всі пости S.E.Book

📶 Создаём виртуальную сеть, как это делает Docker. • Как известно, #Docker умеет создавать виртуальные сети для безопасного и удобного сетевого взаимодействия внутри контейнеров. В этой статье мы рассмотрим, как именно он это делает на примере базовых манипуляций с сетью в рамках одного хоста с операционной системой #Linux. • По итогу мы получим: - http-сервер, запущенный в изолированном сетевом пространстве; - Доступ к этому серверу по порту 8000 из loopback (localhost) интерфейса хоста; - Перенаправление пакетов от других машин по tcp порту 8000 в наш http-сервер. ➡️ Читать статью [10 min]. • Дополнительный материал: в этой статье автор рассказывает о том, как работает сеть в контейнерах и разбирает следующие вопросы: - Как виртуализировать сетевые ресурсы, чтобы контейнеры думали, что у них есть отдельная сетевая среда? - Как превратить контейнеры в дружелюбных соседей и научить общаться друг с другом? - Как выйти во внешний мир (например, в Интернет) изнутри контейнера? - Как связаться с контейнерами, работающими на хосте Linux, из внешнего мира? - Как реализовать публикацию портов, подобную Docker? ➡️ Ссылка на статью [25 min]. #Сети #DevOps #Docker

⏺ Компания Security Vision сообщает о выходе новой версии продукта Управление уязвимостями (VM) на платформе Security Vision 5 Security Vision Vulnerability Management (VM) является комплексным продуктом по управлению уязвимостями, включающим обнаружение уязвимостей на активах, предоставление максимально подробной информации по выявленным уязвимостям и рекомендаций по их устранению, процесс контроля с подтверждением устранения, мониторинг сроков и SLA. ➡️ Подробнее о продукте можно узнать по этой ссылке.

Специалисты F.A.C.C.T. раскрыли новый необычный способ доставки майнера Xmrig при помощи настроенных автоматических ответов почтового адреса. Рассылка autoreply-писем велась с скомпрометированных почтовых адресов. Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании. Зафиксировано около 150 подобных писем. При этом в самих письмах находилась ссылка на облако, куда был сохранен файл, содержащий вредоносное ПО Xmrig. Xmrig – это кросплатформенный майнер криптовалют, который работает с видеокартами обоих производителей (AMD/Nvidia), поддерживает популярные алгоритмы майнинга и, в основном, используется для добычи Monero. Анализ почтовых адресов, на которых был установлен «вредоносный» автоответ показал, что раньше они использовались в легитимных целях и свидетельствовал о потенциальной массовой компрометации этих почтовых адресов, после чего ими и воспользовались злоумышленники. В процессе изучения используемых адресов было выяснено, что все они фигурировали в утечках как в открытом виде, так и в виде хэшей. Также многие пользователи взломанных почт, судя по данным из утечек, использовали одинаковые пароли в разных сервисах. Среди пользователей, чьи почтовые ящики были скомпрометированы, были замечены, в основном, физлица, однако также почты арбитражных управляющих, торговых и строительных компаний, мебельной фабрики и КФХ. Для маскировки атакующие также использовали скан реального счета на оплату оборудования, не совпадающего с тематикой писем. Таким образом жертвой может стать не только компания, но и обычные пользователи, которые будут взаимодействовать со взломанной почтой. Данный способ доставки ВПО опасен тем, что потенциальная жертва первая инициирует коммуникацию — вступает в переписку и ждет ответное письмо. В этом состоит главное отличие от традиционных рассылок, где получатель часто получает нерелевантное для него письмо и игнорирует. В данном случае, хотя письмо не выглядит убедительным, коммуникация уже установлена и сам факт распространения файла может не вызывать особого подозрения, а лишь пробудить интерес у жертвы.

🤯 Самая странная ОС: Suicide Linux. • Когда-то давно, я обращал внимание на то обстоятельство, что в отличие от винды сообщения об ошибках здесь не особо информативны, а порой система просто не желает делать то, что тебе нужно, по непонятным причинам. В Suicide Linux эта философия доведена до абсолюта: любую ошибку при вводе команд в консоли ОС воспринимает, как запрос на очистку жесткого диска «

rm -rf /

». Вероятно, что это самая "своеобразная" ОС, с которой мне доводилось сталкиваться. • Suicide Linux — нечто вроде игры, позволяющей понять, насколько долго вы сможете пользоваться системой прежде, чем потеряете все свои данные. Заодно он позволит хорошенько отточить свои навыки работы в терминале и как следует выучить синтаксис команд Linux. К слову, для удобства пользователя разработчики распространяют Suicide Linux в виде контейнера Docker. ➡️ https://github.com/tiagoad/suicide-linux #Разное #Linux

