, Reg.exe и WMI.
В ходе атак был развернут PlugX (он же Korplug), троян удаленного доступа, используемый сразу несколькими китайскими хакерскими группами.
Акторы также устанавливали настроенные DLL-файлы, которые действуют как фильтры механизма аутентификации, что позволяло им перехватывать учетные данные для входа.
В ходе одной из атак, продолжавшейся в течение трех месяцев с июня по август 2024 года, злоумышленник проводил разведывательные мероприятия и кражу паролей, а также устанавливал кейлоггер и запускал полезные нагрузки DLL, способные перехватывать данные для входа пользователя в систему.
Symantec отметила, что злоумышленникам удалось сохранить скрытый доступ к скомпрометированным сетям в течение длительного времени, что позволило им собирать пароли и составлять карты сетей, представляющих интерес.
Собранная информация сжималась в защищенные паролем архивы с помощью WinRAR, а затем загружалась в облачные хранилища, такие как File.io.
Столь длительный период ожидания и расчетливый подход подчеркивают изощренность и настойчивость субъекта угроз.
Хотя злоумышленники в этой кампании использовали широкий выбор TTP, географическое расположение целевых организаций, а также использование ранее детектированных инструментов (связанных с APT31, APT41 и APT27) позволяет предположить, что выявленная активность - это дело рук китайских акторов.
Учитывая, что многие из этих китайских APT часто делятся инструментами и используют схожие TTP, конкретная атрибуция в этом случае невозможна.
Индикаторы компрометации - в отчете.
🖥 FTP. 1971.
• Именно в 1971 году родившийся в Индии студент магистратуры MIT Абхай Бхушнан впервые разработал File Transfer Protocol. FTP, появившийся спустя два года после telnet, стал одним из первых примеров работающего пакета приложений для системы, которая в дальнейшем стала известна как ARPANET. Он обогнал электронную почту, Usenet и даже стек TCP/IP. Как и telnet, FTP по-прежнему используется, хоть и ограниченно. Однако в современном Интернете он потерял значимость, в основном из-за проблем с безопасностью, а его место занимают альтернативные протоколы с шифрованием — в случае FTP это SFTP, протокол передачи файлов, работающий поверх протокола Secure Shell (SSH), по большей мере заменившего telnet.
• FTP настолько стар, что появился раньше электронной почты, а в начале он сам играл роль email-клиента. Наверно, неудивительно, что среди множества программ прикладного уровня, созданных для раннего ARPANET именно FTP выделился и проложил себе дорогу в мир современных технологий.
• Причина этого сводится к его базовой функциональности. По сути, это утилита, упрощающая передачу данных между хостами, однако секрет его успеха заключается в том, что он в определённой степени сгладил различия между этими хостами. Как говорит Бхушан в своём рабочем предложении (RFC), самая большая сложность использования telnet в то время заключалась в том, что каждый хост немного отличался от другого.
• Придуманный им протокол FTP пытался обойти сложности непосредственного подключения к серверу при помощи способа, который он назвал «косвенным использованием»; этот способ позволял передавать данные или исполнять программы удалённо. «Первая сборка» протокола, которая десятки лет спустя по-прежнему используется, хотя и в видоизменённом виде, использовала структуру директорий для исследований различий между отдельными системами.
• Автор приступил к разработке протокола из-за очевидной потребности в приложениях для зарождающейся системы ARPANET, в том числе из-за потребности в электронной почте и FTP. Эти первые приложения стали фундаментальными строительными блоками современного Интернета и за последующие десятилетия сильно усовершенствовались.
• Бхушан рассказал, что из-за ограниченных возможностей компьютеров того времени сначала функции электронной почты были частью FTP и позволяли распространять письма и файлы по протоколу в более легковесной формате. И в течение четырёх лет FTP был своего рода электронной почтой.
• Разумеется, Бхушан был не единственным, кто принял участие в разработке этого фундаментального раннего протокола, ведь после выпуска из вуза он получил должность в Xerox. Созданный им протокол продолжил своё развитие без него, получив в 1970-х и 1980-х серию обновлений в виде RFC; в том числе примерно в 1980 году появилась его реализация, позволявшая обеспечивать поддержку спецификации TCP/IP...
• В отличие от ситуации с IRC (когда у протокола отобрали популярность коммерческие инструменты) и Gopher (рост которого погубил внезапный переход на коммерческую модель), FTP сейчас уходит из веб-браузеров потому, что его возраст подчёркивает отсутствие инфраструктуры безопасности.
