-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
https://endoflife.date/ — очень полезный ресурс, в котором собрана информация по дате окончания того или иного продукта (софт, ОС и т.д.). Однозначно в закладки.
#Разное
🎧 ИБ в облаке: обсуждаем специфику угроз и средства защиты
Позвали в гости мастодонтов рынка кибербезопасности Positive Technologies и BI.ZОNЕ. Поговорили об актуальной картине угроз для облачных сред, а ещё обсудили сходства и различия инцидентов в локальной и облачной инфраструктуре.
Сформировался ли такой рынок в России и каковы его объёмы? Разобрали этот вопрос и поговорили о проблемах доверия, экономике и задачах вендоров и заказчиков — в чём мы сходимся, а где ещё необходимо налаживать диалог.
➡️ Смотрите выпуск на YouTube и слушайте в Яндекс Музыке
Реклама. ООО «Яндекс.Облако» ИНН 7704458262
❓ Вопросы для учебы и собеседования.
• В данном плейлисте будут раскрыты вопросы теории с привязкой к практике, которые часто встречаются на собеседованиях у работодателя, а также интересные вопросы с которыми автор сталкивался на хакатонах и встречал в комментариях к статьям на хабре.
➡️ https://www.youtube.com/
#Разное
📦 Прохождение Linux-машины INTENTIONS. HTB, сложного уровня.
• Вышло новое видео от MrCyberSec">MrCyberSec, где автор проходит Intentions.htb — это сложная машина на #Linux, которая начинается с веб-сайта галереи изображений, подверженного вторичной SQL-инъекции, что приводит к обнаружению хэшей BCrypt.
• Дальнейшее расследование раскрывает наличие API v2, которое позволяет реализовать аутентификацию через хэши вместо паролей, что ведет к доступу администратора к сайту. В панели администратора атакующий найдет страницу, которая позволяет ему редактировать изображения в галерее с помощью Imagick.
• Атакующий способен использовать создание экземпляра объекта Imagick и получить выполнение кода. Как только атакующий получает шелл как www-data, ему необходимо изучить историю #Git для текущего проекта, где он найдет учетные данные пользователя greg. После входа в систему как greg, атакующий обнаружит, что у него есть доступ к бинарному файлу /opt/scanner/scanner с расширенными возможностями, в частности, CAP_DAC_READ_SEARCH. Эта возможность позволяет атакующему извлекать конфиденциальные файлы, такие как ключ #SSH пользователя root, по байтам. Имея ключ, атакующий может аутентифицироваться через SSH как пользователь root.
➡️ https://youtu.be/vBC65np3854
#Пентест #CTF
👨💻 Вопросы по DevOps.
• В этой объемной статье, которая рассчитана на 75 минут чтения, рассматриваются такие вещи, как сеть, HTTP, операционная система, виртуализация, хранилище etc., а также несколько технологий, используемых в сфере DevOps, таких как Prometheus, OpenStack, Puppet, Elastic etc. Материал будет очень полезен для прохождения собеседований.
- Сеть;
- HTTP;
- Операционная система;
- Виртуализация;
- Хранилище;
- Распределенные системы;
- Системный дизайн;
- Аппаратное обеспечение;
- Большие данные;
- Разное;
- Go;
- SQL;
- MongoDB;
- Prometheus;
- OpenStack;
- Puppet;
- Elastic;
- Packer.
#DevOps #SysOps
👩💻 Траблшутинг Linux. Основные команды, примеры.
• Основные команды для быстрого поиска проблем (траблшутинга) сервера или виртуальной машины на Linux (Ubuntu, Debian, CentOS, Astra). Как диагностировать проблемы с дисками, процессами, оперативной памятью, сетью. Как смотреть логи в Linux.
- Мониторинг;
- Место на дисках;
- Состояние дисков;
- Нагрузка на диски;
- Процессор;
- Оперативная память;
- Процессы;
- Сеть;
- Логи.
#Linux
🌩 Проблема: Wi-Fi работает только во время дождя.
• С такой странной проблемой столкнулся один разработчик, когда приехал домой к родителям. Сначала он не верил, но потом убедился сам: как только дождь заканчивался, 98% пакетов любого сайта терялось. Пришлось сильно повозиться, чтобы понять причину:
➡️ https://habr.com/ru/post/806175/
#Разное
💻 PostgreSQL. Учебные курсы.