Приглашаем вас принять участие в конференции по защите данных на всем их жизненном цикле — «Сохранить всё: безопасность информации». Лидеры мнений, эксперты кибербеза и информационных технологий и представители власти встретятся, чтобы не просто обсудить актуальные вызовы защиты информации в 2024 году, но и разработать методы реагирования на угрозы. Основные темы конференции: 🔗 Рынок информации — кому и зачем нужны ваши данные 🔗 Законодательство и практика ИБ — как изменяются требования и как им соответствовать 🔗 Жизненный цикл данных — выявление и устранение теневых уязвимостей 🔗 Бизнес и безопасность — ключевые вопросы, волнующие топ-менеджеров 🔗 Стратегия и практика управления безопасностью данных — как построить надежную систему защиты 🗓 24 октября📍 Конгресс-центре Soluxe, Москва, ул. Вильгельма Пика, 16. ➡️ Регистрируйтесь на ключевое событие осени! erid: LjN8KNUen

📚 Бесплатный курс Security-101 для изучения основ кибербезопасности. • У Microsoft есть бесплатный курс (Security-101) для изучения основ кибербезопасности. Благодаря этому курсу можно освоить только базовые принципы, и в нём не учат работать с определёнными инструментами или разрабатывать вредоносные скрипты. • Курс состоит из семи уроков, включающих небольшое видео, статью и ссылки для более глубокого изучения темы. В некоторых уроках есть вопросы для самопроверки усвоенного материала. Большие темы разделили на несколько частей, чтобы их было удобнее изучать. ➡️ Материалы курса доступны бесплатно в открытом GitHub-репозитории и на официальном сайте. #ИБ

Продолжаем следить за исследованиями в отношении уязвимостей и связанных с ними угроз. 1. Исследователи AppOmni обнаружили более 1000 серверов ServiceNow, которые раскрывают базы знаний клиентов (KB). 2. Tenable обнаружила уязвимость, которая могла позволить злоумышленникам запускать вредоносный код на серверах Google Cloud, позволяя перехватить внутреннюю зависимость ПО, которую Google предварительно устанавливает на серверах Google Cloud. Она повлияла на Google Composer. Google устранила проблему и заявила, что не нашла никаких доказательств активной эксплуатации. 3. Varonis опубликовала подробности об атаке с внедрением SOQL (Salesforce Object Query Language), которая позволяла извлечь данные и сведения о клиентах Salesforce через API Aura компании. Выявлена в январе и оперативно исправлена месяц спустя. 4. Исследователи AmberWolf обнаружили Skeleton Cookie (CVE-2024-45488), обход аутентификации в устройстве PAM Safeguard for Privileged Passwords компании One Identity. Уязвимость может быть использована для получения полного административного доступа к приложению и извлечения паролей и резервных копий. Поставщик заявляет, что исправит проблему в предстоящей версии приложения 8.0. 5. Исследователи Horizon3 опубликовали технический анализ CVE-2024-8190, активно эксплуатируемой 0-day в Ivanti Cloud Service Appliance (CSA). Правда, в предыдущий раз Horizon3 некосячила и исправила прошлонедельное сообщение в блоге с предполагаемыми подробностями по недавней ошибке Ivanti (CVE-2024-29847). На самом деле в отчете фигурировала CVE-2023-28324, которая была исправлена в июне прошлого года. Исследователи из Summoning Team утверждают, что Horizon3 в спешке пыталась присвоить себе раскрытие одной из ошибок, о которой они сообщали у себя в блоге. 6. Бизоны представили подробный технический анализ уязвимости CVE‑2024‑7965 (некорректная имплементация в V8), которая позволяет исполнять произвольный код в рендерере Google Chrome, показав как ее можно проэксплутатировать (PoC).

👩‍💻 Ansible Playbooks. - Ansible Inventory Structure; - Ansible Playbook Structure; - Running the Playbook; - Ansible Playbook: SSH Audit; - Linux Kernel Audit; - Nginx Audit; - Apache Audit; - Environment Secret Audit; - SCM (GitLab) Audit; - Docker Container Audit; - Kubernetes Pod Audit; - Database Audit (MySQL and PostgreSQL); - Manage AWS Security Group Rules; - Monitor Critical Files; - Log Collection and Analysis; - Firewall Rules Management with iptables; - Backup and Restore Procedures. #ansible #DevSecOps

Ребята из команды аналитиков DEF.HUB опубликовали на хабре ТОП-10 аномалий пользовательского поведения на рабочих компах. Ну а если у Вас не хватает рук мониторить рабочие станции и серверы, вы можете подключить сервис MDR по модели подписки на https://defhub.ru Реклама. ООО "ДЕФХАБРУ". ИНН: 9718258732

🔄 Создаем расширение Chrome, которое ворует максимум информации.