• Самые распространённые способы его использования, например, для организации публично доступных анонимных FTP-серверов, по сути, потеряли свою популярность. А в своей основной нише он в конечном итоге был заменён более защищёнными и современными версиями, например SFTP.
• Уверен, что какой-нибудь технарь может заявить, что FTP никогда не умрёт, потому что для него всегда найдётся специализированная область применения. Да, это возможно. Но у подавляющего большинства людей после отключения FTP в браузере Chrome, вероятно, не будет причин искать способы подключиться к нему снова.
• Если уход FTP из веб-браузеров ускорит его окончательную гибель, то быть по сему. Однако в течение пятидесяти с лишним лет, меняя версии и вариации, он служил нам верой и правдой.
#Разное
👨💻 Анализ безопасности Wi-Fi.
• Подробное исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3: какие атаки и уязвимости существуют, и какой инструментарий применяется для их эксплуатации.
• Все эксперименты проводились на ноутбуке с #Kali Linux, при помощи адаптера TP-Link Archer T3U Plus, беспроводного роутера Keenetic-8990 и смартфона в качестве клиента.
• Содержание:
- Краткий экскурс в историю;
- Разбор атак на WPA2-PSK;
- Разбор атак на WPA2-Enterprise;
- Разбор атак на WPA3;
- Стратегии защиты;
- Полезные источники (книги, статьи, презентации).
➡ Читать статью [13 min].
#WiFi
🔒 Cryptography for Hackers.
• Encryption and Decryption in Cryptography;
• Popular Cryptographic Methods;
• Hashing in Cryptography;
• Difference Between Data-at-Rest and Data-in-Transit Cryptography;
• Finding the Cryptography Algorithm from Encrypted Text:
- Step-by-Step Process;
- Step-by-Step Character Review and Conditions;
• Scenario: Received Encrypted Text:
- Step-by-Step Example;
• Arithmetic and Logic Operations:
- Set Operations;
- Logic Operations;
- Arithmetic Operations;
- Bitwise Operations;
- ROT Cipher Operations;
• Compression and Decompression Techniques:
- Compression and Decompression Methods;
• Block and Stream Ciphers;
• Hashing Algorithms and Checksum Methods;
• Technical Analysis of Cryptographic Operations;
• Data Format Conversion Algorithms.
#Криптография
🎄 В преддверии Нового Года разыгрываем годовую подписку на журнал «Хакер».
• Целых 30 (!) призовых мест, а итоги подведем ровно через неделю (14 декабря, в 11:30 по московскому времени) с помощью бота, который рандомно выберет победителя.
• Напоминаю, что участники сообщества Xakep.ru получают несколько материалов в неделю: мануалы по кодингу и взлому, гайды по новым возможностям и эксплойтам, подборки хакерского софта и обзоры веб-сервисов. Не упусти возможность вступить в сообщество и выигрывать 1 из 30 призов.
Для участия нужно:
1. Быть подписанным на наш канал: Mr. Robot.
2. Подписаться на каналы наших друзей: infosec.
3. Нажать на кнопку «Участвовать»;
4. Profit...
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
🗣 Сергей Лебедь, Сбер: Мы делаем аналитику киберугроз для всей страны
Сергей Лебедь, вице-президент Сбера по кибербезопасности, рассказал порталу Cyber Media о ключевых результатах работы по защите инфраструктуры банка, особенностях противодействия современным киберугрозам и первых итогах программы Bug Bounty, а также о ситуации с кадрами.
Гранд-обзор: все обновления PT Sandbox за год
Декабрь велит нам подводить итоги. Если вы не успели проследить за всеми изменениями, которые произошли с PT Sandbox в этом году, приглашаем на наш уютный вебинар. Вместе вспомним главные вехи развития песочницы:
🚀Как нам удалось повысить производительность в 9!!! раз, не потеряв качество обнаружения
🔎Какие правила, технологии и подходы помогли обеспечить расширенный анализ ссылок
📄Как мы реализовали поведенческий анализ новых типов и форматов файлов
🛠За счет чего расширили возможности кастомизации песочницы и многое другое
Кроме обновлений функциональных и экспертных возможностей обсудим дерзкие планы команды PT Sandbox на 2025 год. Присоединяйтесь!
👾 Изучаем малоизвестный вирус для MS-DOS.