Курсы для администраторов:
• DBA1. Администрирование PostgreSQL. Базовый курс;
• DBA2. Администрирование PostgreSQL. Настройка и мониторинг;
• DBA3. Администрирование PostgreSQL. Резервное копирование и репликация;
• QPT. Оптимизация запросов;
• PGPRO. Возможности Postgres Pro Enterprise.
Курсы для разработчиков приложений:
• DEV1. Разработка серверной части приложений PostgreSQL. Базовый курс;
• DEV2. Разработка серверной части приложений PostgreSQL. Расширенный курс;
• QPT. Оптимизация запросов;
• PGPRO. Возможности Postgres Pro Enterprise.
Курс для разработчиков СУБД:
• Hacking PostgreSQL.
#PostgreSQL #Курс
🗞 Threat Zone 2024.
• Новый отчет от BI.ZONE: "Threat Zone 2024", который содержит в себе описание хакерских группировок, их тактики, методы, инструменты и другую информацию.
• Исследование будет полезно CISO, аналитикам SOC, разработчикам плейбуков реагирования на инциденты и контента для SIEM, а также всем, кто интересуется новыми угрозами.
➡ Скачать можно отсюда: https://bi.zone/
#Отчет
👩💻 The SELinux Notebook.
• Держите бесплатную книгу по SELinux, цель которой — стать самой актуальной и всеобъемлющей книгой охватывающей компоненты ядра Linux, библиотеки, инструменты, политики и т.д.
• Abbreviations and Terminology;
• SELinux Overview;
• Core Components;
• Mandatory Access Control (MAC);
• SELinux Users;
• Role-Based Access Control (RBAC);
• Type Enforcement (TE);
• Security Context;
• Subjects;
• Objects;
• Computing Security Contexts;
• Computing Access Decisions;
• Domain and Object Transitions;
• Multi-Level and Multi-Category Security;
• Types of SELinux Policy;
• Permissive and Enforcing Modes;
• Auditing Events;
• Polyinstantiation Support;
• PAM Login Process;
• Linux Security Module and SELinux;
• Userspace Libraries;
• Networking Support;
• Virtual Machine Support;
• X-Windows Support;
• SE-PostgreSQL Support;
• Apache-Plus Support;
• SELinux Configuration Files;
• SELinux Policy Languages;
• The Reference Policy;
• Hardening SELinux;
• Implementing SELinux-aware Applications;
• Embedded Systems;
• SE for Android;
• Appendix A - Object Classes and Permissions;
• Appendix B - libselinux API Summary;
• Appendix C - SELinux Commands;
• Appendix D - Debugging Policy - Hints and Tips;
• Appendix E - Policy Validation Example.
➡️ Скачать в PDF можно отсюда.
#SELinux
Cloud․ru открыл прием заявок на оплачиваемую стажировку для AppSec-инженеров — AppSecCamp. Податься можно до 6 апреля.
Наш идеальный кандидат:
😶🌫️ студент или недавний выпускник с небольшим опытом
😶🌫️ знает один (или даже несколько) из этих языков: Go, Python, C, C++, JavaScript, TypeScript
😶🌫️ готов работать 40 часов в неделю с мая по август (возможен удаленный формат работы и гибкий график)
😶🌫️ заряжен на успех и работу в супер-команде Cloud․ru
За три месяца наши стажеры научатся:
😶🌫️определять уязвимости в коде на языках Go, Python, JavaScript, TypeScript и других
😶🌫️разбираться и понимать, как работает виртуализация, контейнеризация и оркестрация с точки зрения безопасности
😶🌫️работать с SAST-, DAST- и SCA-инструментами
😶🌫️проводить моделирование угроз и security code review
Обещаем хорошо платить, развивать и кормить всеми вкусностями, которые есть в офисе 🫶
📚 Everything curl.
• Очень объемное руководство по работе с curl'ом, которое актуализируют еще с начала 2015 года и по сей день. Книга является бесплатной, а вклад в её развитие внесли десятки авторов: https://curl.haxx.se/book.html
➡️ Репозиторий: https://github.com/curl/everything-curl
➡️ Скачать книгу в PDF или ePUB.