• Вредоносные расширения браузеров по-прежнему являются существенной угрозой для пользователей и веб-приложений. Расширения предоставляют удобный механизм для распространения вредоносного кода: не требуют высокой квалификации для создания, вызывают меньше подозрений и реже обнаруживаются антивирусами. • В этой статье описан процесс разработки расширения Chrome, которое будет собирать максимально возможное количество данных: - Куки; - История; - Скриншоты; - Захват ввода; - Трафик страниц; - Захват геолокации; - Захват буфера обмена; - Пользовательская навигация и т.д. • Читать статью [10 min]. • GitHub. #ИБ

Как управлять ресурсами в ClickHouse? 🔹Научитесь управлять ресурсами и профилированием запросов в ClickHouse на открытом уроке от Otus. Практика поможет оптимизировать работу с базой данных, улучшить производительность запросов и эффективно управлять ресурсами системы.  ✅ Практика: настройка квот, ограничений и профилей пользователей Урок приурочен к курсу «ClickHouse для инженеров и архитекторов БД». Все о работе с ClickHouse: от установки и настройки, до продовых решений  👉 Регистрация и подробности: https://otus.pw/bW56/?erid=LjN8JxwoQ

Продолжаем отслеживать трендовые уязвимости и отраслевые проблемы. 1. Ivanti, как и предполагалось, столкнулась с экаплатацией недавно исправленной уязвимости в Cloud Service Appliance (CSA). CVE-2024-8190 представляет собой уязвимость внедрения команд ОС, которую компания исправила на прошлой неделе. Уязвимость затрагивает версии Ivanti CSA с истекшим сроком эксплуатации. Компания просит клиентов перейти на более новую версию ПО, чтобы избежать продолжающихся атак. 2. Horizon3 опубликовала анализ исправления для CVE-2024-29847, уязвимости RCE в Ivanti Endpoint Manager, исправленной на прошлой неделе. Так что и тут стоит ожидать эксплуатации. 3. Apple выпустила исправление для Vision Pro после того, как Исследователи из Университета Флориды и Техасского технологического университета показали, как злоумышленник может получить введенные пароли, просто взглянув на клавиши. Метод атаки получил название GAZEploit и его можно использовать для определения того, что печатает пользователь Vision Pro, путем отслеживания движения глаз. Атака была протестирована на 30 пользователях и показала значительную точность. Apple отслеживает уязвимость как CVE-2024-40865  и исправила ее с выпуском visionOS 1.3. Рекомендация по безопасности для visionOS 1.3 была опубликована в конце июля, но 5 сентября Apple обновила ее, включив CVE-2024-40865.  4. Еще по Apple: компания в iOS 18 расширяет функцию блокировки активации на основные аппаратные компоненты iPhone, такие как камеры, аккумуляторы и дисплеи. Помимо плюсов блокировка активации сулит сложности в ремонте устройств для частных мастерских. 5. Исследователь Габор Легради обнаружил критическую уязвимость в фреймворке Spring Java. CVE-2024-38816 позволяет получить доступ к любому файлу внутри приложения, созданного с использованием фреймворка. Атаки могут осуществляться удаленно через Интернет с использованием вредоносных HTTP-запросов. На прошлой неделе VMware выпустила исправления для устранения этой проблемы. 6. Микко Кенттяля выкатил отчет в отношении серии ошибок, найденных два года назад, которые могли быть использованы для Zero Click атак на среды календаря macOS. Все исправлены в период с 2022 по сентябрь 2023 года. 7. В Positive Technologies продолжают рассказывать про самые опасные уязвимости. В августе выделены следующие: - RCE-уязвимость в компоненте Windows Remote Desktop Licensing Service, получившая название MadLicense (CVE-2024-38077); - уязвимость обхода Mark of the Web в Windows, приводящая к возможности запуска вредоносных файлов (CVE-2024-38213); - EoP-уязвимости в ядре Windows (CVE-2024-38106), драйвере Ancillary Function (CVE-2024-38193) и компоненте Power Dependency Coordinator (CVE-2024-38107); - EoP-уязвимости без аутентификации в плагине LiteSpeed Cache для WordPress CMS (CVE-2024-28000).

⏺ Продукты Security Vision и «Лаборатории Касперского» позволят решить задачи центров мониторинга кибербезопасности Эффективное функционирование Security Operation Center требует применения различных решений для контроля, мониторинга, выявления и реагирования на угрозы кибербезопасности. Совместное использование продуктов «Лаборатории Касперского» и Security Vision позволяет решить задачи сотрудников SOC, успешно противостоять угрозам кибербезопасности и обеспечить стабильное функционирование процессов организации. ➡️ Подробнее о продуктах Security Vision и «Лаборатории Касперского», которые можно использовать совместно и с пользой, рассказали по этой ссылке.