• В начале 1990-х годов, два подростка из одного маленького городка на западе Германии, заинтересовались компьютерами, им было лет по 11, а компьютерные курсы были доступны только выпускникам средних школ.
• Поскольку в то время не было интернета, доступ к информации по определённым темам осуществлялся в основном через руководства к их домашним компьютерам, которые также обучали программированию на языке BASIC, через компьютерные журналы, относительно дорогие книги, которых не было в публичных библиотеках, разрозненную информацию из BBS, а также путём экспериментов.
• 19 апреля 1992 года ознаменовалось их прорывом в создании Proof of Concept (PoC) для компьютерного вируса. До этого ребята много спорили, по силам ли им создание вируса. Но в итоге им удалось заразить исполняемый файл, автоматически встроив туда свой код. Они смогли добиться, чтобы их фрагмент выполнялся до начала выполнения кода исходной программы.
• Интересно, что исходный код вируса сохранился и авторы даже готовы были поделиться им. Но поначалу получение исходного кода казалось сомнительным из‑за потери битов на старых устройствах хранения. Его восстановление превратилось в приключение, включающее реконструкцию старого оборудования для преодоления технологического разрыва, созданного отсутствием поддержки современных технологий устаревших стандартов жёстких дисков, фирменных ленточных накопителей и зашифрованных файловых устройств той эпохи.
• С помощью виртуализации, найденного старого оборудования и адаптеров для современных компьютеров автору этой публикации удалось успешно восстановить исходный код вируса, даже сохранив временные метки оригинальных файлов.
• Это перевод статьи, где подробно описан и проанализирован исходный код данного вируса. Очень интересный материал: https://habr.com/ru/post/836222/
#Разное
Исследователи Fortinet выкатили отчет в отношении новой программы-вымогателя Interlock, главной особенностью которой является наличие версии для FreeBSD помимо шифровальщика Windows.
Первый в своем роде штамм впервые был замечен в начале октября 2024 года, но по всей видимости распространялся намного ранее.
Interlock представлен в двух версиях: для Windows (Vista, 7, 8, 8.1 и 10) и FreeBSD, и традиционно реализует шифрование файлов на компьютерах жертв, заявляя требования по выкупу за их расшифровку с помощью соответствующих записок с меткой «!__README__!.txt».
Начальный вектор заражения Interlock в точности неизвестен.
Однако, как сообщает исследователь Сина Хейрха, на машине жертвы был обнаружен ранее неизвестный бэкдор Supper, через который могла быть развернута ransomware.
После запуска программы-вымогателя она шифрует файлы на компьютерах жертв с помощью алгоритма шифрования AES-CBC и добавляет к зашифрованным файлам расширение «.interlock».
В ходе шифрования реализованы исключения по типу файлов и директориям.
Причем версия программы-вымогателя Interlock для FreeBSD пропускает файлы с расширением «.interlock» из процесса шифрования.
На момент расследования на сайте DLS Interlock было указано шесть жертв, пять из которых находились в США, а одна — в Италии.
Для каждой жертвы на DLS в TOR представлена отдельная страница с описанием организации жертвы и списком украденных файлов.
Однако данные телеметрии потенциально указывают на более широкую виктимологию.
Образцы программы-вымогателя Interlock были замечены в Индии, Италии, Японии, Германии, Перу, Южной Корее, Турции и США.
Костяк жертв приходится на сектора образования, финансов, госуправления, здравоохранения и производства, что указывает на отсутствие у Interlock каких-либо ограничений по части выбора жертв.
Индикаторы компрометации - в отчете.
📶 SSH Honeypot.
• Автор этого материала в течении 30 дней автор собирал статистику со своего запущенного SSH-ханипота. Тема может и заезженная, но почитать будет полезно. Особенный интерес к командам, которые выполняются ботами после логина. Статься тут: https://blog.sofiane.cc/ssh_honeypot/
• А еще, у есть пошаговый мануал по настройке такого SSH-ханипота. Это на тот случай, если захотите повторить исследование и получить определенный опыт: https://blog.sofiane.cc/setup_ssh_honeypot/
#SSH #Honeypot
Исследователи ACROS сообщают о новой 0-day, которая позволяет злоумышленникам обходить проверку безопасности Mark of the Web (MotW) в операционных системах Windows Server 2012 и Server 2012 R2.