#curl
😈 APT и финансовые атаки на промышленные организации во второй половине 2023 года.
• Обзор отчетов об APT и финансовых атаках на промышленные предприятия и об активности групп, замеченных в атаках на промышленные организации и объекты критической инфраструктуры:
- Активность корейскоязычных групп;
- Активность, связанная с Ближним Востоком;
- Активность китайскоязычных групп;
- Активность русскоязычных групп;
- Другое;
- Предупреждения CISA.
#Отчет
Друзья, если вы хотите построить карьеру в сфере информационной безопасности, то вы еще успеваете записаться на курс "Специалист SOC (Центра мониторинга инцидентов информационной безопасности)".
Запись на курс продлится до 10 апреля. Он посвящен лучшим практикам построения систем реагирования и мониторинга инцидентов.
Что вы получите?
🏆 Готовность к современным угрозам и способность предотвращать материальный и репутационный ущерб
✏️ Помощь в трудоустройстве успешным ученикам
📑 Сертификат/удостоверение о повышении квалификации
“Ландшафт угроз стремительно меняется. В большинстве случаев необходим комплексный подход к обучению, включающий решения разных классов и затрагивающий все основные процессы Security Operation Center (SOC). Присоединяйтесь к нам, превратите ваши страхи в уверенность, ваши сомнения — в силу.” - Автор курса
Бесплатный промодоступ к обучению - 7 дней
Defensively Yours,
Академия Кодебай
образовательный центр по информационной безопасности для профессионалов
тг @Codeby_Academy
тел. 84994441750
🗞 Второе полугодие 2023 года — краткий обзор основных инцидентов промышленной кибербезопасности.
• Свежий отчет от экспертов Лаборатории Касперского по угрозам для систем промышленной автоматизации: статистика по вредоносному ПО, источникам угроз, распределение обнаруженных угроз по отраслям и регионам.
- Производственный сектор;
- Автомобилестроение;
- Энергетика;
- Электронная промышленность;
- Коммунальные службы;
- Логистика и транспорт;
- Пищевая промышленность;
- Нефтегазовая отрасль;
- Судостроение;
- Металлургия;
- Строительство;
- Другое.
➡️ Скачать в PDF || Читать онлайн.
#Отчет
💯 Реальный баг.
• 9 сентября 1947 года кое-что любопытное нашли операторы компьютера Mark II. Это что-то — моль. История гласит, что легендарная Грейс Хоппер, известная как "Amazing Grace" и "Grandma COBOL", обнаружила насекомое между точками на реле N70 панели F.
• Так вот, в октябре 2023 года произошла ситуация, напоминающая эту. Эксперты из TechTuber NorthWestRepair на своём канале поделились видео, как они пытаются найти причину, из-за которой не работает видеокарта NVIDIA RTX 4090 Founders Edition. Владелец видеокарты говорил, что она подаёт "признаки жизни", однако изображение на монитор не выводилось.
• Ремонт видеокарты начался с проверки на короткие замыкания и измерения напряжения, затем была проверка под микроскопом на наличие дефектов. В результате проверка указала на неисправность работы графического процессора. Его решили снять и обнаружили там реальный "баг", а именно муху (на фото). После очистки тестирование показало, что видеокарта стала работать нормально.
➡ Источник: https://www.tomshardware.com/
#Разное
Erid: 2VfnxwoMr5v
👾 Вы готовы противостоять кибератакам?
Расскажите, что вы делаете для подготовки инфраструктуры компании к отражению кибератак и как оцениваете результат.
Пройти опрос.
🤖 Нестандартные варианты использования Raspberry Pi. Второй разъём HDMI для ноутбука.
• На некоторых недорогих моделях ноутбуков бывает только один разъём HDMI, а DisplayPort отсутствует, не говоря уже о втором HDMI или хотя бы VGA. В общем, к такому ноутбуку никак не подключить два внешних монитора в привычной рабочей конфигурации, а только один.
• Французский разработчик Pierre Couy не хотел мириться с таким неудобством и придумал интересный хак: второй виртуальный HDMI через Raspberry Pi.