🌐 Wi-Fi CheatSheet. • Очень объемное руководство, которое поможет вам разобраться в основах работы Wi-Fi: ➡️ https://www.wiisfi.com #CheatSheet #WiFi

🚀Уникальная возможность для всех, кто работает с Linux!  Приглашаем на вебинар: Управление процессами Linux На вебинаре вы узнаете: - Что такое процесс и чем он отличается от программы - Что такое состояние процесса и как посмотреть текущие процессы 📅 Дата и время: 19.09 в 20:00 (мск) 🔔 Не упустите шанс! Узнайте, как управлять процессами в Linux и повысить свою эффективность! Спикер: Андрей Буранов Вебинар будет полезен: - Администраторам - Разработчикам - Девопсам В результате вебинара вы: - Научитесь находить нужные процессы в системе - Научитесь убивать зомби - Узнаете, что такое сироты - Познакомитесь с системными вызовами к ядру Linux 🔗 Ссылка для регистрации: https://vk.cc/cAIwFD Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

🌍 История интернета. • Весьма интересный материал, который в мельчайших деталях описывает историю возникновения интернета, компьютеров, реле, транзисторов и т.д. Рекомендую всем к ознакомлению: История реле: - Метод «быстрой передачи сведений», или Зарождение реле; - Дальнописец; - Гальванизм; - Предприниматели; - А вот, наконец, и реле; - Говорящий телеграф; - Просто соединить; - Забытое поколение релейных компьютеров; - Электронная эра. История электронных компьютеров: - Пролог; - Колосс; - ENIAC; - Электронная революция. История транзистора: - Пробираясь на ощупь в темноте; - Из горнила войны; - Многократное переизобретение. История интернета: - Опорная сеть; - Распад, ч.1; - Распад, ч.2; - Открывая интерактивность; - Расширяя интерактивность; - ARPANET — зарождение; - ARPANET — пакет; - ARPANET — подсеть; - Компьютер как устройство связи; - Межсетевое взаимодействие. Эра фрагментации: - Коэффициент нагрузки; - Засев пустоши; - Статисты; - Анархисты. Восхождение интернета: - Экспоненциальный рост; - Появление частных и публичных компаний; - Опорная магистраль интернета. #Разное

Хотите узнать, как использовать Kafka Streams для эффективной работы с данными? Всего за пару часов вы научитесь уверенно создавать топологии с помощью DSL, запускать обработку данных и использовать основные процессоры для преобразования, фильтрации, логирования и разделения данных. Вы узнаете, как работать с состоянием и разберете нюансы работы с несколькими партициями. Присоединяйтесь к открытому вебинару 19 сентября в 20:00 мск! Урок будет полезен разработчикам, которым интересно узнать про потоковую обработку данных из Kafka с использованием kafka-streams. Спикер Евгений Непомнящий — опытный разработчик и преподаватель. Встречаемся в преддверии старта курса «Apache Kafka». Все участники вебинара получат специальную цену на обучение! Регистрируйтесь прямо сейчас, чтобы не пропустить мероприятие: https://vk.cc/cALB9Z

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Хотите узнать, как использовать Kafka Streams для эффективной работы с данными? Всего за пару часов вы научитесь уверенно создавать топологии с помощью DSL, запускать обработку данных и использовать основные процессоры для преобразования, фильтрации, логирования и разделения данных. Вы узнаете, как работать с состоянием и разберете нюансы работы с несколькими партициями. Присоединяйтесь к открытому вебинару 19 сентября в 20:00 мск! Урок будет полезен разработчикам, которым интересно узнать про потоковую обработку данных из Kafka с использованием kafka-streams. Спикер Евгений Непомнящий — опытный разработчик и преподаватель. Встречаемся в преддверии старта курса «Apache Kafka». Все участники вебинара получат специальную цену на обучение! Регистрируйтесь прямо сейчас, чтобы не пропустить мероприятие: https://vk.cc/cALB9Z