Несмотря на то, что исследователи сообщили об этой проблеме в Microsoft, ошибка до настоящего времени оставалась необнаруженной или, по крайней мере, неисправленной.
Ошибка затрагивает все версии Windows Server 20212, выпущенные за последние два года, присутствует даже на полностью обновленных серверах с расширенными обновлениями безопасности.
При этом поддержка Windows Server 2012 закончилась в октябре 2023 года.
ACROS выпустила собственный микропатч через платформу 0patch для этой ошибки, не дожидаясь пока Microsoft разработает исправления в рамках программы расширенных обновлений безопасности.
Более того, в ACROS Security отметили, что будут раскрывать информацию об уязвимости до тех пор, пока Microsoft их не выпустит.
Сами же разработчики пока никак не комментируют ситуацию.
🔒 Защита от Bluetooth-маячков.
• 20 апреля 2021 года на презентации Apple был представлен очень интересный девайс — Apple AirTag. Идея таких Bluetooth-трекеров заключается в том, что они помогают нам в повседневной деятельности (искать предметы, которые вы успешно забыли где-либо). Как это работает? При помощи технологии Bluetooth различные девайсы экосистемы Apple определяют наличие метки поблизости и передают примерные или точные координаты в вашу учетную запись Apple. При помощи сервиса Apple Find My вы можете посмотреть, куда в итоге попала ваша вещь — в бюро находок или к новому владельцу. Самое главное, что все это происходит автоматически, и даже устанавливать ничего не надо. Все нужное для работы системы поиска AirTag уже встроено в iOS у сотен миллионов пользователей.
• Так вот, это я к тому, что когда данный девайс поступил в продажу, то люди начали следить за другими людьми с помощью AirTag. Спустя год и несколько громких дел Apple догадались выпустить обновление для своих устройств и реализовали оповещения, которые информируют человека о том, что рядом находится метка AirTag.
• Но ведь помимо AirTag в мире существует сотни других маячков, не так ли? И есть достаточно популярные устройства, которые никак не связаны с экосистемами по типу Samsung или Apple. Как в таком случае защититься от слежки? Такие решения есть! Еще и с открытым исходным кодом и для вашего #Android:
• AirGuard и MetaRadar: оба инструмента работают по следующему принципу — сканируют частоты, на которых работают Bluetooth-трекеры, а приложения определяют те идентификаторы, которые находятся постоянно с вами (наушники, часы, браслеты, которые принадлежат вам). Как только появляется новое устройство перемещающиеся с вами (порог срабатывания выставляется либо вручную, либо по умолчанию фиксируется 3 появления в зоне присутствия смартфона) приложения начинают вас информировать о неизвестном устройстве и показывают отметку на карте, где оно было зафиксировано. В среднем обнаружение может занимать от 30 минут до 3х часов. Пользуйтесь!
#Разное
😎 Хотели бы внести свой вклад в создание безопасного цифрового пространства в проекте с многомиллионной аудиторией?
В Авито актуальна подходящая вакансия:
Специалист по администрированию средств защиты информации
Вам предстоит проводить мониторинг и анализ инцидентов ИБ, разрабатывать правила детектирования инцидентов для выявления утечек информации, а также выстраивать, тестировать и оптимизировать процессы расследования инцидентов ИБ.
Вас ждут:
– прозрачная система премий и достойная зарплата, размер которой обсуждается на собеседовании;
– талантливая команда, готовая поддержать ваши инициативы;
– возможность внешнего и внутреннего обучения за счёт компании (курсы, тренинги, лекции, обмен опытом и практиками с зарубежными коллегами);
– забота о сотрудниках и их здоровье: с первого дня работы вы получите ДМС со стоматологией и компенсацию питания, также в офисе ведут приём терапевт и массажист;
– возможность удалённого формата работы;
– комфортный офис в двух минутах от метро «Белорусская».
Откликайтесь по ссылке!
📦 Malware Configuration And Payload Extraction.
• CAPE (Malware Configuration And Payload Extraction) — это автоматизированная система анализа вредоносного ПО с открытым исходным кодом.
• Песочница используется для автоматического запуска и анализа файлов, а также для сбора полной информации. Результаты анализа показывают, что делает вредоносное ПО во время работы внутри изолированной операционной системы (в основном ОС Windows).