• Если подключить второй монитор по HDMI к «малинке», то есть несколько вариантов, как передать картинку на ноутбук. Сначала автор выбрал самый логичный способ по Ethernet с использованием медиаплееров типа VNC, Steam Remote Play и всяких VNC-оболочек, разработанных для этой цели. Но его не удовлетворяло общее качество видео: фреймрейт, скорость сети, нагрузка на CPU, обязательный запуск десктопной сессии на стареньком RPi 3.
• Поэтому он решил оптимизировать установку — и вместо готового видеоплеера использовать для трансляции видео по сети утилиту командной строки ffmpeg.
• Этот универсальный инструмент берёт на себя захват видео, транскодирование, инкапсуляцию в сетевой трафик, передачу по сети, обеспечивая тонкий контроль над каждым шагом. На стороне приёма можно выбрать любой из ffmpeg-совместимых плееров c поддержкой Direct Rendering Manager, включая mpv, vlc и ffplay.
• В итоге у автора получается «виртуальный HDMI» для подключения второго монитора. Вообще, по такому алгоритму с помощью ffmpeg и RPi можно подключить практически любое видеоустройство по сети. Столько интересных знаний получено благодаря тому, что не хватило денег на нормальный ноутбук!
➡️ Подробное описание схемы с картинками: https://pierre-couy.dev/
➡️ Видео: https://youtu.be/Q_opC1bHSuY
#Raspberry #Разное
🎨 Цветной терминал.
• Когда терминалы были физическими устройствами, возможность использования разных цветов была ограничена на уровне устройства. Меньшее количество цветов в терминале означало более дешевое устройство, а, значит, более массовое (больше продаж — больше прибыль; вообще это не всегда так, но в данном случае это работало).
• Сначала были монохромные терминалы (два цвета — для текста и для фона). Потом появился трехбитный цвет: пользователю терминала стали доступны 8 разных цветов. Именно тогда из ограничения в 3 бита родилась знаменитая восьмерка названий цветов, ставшая «родной» для терминалов:000 #000000 black черный
001 #0000ff blue синий
010 #00ff00 green зеленый
011 #00ffff cyan голубой
100 #ff0000 red красный
101 #ff00ff magenta пурпурный (лиловый и т.д.)
110 #ffff00 yellow желтый
111 #ffffff white белый
• Во второй редакции стандарта «ECMA-48» от 1979 года (первая редакция — от 1976 года, но я не смог найти ее в интернете) за этими названиями цветов уже закреплены соответствующие управляющие последовательности (коды). (Действующая редакция этого стандарта — пятая, от 1991 года.) В редакции от 1979 года есть еще управляющий код, с помощью которого можно было выделять текст. В разных терминалах это делалось по-разному: увеличением толщины (насыщенности) шрифта или увеличением яркости цвета. Таким образом из 8 имеющихся цветов выжимали 16 разных вариантов для текста (для фона использовали 8 базовых цветов):black | bright (bold) black
blue | bright (bold) blue
green | bright (bold) green
cyan | bright (bold) cyan
red | bright (bold) red
magenta | bright (bold) magenta
yellow | bright (bold) yellow
white | bright (bold) white
• Эти 16 названий цветов часто называют «цветами ANSI», хотя в соответствующем стандарте «ANSI X3.64» эти названия появились позже, чем в «ECMA-48», в 1980-е (сейчас стандарт «ANSI X3.64» не действует).
• Следует отметить, что в упомянутых стандартах указаны только названия цветов, а не точные значения. Разные производители терминалов использовали для этих названий разные значения цветов. Поэтому цвет с одним и тем же названием мог выглядеть очень по-разному на терминалах разных производителей. Из этого в современных эмуляторах терминалов родились цветовые схемы с ограниченной палитрой из 8, 16 или более цветов.
#Разное
🏞 Каковы охотничьи угодья в краю киберпространства?
Знаете ли вы, что сегодня киберхищники берут не качеством, а количеством? В 2023 году произошло перераспределение в разбивке уровней критичности инцидентов, сделав этот период рекордным по количеству инцидентов низкой критичности, но в чем причина?