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

🔑 Зарождение паролей. С чего все начиналось? • Пароли или их эквиваленты использовались на протяжении веков. «Сторожевые слова» использовали древние римляне для получения доступа к охраняемым территориям. • Шифры для кодирования и декодирования сообщений между военными командирами появились в Древней Греции около 400 года до нашей эры. Шифры выполняют ту же функцию, что и сторожевые слова и пароли — обеспечивают безопасность и ограничивают доступ. • Одно из самых ранних сообщений об использовании паролей содержится в книге Судей. Два семитских племени — гилеадиты и эфраимиты — враждовали. Когда гилеадиты тайно проникли на территорию эфраимитов, те, чтобы обнаружить вражеских солдат, требовали от всех подозрительных чужаков произнести слово «shibboleth». Всё потому, что в их языках было тонкое различие в произношении слова shibboleth, а именно: согласного звука sh. По тому, как оно произносилось, определяли «своих». Не прошедших аутентификацию убивали. • Подобный способ аутентификации использовался на протяжении всей истории. Во время Битвы при Куртре (1302) фламандцы обнаруживали французов по их неспособности выговорить «Schild ende Vriend» (Щит и друг). • Во время фризского восстания (1515–1523) использовалась фраза «Buter, brea, en griene tsiis; wa’t dat net sizze kin, is gjin oprjochte Fries» (Масло, ржаной хлеб и зеленый сыр — кто не может это выговорить, не настоящий фриз). Корабли, экипаж которых не мог это произнести, не впускались в порт и захватывались. • А вот относительно современная история, известная как «резня петрушкой». В течение пяти дней в октябре 1937 года в Доминиканской Республике было убито около 35 000 гаитян. Доминиканские солдаты опознавали гаитян, держа в руках веточку петрушки и прося их произнести название. Если человек не мог произнести звук «р» в испанском названии петрушки (perejil), его убивали. • Пароли нашли свое применение и в США в эпоху сухого закона в 1920-х годах. Чтобы попасть в нелегальные бары, любители выпить сначала должны были назвать швейцару действующий пароль. Про это рассказывается не только в голливудских фильмах, но и в одной из первых успешных графических компьютерных игр Leisure Suit Larry in the Land of Lounge Lizards (1987), где герой должен назвать пароль, чтобы войти в бар. • С тех пор система управления доступом «если у меня есть секрет, то есть и право на вход» трансформировалась в способ подтверждения личности — «если у меня есть секрет, то я тот, за кого себя выдаю». Вставка символов в определённом порядке, известном только пользователю с правом доступа, стала решением, позволяющим подтвердить свою личность. • Ну, а первый официальный пароль для компьютеров появился, когда американский учёный Фернандо Корбато представил его концепцию в Массачусетском технологическом институте в 1960 году... #Разное

⏺ ГК «Солар» и Security Vision создадут продукт для автоматизации оценки ИБ-рисков Стратегические партнеры в сфере информационной безопасности ГК «Солар» и Security Vision планируют развивать автоматизированное решение для количественной оценки рисков информационной безопасности. Соответствующее соглашение было подписано Русланом Рахметовым, генеральным директором Security Vision, и Андреем Тимофеевым, финансовым директором ГК «Солар». Партнеры уже осуществили практическую проверку возможности автоматизации и унификации методологии количественной оценки рисков ИБ и разработали прототип SaaS-сервиса на основе риск-ориентированной модели Solar CRQ. Функционал решения включает количественную оценку рисков ИБ, сценарный анализ реализации кибератак, оценку параметров возможных нарушителей и анализ экономики инициатив для защиты критичных бизнес-процессов. Ключевым преимуществом совместного продукта «Солара» и Security Vision будет применение для оценки рисков данных центра Solar JSOC, который обладает обширной базой знаний о кибератаках. Продукт предназначен для компаний со средним и высоким уровнем зрелости функции информационной безопасности. ➡️ Подробнее о продукте можно узнать по этой ссылке.

👩‍💻 Книга: Linux From Scratch. • В книге "Linux From Scratch" приведены объяснения и инструкции, нужные для того, чтобы спроектировать и собрать свою собственную систему. При этом вы вправе отклониться от инструкций в соответствии с собственными замыслами, что, в частности, является важной частью данного проекта. Управление остается за вами, автор просто протягиваем вам руку помощи с тем, чтобы вы начали на свое собственное турне. • Специально собранные системы Linux будут полезны не только для того, чтобы удовлетворить конкретные требования пользователей, но также служат идеальным средством обучения, позволяющим программистам и системным администраторам повысить свои (уже существующие) навыки работы с Linux. ➡️ Оригинальная версия книги [Eng]. ➡️ Перевод книги [RU]. • Книга состоит из следующих частей: 1️⃣ Часть — Введение: приводится несколько важных замечаний, касающихся того, как приступить к установке системы LFS. Здесь же также приведена мета-информация о книге. 2️⃣ Часть — Подготовка к сборке: описывается, как подготовиться к процессу сборки — создать раздел, загрузить пакеты и откомпилировать временный набор инструментальных средств. 3️⃣ Часть — Сборка системы LFS: читатель пройдет через этапы сборки системы LFS — один за другим откомпилирует и установит все пакеты, настроит скрипты загрузки и установит ядро. Результирующая система Linux будет основой, на которой можно собирать и устанавливать нужные вам программы. В конце книги для удобства использования приводятся списки всех программ, библиотек и важных файлов, которые были установлены. #Linux