• CAPE может получить следующие типы результатов:
- Следы вызовов Win32 API, которые выполнялись всеми процессами, порожденными вредоносным ПО;
- Файлы, которые были созданы, удалены и загружены вредоносной программой во время ее выполнения;
- Дампы памяти процессов вредоносного ПО;
- Трассировка сетевого трафика в формате PCAP;
- Снимки экрана рабочего стола Windows, сделанные во время работы вредоносной программы;
- Полные дампы памяти виртуальных машин.
• CAPE является "выходцем" из одной достаточно популярной песочницы Cuckoo Sandbox и предназначен для использования как в качестве автономного приложения, так и в качестве интегрированного решения в более крупные структуры благодаря своей модульной конструкции.
• Что можно анализировать:
- Общие исполняемые файлы Windows;
- DLL-файлы;
- PDF-документы;
- Документы Microsoft Office;
- URL-адреса и HTML-файлы;
- PHP-скрипты;
- CPL-файлы;
- Сценарии Visual Basic (VB);
- ZIP-файлы;
- Java-JAR-файл - Файлы Python;
- Почти все остальное.
• CAPE обладает мощными возможностями, которые благодаря модульности архитектуры позволяет создавать неограниченное количество различных сценариев.
➡ Документация есть вот тут: https://capev2.readthedocs.io/en/latest/
➡ Cтабильная и упакованная версия продукта: https://github.com/kevoreilly/CAPEv2
#Песочница #Malware
📚 IPv6 book.
• Бесплатная книга об IPv6, которая содержит в себе более 130 страниц информации на данную тему. Книга на английском языке, но с учетом развития различных ИИ ресурсов у Вас не составит труда ее перевести (если не владеете английским языком): https://github.com/becarpenter/book6/
• К слову, добавил книгу в свой репо. Обязательно загляните, если изучаете сети, тут много полезной информации: https://github.com/SE-adm/Awesome-network/
#Сети
👩💻 Бесплатный мини-курс: PostgreSQL для новичков.
• Достаточно хороший и бесплатный курс от Selectel, если хотите погрузиться в мир PostgreSQL. В этом курсе говориться про установку и настройку базы данных PostgreSQL, как ими управлять, организовать резервное копирование и репликацию. А главное — что делать, если администрировать самим БД не хочется.
- Подойдет ли PostgreSQL вообще всем проектам или нужны альтернативы;
- Установка и использование PostgreSQL в Ubuntu 22.04;
- Как настроить репликацию в PostgreSQL;
- Резервное копирование и восстановление PostgreSQL: pg_dump, pg_restore, wal-g;
- Установка и настройка PostgreSQL в Docker;
- Установка пулера соединений PgBouncer для PostgreSQL;
- Популярные расширения для PostgreSQL: как установить и для чего использовать;
- Как создать пользователя в PostgreSQL;
- Как узнать версию PostgreSQL;
- DBaaS: что такое облачные базы данных;
- Как работают облачные базы данных PostgreSQL;
- Как начать работу с облачной базой данных PostgreSQL;
- 8 книг по PostgreSQL для новичков и профессионалов;
- Морской бой на PostgreSQL.
#PostgreSQL
Обнаруженная критическая уязвимость в OpenWrt подвергла пользователей риску установки вредоносных образов прошивки, фактически делая сервер обновления уязвимым для злонамеренной эксплуатации.
CVE-2024-54143 имеет CVSS v4: 9,3 и затрагивает функцию OpenWrt Attended Sysupgrade (ASU), которая используется для создания пользовательских образов прошивки по запросу.
Проект OpenWrt - это популярная альтернативная операционка с открытым исходным кодом на базе Linux, разработанная для встраиваемых устройств, в частности сетевых устройств, включая маршрутизаторы, точки доступа и другое оборудование IoT.
Уязвимость внедрения команд и усечения хэша была обнаружена исследователем Flatt Security (RyotaK) во время планового обновления маршрутизатора в домашней лаборатории.
Проблема была исправлена в течение нескольких часов после раскрытия.
OpenWrt включает в себя службу ASU, которая позволяет пользователям создавать собственные сборки прошивки по запросу, включающие ранее установленные пакеты и настройки, обновляя устройство до новой прошивки и сохраняя пакеты и настройки.
RyotaK обнаружил, что служба sysupgrade.openwrt.org обрабатывает входные данные с помощью команд, выполняемых в контейнеризированной среде.
Уязвимость в механизме обработки ввода, возникающая из-за небезопасного использования команды make в коде сервера, позволяет вводить произвольные команды через имена пакетов.