11 апреля в 11:00 (МСК) состоится вебинар «Сезон киберохоты: аналитика инцидентов за 2023 год», где эксперты «Лаборатории Касперского» представят новые аналитические отчеты Kaspersky MDR и Kaspersky Incident Response, и вы узнаете:
• О статистике инцидентов: какие регионы и отрасли находились в эпицентре киберугроз
• Самые свежие новости о тактиках, техниках и инструментах злоумышленников
• Как своевременно обнаруживать киберинциденты и эффективно на них реагировать
Каждый участник получит полные версии отчетов. И это еще не всё – на вебинаре состоится розыгрыш нескольких памятных подарков!
👉🏻 Зарегистрироваться на бесплатный вебинар
Реклама АО "Лаборатория Касперского". ИНН 7713140469
👩💻 Attacking Azure.
• Перенос IT-инфраструктуры в облака — это не дань моде: такой подход позволяет экономить на технической поддержке, резервном копировании и администрировании. К тому же размещение инфраструктуры в облаке считается более защищенным и от сбоев, и от внешних атак. Но есть и эффективные методы взлома наиболее популярных гибридно-облачных сред, таких как Azure. О таких техниках говориться в данной статье:
- Security Control;
- Execute Command on Virtual Machine using Custom Script Extension;
- Execute Commands on Virtual Machine using Run Command;
- Export Disk Through SAS URL;
- Password Hash Sync Abuse;
- Pass the PRT;
- Application proxy abuse;
- Command execution on a VM;
- Abusing dynamic groups;
- Illicit Consent Grant phishing;
- Add credentials to enterprise applications;
- Arm Templates and Deployment History;
- Hybrid identity - Seamless SSO;
- References.
#Azure #devsecops
🐱 Акустический кот.
• Помните пост про разработку прослушивающего устройства в виде стрекозы от ЦРУ? В начале 2000-х годов в американской прессе случился громкий скандал. Тогда был рассекречен старый проект ЦРУ под названием «Acoustic Kitty», ужаснувший зоозащитников и не только.
• В общем и целом, инженерам ЦРУ пришла в идея оборудовать кота подслушивающими устройствами для проникновения в советские посольства и на другие объекты. Но кот, как известно, гуляет сам по себе, и дрессировке поддаётся слабо. Чтобы это исправить, прибегли к хирургии. Ветеринары имплантировали в ушной канал кота микрофон, вживляли под кожу груди передатчик длиной 3/4 дюйма и специальные батарейки, а вдоль позвоночника до хвоста шла спрятанная в шерсти антенна из проволоки для приёма и передачи сигналов.
• Правда, даже получившиеся киборги, очухавшись после операции, вовсе не стремились идти туда, куда требовалось ЦРУ. Коты упорно отвлекались на всё, на что и полагается отвлекаться котам. Чтобы это подавить, прибегли к ещё более суровой киборгизации, и попытались воздействовать хирургическим путём для отключения ряда «лишних» импульсов. Например, желания есть. Управляться такой кот должен был специальными ультразвуковыми сигналами, требовавшими от него идти прямо, останавливаться или поворачивать влево-вправо.
• На всё это потребовалось 5 лет работы и около 20-ти миллионов долларов. Наконец, в 1967 году пошли на первый эксперимент «в поле»: кот должен был дойти до лавочки близ советского посольства и прослушать беседу двух человек. Когда несчастное животное выпустили из фургона ЦРУ, оно испугалось звуков города, кинулось через дорогу и немедленно было сбито машиной. Epic fail. Котофею R.I.P. Ну а инженеры с руководством отложили в фургоне тонну кирпичей, представив, как они сейчас поедут докладывать высшему начальству о «блестящих результатах эксперимента».
• Естественно, когда всё это опубликовали в начале нулевых, поднялся дикий скандал. Бывший директор Управления технической службы Роберт Уоллес был вынужден объявить прессе, что бедный котик совсем не погиб, из него изъяли все непредусмотренные природой устройства и жил он дальше долго и счастливо — но ему, конечно, никто не поверил.
• ЦРУ почесали головы, подсчитали расходы, прослезились и переключились на проект с голубями-шпионами. Впрочем, в птиц, на их счастье, уже ничего не вживляли, но это совсем другая история...
#Разное
Как обнаружить SQL-уязвимость?
Освойте методы атаки и защиты на курсе SQL Injection Master! Аналогов по объему практики в СНГ и EN-cегменте нет.