Исследователи из Dr.Web расчехлили гигантскую ботсеть, включающую более 1,3 миллиона телевизионных приставок Android TV в более чем 200 странах. Наибольшее число зараженных устройств было обнаружено в России, Бразилии, Марокко, Пакистане, Саудовской Аравии, Аргентине, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии. Причем на Бразилию приходится треть всех текущих заражений. Устройства были заражены новым бэкдором под названием Vo1d, нацеленным на Android Open Source Project (AOSP), обеспечив таинственному злоумышленнику полный контроль над устройствами. Исследователям Dr.Web пока не удалось определить, каким образом произошли заражения заражены, но было установлено несколько случаев, когда взломанные приставки сообщали неверные версии ОС Android. По всей видимости, производители бюджетных устройств нередко используют старые версии ОС, выдавая их за более современные, чтобы сделать продукцию более привлекательной среди потребителей. Теоретически это могло бы объяснить, как именно были заражены устройства: операторы Vo1d могли задействовать устаревшие уязвимости Android, поскольку на приставках в реальности не были установлены соответствующие исправления. В зависимости от версии вредоносного ПО Vo1d изменяет install-recovery.sh, daemonsu или заменяет debuggerdфайлы операционной системы, которых представляют собой скрипты запуска в Android. Вредоносная ПО использует эти скрипты для сохранения и запуска Vo1d при загрузке. Сама вредоносная ПО при этом размещается в файлах wdи vo1d, в честь которых она и названа. Основная функциональность Vo1d скрыта в его компонентах vo1d (Android.Vo1d.1) и wd (Android.Vo1d.3), которые работают в тандеме. Модуль Android.Vo1d.1 отвечает за запуск Android.Vo1d.3 и контролирует активность, перезапуская его процесс при необходимости. Кроме того, он может загружать и запускать исполняемые файлы по команде С2. В свою очередь, Android.Vo1d.3 устанавливает и запускает демон Android.Vo1d.5, который зашифрован и хранится в его теле. Этот модуль также может загружать и запускать исполняемые файлы. Более того, он отслеживает указанные каталоги и устанавливает файлы APK, которые он в них находит. Тактические цели боднет пока неясны, вероятно, это может быть DDoS или мошенничество с рекламными кликами. Или же Vo1d все еще находится в стадии разработки, и дополнительный функционал будет добавлен позже. Список IOC для вредоносной кампании Vo1d можно найти на странице Dr. Web на GitHub.

Хотите узнать, как использовать Kafka Streams для эффективной работы с данными? Всего за пару часов вы научитесь уверенно создавать топологии с помощью DSL, запускать обработку данных и использовать основные процессоры для преобразования, фильтрации, логирования и разделения данных. Вы узнаете, как работать с состоянием и разберете нюансы работы с несколькими партициями. Присоединяйтесь к открытому вебинару 19 сентября в 20:00 мск! Урок будет полезен разработчикам, которым интересно узнать про потоковую обработку данных из Kafka с использованием kafka-streams. Спикер Евгений Непомнящий — опытный разработчик и преподаватель. Встречаемся в преддверии старта курса «Apache Kafka». Все участники вебинара получат специальную цену на обучение! Регистрируйтесь прямо сейчас, чтобы не пропустить мероприятие: https://vk.cc/cADZb4

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

👩‍💻 Bash Reference Manual. • Для изучения Bash в нашем канале собрано очень большое кол-во полезного и бесплатного материала! Сегодня нашу коллекцию пополнит одно фундаментальное руководство от GNU, которое поможет освоить Bash или подтянуть свои знания, если Вы ранее уже приступали к изучению. ➡️ https://www.gnu.org/software/bash/manual/bash.pdf #bash

🔐 Математика в кибербезопасности. • Бесплатный курс по математике в кибербезопасности от «Лаборатории Касперского», который предназначен для студентов вузов и колледжей, а также всех, кто интересуется математикой и хочет узнать, как она применяется в кибербезе! • Программа курса: - Целые числа, простота и системы счисления; - Сравнения по модулю; - Уравнения в целых числах; - Первообразные элементы; - Высказывания и логические операции; - Булевы функции (нет, все не так страшно); - Минимизация булевых функций; - Схемы из логических элементов; - Теория множеств; - Множества и функции; - Комбинаторика; - Вероятность и случайность; - Введение в криптографию; - Шифр Цезаря. Почему исторические шифры не работают; - Шифры одноалфавитной замены и их криптоанализ; - Шифр Виженера, или полиалфавитная замена; - Криптоанализ шифра Виженера; - Шифр Вернама; - Шифр RSA; - Хэш-функции; - Протокол Диффи-Хеллмана. ➡️ https://stepik.org/62247 #Курс

Администрирование Linux. Без которого никуда. Курс «Администрирование Linux.Мега» уже стартовал, но у вас еще есть возможность присоединиться к группе! Студенты только начали работу с первыми материалами – самое время залететь и продолжить обучение вместе с ними. ⚙️ 70% курса — это практика. За 1.5 месяца вы научитесь: ➡️ Управлять процессами и правами через консоль с vi/vim, grep, awk, sed ➡️ Автоматизировать задачи с помощью bash-скриптов ➡️ Настраивать мониторинг, собирать логи и управлять ресурсами Не откладывайте: 📍 В таком же виде курс больше не повторится ⚡️ 📍 Регистрация до 15 сентября, а набор в следующий поток откроется только через несколько месяцев. 📌 Подробности по ссылке. Присоединяйтесь, если хотите не просто разобраться в Linux, а уверенно работать с ним каждый день. Реклама. ООО "СЛЁРМ". ИНН 3652901451.