Другая проблема, обнаруженная RyotaK, заключалась в том, что сервис использует 12-символьный усеченный хэш SHA-256 для кэширования артефактов сборки, ограничивая хэш всего 48 битами.
Исследователь объясняет, что это делает возможным перебор коллизий, позволяя злоумышленнику создать запрос, который повторно использует ключ кэша, найденный в легитимных сборках прошивки.
Объединив две проблемы и применив инструмент Hashcat на видеокарте RTX 4090, RyotaK продемонстрировал возможность модификации артефактов прошивки для доставки вредоносных сборок ничего не подозревающим пользователям.
В свою очередь, команда OpenWrt в срочном порядке отреагировала на частный отчет, отключив на три часа службу sysupgrade.openwrt.org 4 декабря 2024 года для применения исправлений.
В OpenWrt полагают, что вряд ли кто-либо смог воспользовался уязвимостью CVE-2024-54143, при этом никаких доказательств того, что эта уязвимость затронула образы с downloads.openwrt.org, также не получено.
Несмотря на это, проблема существует уже некоторое время, поэтому всем пользователям следует предпринять рекомендуемые OpenWrt меры из соображений предосторожности.
Исследователи из Лаборатории Касперского выкатили аналитику по эксплойтам и уязвимостям в третьем квартале 2024 года.
Как отмечают исследователи, третий квартал 2024 года принес целый набор уязвимостей, обнаруженных в нестандартных для кибератак подсистемах Windows и Linux.
Связано это с тем, что разработчики операционных систем выпускают новые механизмы противодействия целым группам уязвимостей в популярных подсистемах.
Например, в CLFS (Common Log Filing System), подсистеме ведения журналов в Windows, появится проверка целостности логов, поэтому количество эксплойтов для нее будет идти на спад.
Что касается Linux, то для нее существует механизм контроля целостности ядра Linux Kernel Runtime Guard (LKRG), выполненный в виде отдельного модуля ядра.
Несмотря на то, что первая версия LKRG вышла еще в 2018 году, он постоянно совершенствуется. Кроме того, в последнее время его стали активнее использовать в различных сборках.
Возвращаясь к квартальной статистике, в третьем квартале 2024 года сохраняется тренд к обнаружению и регистрации все большего количества уязвимостей: рост как по общему количеству, так и по критическим.
Общее количество PoC, которые были опубликованы впервые по свежим CVE, также увеличилось на 2%, что показывает тенденцию к ускорению создания эксплойтов.
Также рост показателя может быть связан с тем, что исследователи все чаще стали публиковать не только описание уязвимости, но и подробные данные, включающие эксплойты.
Причем львиная доля PoC появляется в течение недели после публикации патчей разработчиками ПО, в котором была обнаружена уязвимость.
Исследователи ЛК отмечают изменения в перечне распространенных в APT-атаках уязвимостей.
Теперь в нем присутствуют уязвимости, позволяющие получать доступ к системам с веб-приложениями и почтовыми серверами.
При этом некоторые уязвимости достаточно свежие: одна из них была зарегистрирована в прошлом году и еще три — в этом.
Однако большую часть списка составляют уязвимости, которым три года и более.
Подробная статистика по CVE, особенности эксплуатации и наиболее трендовые уязвимости квартала - в отчете.
🖥 Holborn 9100.
• Если вам интересно, как в конце 70-х большинство людей представляли себе «футуристичный» компьютер, то ответ кроется в этом малоизвестном нидерландском ПК. Модель Holborn 9100. появилась на рынке в 1981 году. Выпускала эти компьютеры небольшая компьютерная компания Holborn, расположенная в Нидерландах. Название бренда, фактически, представляло собой сокращение от “Born in Holland”.
• Система Holborn 9100 представляла собой единую консоль, состоявшую из монитора и клавиатуры, а также отдельный массивный модуль, в котором размещались два флоппи-дисковода (в качестве опции был доступен HDD 30Мб). Без сомнений можно сказать, что визитной карточкой 9100 явился интегрированный монитор 12”, выступавший из консоли, подобно перископу.
• Полностью «заряженная» версия в качестве дополнительного способа ввода включала фоточувствительное световое перо для ЭЛТ-экрана (мыши тогда еще не были широко доступны). В основе аппаратной части Holborn 9100 лежал ЦПУ Zilog Z80A и ОЗУ объемом 72Кб, который можно было расширить до 220Кб. Продавались эти компьютеры с двумя вариантами операционных систем: классической CP/M и собственной Holborn OS.