На курсе подробно разберём эксплуатацию SQL-инъекций, одну из наиболее опасных и эксплуатируемых видов атак на веб-приложения. Вы освоите базовый синтаксис языка запросов SQL, внедрение SQL-кода в уязвимые приложения, раскрутку SQL-инъекций вручную и софтом, а также способы защиты своих веб-приложений.
Cтарт: 15 апреля
Продолжительность: 3 месяца
🏆 Выдаём УПК/сертификат
Получите промодоступ к обучению - 7 дней бесплатно!
@Codeby_Academy
84994441750
📚100-Year QA-Textbook.
• «100-Year QA-Textbook - русская версия» — интерактивный учебник, включающий 42 модуля, 42 набора онлайн-тестов, более 700 страниц базовых знаний, посвященных тест-дизайну, работе с требованиями, документированию, тестированию на всех уровнях и локализации дефектов в трехзвенной архитектуре, базам данных, Linux, сетям, методологиям разработки и другим полезным темам.
• Учебник интерактивный, потому что в нём есть не только теория в текстовом и графическом виде, но и онлайн-тесты, которые необходимо пройти, чтобы проверить уровень своих знаний.
➡️ https://mentorpiece.org/100/
• P.S. на хабре есть подробное описание этого учебника: https://habr.com/ru/articles/762532/
#QA
👨💻 Доступная виртуализация: Proxmox.
• Когда потребности перерастают один, ответственный за все, железный сервер, но еще не настолько велики, чтобы использовать Kubernetes, на помощь приходят разные решения, позволяющие управлять кластером из нескольких хостов, организовать High Availability, репликацию и централизованный бэкап контейнеров и виртуалок. Proxmox — одно из них:
• Разворачиваем Linstor хранилище ч.1;
• Разворачиваем Linstor хранилище ч.2;
• Разворачиваем Linstor хранилище ч.3;
• Proxmox VE - обновляем 6ку на 7ку (Proxmox 6 to 7 upgrade);
• Proxmox: бекапы и факапы (и ресторы);
• Proxmox + NFS сервер - внешнее хранилище для iso и дисков;
• Proxmox API - автоматизируем рутинную операцию;
• Proxmox + Kerio Control - удобные песочницы;
• Proxmox + Kerio Control - удобные песочницы;
• Вводная;
• Урок 1 - вебинар, инсталляция;
• Урок 2.1 - Обновления;
• Урок 2.2 - Контейнеры;
• Урок 2.3 - Виртуальные машины;
• Урок 2.4 - Настройки в машинах и контейнерах;
• Урок 2.5 - Снапшоты;
• Урок 2.6 - Бекапы;
• Урок 2.7 - Пользователи и права;
• Урок 2.8 - Сети;
• Урок 2.9 - Внешнее хранилище;
• Урок 2.10 - SSL сертификаты;
• Урок 3.1 - Кластер: вводная;
• Урок 3.1.2 - Кластер: подготовка нод;
• Урок 3.2.1 - Кластер: добавление нод;
• Урок 3.2.2 - Кластер: безопасность нод;
• Урок 3.3 - Кластер: реплики нод;
• Урок 3.4 - Кластер: HA;
• Урок 4.1 - time drift;
• Урок 4.2 - LB Proxy;
• Урок 4.3 - LVM;
• Урок 4.4 - Кеш;
• Бекапим в облака.
#Proxmox
📦 Прохождение Linux-машины средней сложности SANDWORM HackTheBox.
• Sandworm — это машина средней сложности на #Linux, которая содержит веб-приложение с сервисом проверки PGP, уязвимым к инъекции шаблонов на стороне сервера (SSTI), что приводит к выполнению удалённого кода (RCE) внутри изоляции Firejail. В этой изоляции можно обнаружить текстовые учетные данные, позволяющие получить доступ по SSH к машине от имени одного из пользователей.
• Далее обнаруживается cron-задача, которая компилирует и запускает бинарник на Rust. Программа использует настраиваемый внешний модуль логирования, к которому у пользователя есть доступ на запись, что затем используется для получения шелл от имени пользователя atlas, запускающего cron-задачу. Наконец, используется недавний эксплойт Firejail (CVE-2022-31214) для создания песочницы, в которой атакующий может выполнить команду su и получить оболочку root на целевой системе.