🐝 eBPF cheatsheet. • eBPF – это технология, которая позволяет запускать произвольный код пользователя в рамках ядра. Благодаря ей можно сделать программируемое ядро операционной системы и быстро добавлять туда собственную логику и менять существующую. Раньше (сейчас это, впрочем, тоже работает) это можно было делать с помощью модулей ядра, однако сам процесс был сложен, влек за собой ряд рисков и требовал приличных усилий со стороны разработчиков. • eBPF расшифровывается как «extended Berkeley Packet Filter». Packet Filter — это лишь одна из его возможностей. Фактически технология умеет гораздо больше, но исторически развивалась она именно с фильтрации пакетов. Сегодня это настоящая event-driven система, которая начинает работать при наступлении определенных событий: когда приходит пакет, происходит какой-то системный вызов или что-то ещё. В остальное время она не работает и лишь ждет наступления того или иного события. • По ссылкам ниже Вы найдете полезный cheatsheet, который поможет разобраться в работе eBPF и узнать много новой информации: • eBPF Workflow in DevSecOps; - Installation; - Writing eBPF Programs; - Compiling eBPF Programs; - Loading and Attaching eBPF Programs; • Flow Diagram of eBPF in DevSecOps; • Common Use Cases; • eBPF Workflow for Identity Management; - Monitoring Authentication Attempts; - Auditing Privileged Operations; - Tracking API Usage; • Resources. #eBPF #cheatsheet #DevSecOps

Что хуже потери данных? Неправильное восстановление. Отсутствие чёткого плана на случай сбоя в RAID-массивах и непонимание, как эти самые массивы работают, может привести к полной потери информации. Хотите разобраться, как восстанавливать данные правильно? Приходите на открытый вебинар «Как восстанавливать повреждённые данные на дисках и RAID-массивах?» Вебинар проведёт Андрей Буранов, один из лучших преподавателей образовательных порталов и системный администратор VK Вы узнаете: - Чем полезны снапшоты для восстановления данных - Какие утилиты нужны для восстановления данных - Когда есть смысл обращаться к аппаратному восстановлению данных - Как минимизировать время простоя систем и сохранить целостность данных во время восстановления Бонус! Всем участникам – скидка 5% и полезный гайд 12 сентября, 19:00 МСК, Бесплатно Записаться на событие - https://otus.pw/eiO0/?erid=LjN8KCBix Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

Исследователи McAfee обнаружили новый тип мобильного ПО SpyAgent для Android, реализующую технологию оптического распознавания символов OCR для кражи фраз мнемонических ключей из изображений на устройстве. Мнемонический ключ — это, по сути, фраза из 12-24 слов, которая обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа. Такие секретные фразы являются крайне востребованной целью для злоумышленников, поскольку получение к ним доступа позволит им завладеть как кошельком, так и средствами на нем. Поскольку такой ключ трудно запомнить, его часто скриншотят и хранят в изображениях на мобильном устройстве, нежели чем отдельно выписанную фразу на бумажке в безопасном месте. Замеченная McAfee вредоносная кампания затронула как минимум 280 APK, распространяемых за пределами Google Play с помощью SMS или вредоносных сообщений в социальных сетях. Некоторые из заряженных приложений для Android выдают себя за государственные сервисы, сайты знакомств и порноресурсы. Основной таргет пришелся на Южную Корею, но McAfee заметила планвное расширение географии атака в сторону Великобритании. При этом выявлены также и признаки того, что версия для iOS находится на стадии разработки. После заражения нового устройства SpyAgent начинает отправлять на свой C2 следующую конфиденциальную информацию: список контактов (для дальнейшего распространения), входящие SMS с OTP, пригодные для OCR изображения, а также общую информацию об устройстве. SpyAgent также способна получать команды с C2 для изменения настроек звука или отправки SMS-сообщений, которые, вероятно, используются для рассылки фишинговых текстов с целью распространения вредоносного ПО. Как удалось выяснить McAfee, операторы SpyAgent особо не соблюдали надлежащие меры безопасности при настройке своих серверов, что позволило исследователям получить к ним доступ. Изучив панель администратора, а также украшенные файлы и данные, McAfee смогли идентифицировать ряд жертв вредоносного ПО, одной из которых оказалось устройство Apple iPhone c iOS 15.8.2 с системным языком, установленным на упрощенный китайский («zh»). При этом если изначально вредоносное ПО взаимодействовало со своим C2 посредством простых HTTP-запросов, то последняя версия использует соединения WebSocket. Украденные изображения обрабатываются и сканируются с помощью OCR на стороне сервера, а затем соответствующим образом организуются на панели администратора, что обеспечивает оперативность использования в атаках. Следует отметить, что технология OCR не нова в киберподполье, в июле 2023 Trend Micro находила два семейства вредоносных ПО для Android под названием CherryBlos и FakeTrade, распространявшихся через Google Play. Так что можно смело констатировать, что такая тактика начинает набирать популярность.