• Модель 9100, действительно, практически полностью изготавливалась из белого термически формованного пластика. Забавный факт. Многие находят сходство между формой корпуса 9100 и головой персонажа фильма «Инопланетянин» 1982 года. Конечно же, разработка Holborn происходила намного раньше, так что можно считать это чистым совпадением.
• В итоге весь модельный ряд составили четыре модели: 9100, 7100, 6500 и 6100. Причем порядок выпуска получился по убыванию номера модели, то есть сначала появился 9100, а за ним уже остальные модификации. Всего компания выпустила 200 машин, из которых на сегодня уцелело, по примерной оценке, около 20, что делает их одними из редчайших в своем роде.
• Эти продукты компании Holborn, имеющие эксклюзивный дизайн и хорошую техническую начинку, на то время можно было назвать достаточно амбициозными устройствами, которые ориентировались на малый и средний сегменты бизнеса.
• На деле же появление компьютеров IBM и сравнительно высокая розничная стоимость в $10 000 способствовали коммерческому провалу 9100 и последующих серий, что в конечном счете вынудило Holborn объявить в 1983 году о банкротстве...
➡️ https://www.inexhibit.com/case-studies/computer-design-holborn-9100-1981/
#Разное
Имея даже 1 решенное задание есть шанс получить главный приз. Если еще не присоединились к конкурсу, самое время это сделать Новогодний CTF от S.E. x Codeby
Для решения доступно второе задание из 10:
🎅 Северный полюс
🎄 Категория: Веб
❄️ Уровень: лёгкий
🎁 Награда: 1 ключ
🎯 Описание:
Санта запустил новый сервис для сбора пожеланий к Новому году!
Говорят, где-то на его сервере спрятан особый подарок, но доступ к нему есть только у помощников Санты...
🔎 Uscrapper. Собираем информацию с веб-сайтов.
• Uscrapper — open source инструмент командной строки, который поможет найти и получить данные с веб-сайтов:
- Адрес электронной почты;
- Ссылки на социальные сети;
- Имена людей;
- Геолокацию;
- Номера телефонов.
• Помимо парсинга различной информации, автор реализовал функционал выгрузки подробного отчета, который содержит найденную информацию. Кроме того, Uscrapper оснащен необходимыми модулями для обхода анти-парсинга и поддерживает технологии для извлечения информации из всех ссылок в пределах одного домена.
➡ Информация по установке, подробное описание инструменты и другая информация: https://github.com/z0m31en7/Uscrapper
#OSINT
🔐 10 способов обхода Windows Defender.
• В этой статье автор подробно рассказывает о 10 способах и техниках обхода Windows Defender с целью выполнения произвольного кода. Содержание статьи следующее:
- In-Memory AMSI/ETW patching;
- Обфускация кода;
- Обфускация во время компиляции;
- Обфускация бинарных файлов;
- Зашифрованная инъекция шеллкода;
- Загрузка шеллкода;
- Пользовательские инструменты;
- Инсценировка полезной нагрузки;
- Рефлексивная загрузка;
- Сборки P/Invoke C#.
#Windows #AV #Пентест
😎Хотите освоить имитационное моделирование? Присоединяйтесь к открытому уроку и создайте свою первую модель в AnyLogic!
📗На занятии вы познакомитесь с методами работы в AnyLogic, разберётесь с подбором параметров и настройкой «экспериментов» для реальной модели пункта выдачи. Узнаете, как менять переменные и видеть, как модель реагирует на разные параметры.
🧩Моделирование процессов — ключ к успешным проектам и оптимизации бизнес-процессов. Овладейте этим инструментом и добавьте ценные навыки в своё портфолио!
👨💻Спикер Никита Власов — инженер по имитационному моделированию с опытом работы в международных компаниях.
🚀Урок пройдет 5 декабря в 19:00 мск, регистрируйтесь прямо сейчас и получите практические знания и скидку на курс «Имитационное моделирование на базе AnyLogic»: https://otus.pw/jPTHb/?erid=LjN8KbMey
#реклама
О рекламодателе
Аналитики составят топ лучших систем защиты от инсайдеров.
Компания Piccard проводит опрос об используемых в организациях системах защиты от внутренних угроз. Примите участие в анонимном оплачиваемом исследовании.