➡️ https://youtu.be/NpzTEVfUo_U
• Напомню, что дополнительный материал по прохождению HTB есть в этой подборке: /channel/it_secur/1109
#Пентест #CTF
Наблюдая за инцидентом с бэкдором XZ Utils исследователь Ханс-Кристоф Штайнер решил придать огласке аналогичную историю, которая произошла в июне 2020 года и была связана с попыткой попыткой внедрения уязвимости SQL-инъекции в F-Droid, магазин приложений с открытым исходным кодом для устройств Android.
Как и в случае с XZ, свежеиспеченный аккаунт запилилв проект код, который впоследствии проталкивали с помощью группы других свежерегов, оказывая давление на разработчиков F-Droid и попытаясь их склонить к объединению (имплементации) кода.
Исследователь полагает, что команде очень повезло, им удалось обнаружить ошибку внедрения SQL прежде чем имплантат распространился.
Новый код был призван улучшить функциональность поиска F-Droid за счет совершенствования конкатенации SQL-запросов.
Как отмечает Штайнер, несмотря на то, что автор оригинального SQL-кода позже вышел из проекта проекте, он заприметил неладное и решил заменить весь этот подозрительный код библиотеками, которые обеспечивают гораздо большую защиту.
Его убеждали, что конкатенация SQL-запросов — сложная операция и ошибки могут иметь непреднамеренный характер, однако Штайнер отверг эту теорию, заметив определенную согласованность действий новых аккаунтов по продвижению кода.
Хотя попытка не увенчалась успехом, но тактика злоумышленника имеет определенноесходство с инцидентом XZ.
Кстати, на днях эксперт по безопасности цепочки поставок ПО и генеральный директор Chainguard Дэн Лоренц поделился некоторыми мыслями по поводу инцидента с XZ Utils, о котором он предупреждал в подкасте Security Conversations еще в 2022 году.
Как он полагает, правительства ряда стран реализуют через подконтрольные их спецслужбам АРТ долгосрочные атаки на цепочки поставок ПО с открытым исходным кодом, свидетелями которых мы стали в последние дни.
📶 Visual guide to SSH tunneling and port forwarding.
• Наглядные примеры организации SSH туннелей для решения различных задач: https://ittavern.com/visual-guide-to-ssh-tunneling-and-port-forwarding/
• В дополнение: практические примеры SSH.
- SSH socks-прокси;
- Туннель SSH (переадресация портов);
- SSH-туннель на третий хост;
- Обратный SSH-туннель;
- Обратный прокси SSH;
- Установка VPN по SSH;
- Копирование ключа SSH (ssh-copy-id);
- Удалённое выполнение команд (неинтерактивно);
- Удалённый перехват пакетов и просмотр в Wireshark;
- Копирование локальной папки на удалённый сервер по SSH;
- Удалённые приложения GUI с переадресацией SSH X11;
- Удалённое копирование файлов с помощью rsync и SSH;
- SSH через сеть Tor;
- SSH к инстансу EC2;
- Редактирование текстовых файлов с помощью VIM через ssh/scp;
- Монтирование удалённого SSH как локальной папки с SSHFS;
- Мультиплексирование SSH с помощью ControlPath;
- Потоковое видео по SSH с помощью VLC и SFTP;
- Двухфакторная аутентификация;
- Прыжки по хостам с SSH и -J;
- Блокировка попыток брутфорса SSH с помощью iptables;
- SSH Escape для изменения переадресации портов;
#SSH
👾 Malware Development - Evading Diaries.
• NTFS Files Attributes;
• FuncIn;
• Code Cave;
• Stolen Certificate;
• Redirect Antivirus Website Evading Techniques;
• Shortcut Hiding;
• Disabling Antivirus;
• Adding Antivirus Exception;
• Fake Signature;
• Mark-Of-The-Web (MOTW) Bypass;
• Return Address Spoofing;
• Runtime Function Decryption;
• DLL Unhooking;
- How DLL Unhooking Works;
- Unhooking Strategies;
• Evasion Using Direct Syscalls;
- Key Aspects of This Technique;
- Operational Mechanism;
- Featured Windows APIs;
• Unloading Module With FreeLibrary;
- Operational Overview;
- Key Aspects of This Technique;
- Featured Windows APIs;
• References.
#Malware