Опрос займёт 15–20 минут. Вознаграждение 1100 рублей.
>> Участвовать в опросе
#реклама
О рекламодателе
#новости
⚡️ В канун Нового года на Северный Полюс совершена серия загадочных атак, которые ставят под угрозу доставку новогодних подарков.
Сегодня, администрацией Деда Мороза было обнаружено, что центральная система распределения подарков взломана. Кто-то оставил сообщение с угрозой:
“Если до 29 декабря злоумышленников не найдут, никто не получит подарков” 🎁
👩💻 Linux Live CD.
• Если вы захотите использовать #Linux сейчас, современные варианты установки весьма просты: скачайте файл ISO или образ диска на карту MicroSD. Все очень легко, достаточно зайти на DistroWatch. Но в 1990-х годах, когда Linux только начинал набирать популярность как ОС общего пользования, протестировать его было не так просто. Прежде чем приступать к работе, нужно было установить систему на жёсткий диск. Но новые пользователи очень переживали по поводу этого и не хотели устанавливать что-то незнакомое на жёсткий диск, боясь его повредить. Если Linux хотел завоевать внимание большой аудитории потенциальных пользователей, нужно было презентовать свой продукт так, чтобы обычный человек мог попробовать эту новую систему без риска навредить своему компьютеру.
• Была только одна проблема — подходящей технологии ещё не существовало. Оригинальный альфа-релиз Yggdrasil Linux/GNU/X можно считать первым live CD, созданным специально под Linux. Он был создан ещё до того, как появился термин «live CD». Для его установки требовалось 8 МБ ОЗУ, а в то время такой объём ОЗУ было недоступен на большинстве компьютеров. Yggdrasil быстро оказался в забвении. Это означало, что неохваченных пользователей все еще можно было заинтересовать.
• Технический прогресс пошел на пользу Linux. В 2000 году у многих дома был Pentium III и совсем недавно вышел Pentium 4. Кэдди для дисков уже ушли в прошлое, а скорость дисковода CD-ROM составляла 52x. Скорость вращения составляла 6000 оборотов в минуту, а скорость чтения данных — 6 МБ в секунду. Также начали появляться первые DVD-диски, скорость которых была 1,25 МБ в секунду. DVD становились более популярными и могли вмещать значительно больше данных. Здесь возник вопрос о распространении — как сделать так, чтобы эти live CD попали в руки тысяч пользователей?
• С этого момента на сцене появляется загрузочная визитка. К слову, CD не обязательно должен был быть стандартным диском круглой формы с диаметром 12 см. Он мог иметь абсолютно любую форму, главное, чтобы он вращался в дисководе и лазер мог его считать. Благодаря этому появились CD-диски различных размеров. Например, mini-CD, которые были размером всего 80 миллиметров и могли вмещать до 24 минут аудио или 210 мегабайтов данных. Этот формат был очень популярен в Японии, и его часто использовали для записи CD-синглов, практически по той же технологии, что и виниловые синглы. И одним из возможных вариантов была форма визитки. В 1999 году группа сотрудников компании Linuxcare решила сделать дистрибутив такого размера, чтобы он мог поместиться на этом крошечном диске.
• В статье 2000 года на Linux.com Рассел C. Павличек отмечает, что они быстро завоевали расположение более технически продвинутых пользователей. «Эти CD быстро стали главной темой обсуждения на мероприятиях, посвящённых Linux, и были самыми желанными подарками на выставках LinuxWorld и Atlanta Linux Showcase», — сообщает Рассел. Визитка стала редким образцом предмета для хвастовства, который при этом был невероятно полезным и мог использоваться в ежедневной работе. Благодаря этому возрос интерес общества к идее live CD. Существовала вероятность, что после того, как пользователи попробуют систему, они разберутся с утилитами и начнут использовать весь потенциал ОС Linux.
• Всего через пару лет появилось больше дистрибутивов в форме визитной карточки, включая их прямого потомка LNX-BBC, о котором можно узнать больше в Internet Archive. Вскоре после этого для каждого нового дистрибутива Linux начали использовать диски CD-ROM и DVD-ROM в формате «live CD». После появления и развития технологии флэш-накопителей Linux продолжил стремительно набирать популярность, так как новые технологии сделали процесс тестирования операционной системы более комфортным.
➡ https://tedium.co/2021/05/07/linux-live-cd-history/
#Linux #Разное