📶 Анатомия Remote Desktop Protocol. Подробный разбор протокола RDP. • В общих словах, базовая функция протокола удалённого рабочего стола — передача видеопотока от сервера клиенту. На сервере стоит устройство видеозахвата, которое записывает видео, сжимает его и отправляет клиенту с минимальной задержкой по TCP/IP. • Конечно, только отправить видеопоток недостаточно, это же не простая видеотрансляция. Это лишь часть виртуальных каналов в RDP. Нужно ещё получить обратную связь от клиента, а именно зашифрованные данные об активности мыши и клавиатуры. • На сервере RDP использует собственный видеодрайвер для рендеринга вывода изображения на экран, внедряя информацию о рендеринге в сетевые пакеты с помощью протокола RDP и отправляя их по сети на клиент. На клиенте RDP получает данные рендеринга и интерпретирует пакеты в соответствующие вызовы API интерфейса графических устройств Microsoft Windows (GDI). На сервере у RDP собственный драйвер клавиатуры и мыши для приёма этих событий от клиента. • В сеансе удалённого рабочего стола все переменные среды — например, определяющие глубину цвета, включение и отключение обоев — определяются настройками отдельного соединения RCP-Tcp. Все функции и методы для описания переменных описаны в справочнике по веб-подключению к удалённому рабочему столу и интерфейсе поставщика WMI служб удалённых рабочих столов. • Примерно так работает система, в двух словах. И, видимо, не только RDP, но и во всех остальных программах для удалённого управления компьютером, в том числе в проприетарных протоколах AnyDesk или TeamViewer. ➡️ Если хотите более детально изучить работу данного протокола, то в этой статье все подробно расписано: https://www.cyberark.com/resources/threat-research-blog/explain-like-i-m-5-remote-desktop-protocol-rdp #Разное

Ваши знания в области криптографических протоколов и моделей доверия недостаточны для успешного построения надежной инфраструктуры? Всего за пару часов вы увидите, как разворачивать CA на Windows Server 201X и freeBSD, поймете ограничения классических моделей доверия и узнаете, как применять ZTNA для создания надежной инфраструктуры. Присоединяйтесь к открытому вебинару «Модели доверия: От PKI (CA) до ZTNA» 19 сентября в 20:00 мск! Встречаемся в преддверии старта курса «Криптографическая защита информации». Все участники вебинара получат специальную цену на обучение! Регистрируйтесь прямо сейчас, чтобы не пропустить мероприятие: https://vk.cc/cAx3NK

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

📱 Mobile Pentest Like a Pro. • IOS Jailbreak Methods; • Android Root Methods; • Important Folders & Files; • Static Analytics; • Hooking; • SSL Pin; • Root Detection; • Insecure Logging; • Insecure Storage; • Content Provider; • Static Scanner; • Resources. #IOS #Android #Пентест

😈 Network Pentesting Mindmap. • Предлагаю ознакомиться с очень объемной схемой возможных векторов атак на сети. Весь материал разбит по категориям, с необходимыми примерами конфигов и постоянно поддерживается автором в актуальном состоянии. • Скачиваем, распечатываем, заклеиваем всю стену и берем на заметку. Материал будет полезен пентестерам и red team: ➡ https://github.com/wearecaster/NetworkNightmare #Сети

⚡ Розыгрыш: "Сети глазами хакера" и "Библия социальной инженерии". • На этой неделе в продажу поступила очень крутая книга "Сети глазами хакера" от известного в узких кругах Базарова М.В. (автора многих статей журнала "Хакер", пентестера и специалиста по безопасности сетей). • Книга содержит следующую информацию (подробнее по ссылке ниже): - Настройка дистрибутива Kali Linux для пентеста сетей; - Руководство по пентесту канального уровня сети; - Руководство по пентесту сетей Cisco; - Руководство по пентесту и защите устройств MikroTik; - Рекомендации по пентесту сетей с наименьшим ущербом для инфраструктуры; - Защита сети и сетевого оборудования от хакерских атак. • Так вот, это я к тому, что в нашем втором канале сейчас проходит розыгрыш, победители которого получат эту книгу в бумажном варианте + приятный бонус. • Конкурс завершится уже через 2 дня, поэтому успевайте принять участие: https://t.me/it_secur/2160 S.E. ▪️ infosec.work ▪️ VT

📋 Disaster Recovery Plan: Как правильно заваривать чай, когда горит серверная. • В жизни любого проекта наступает катастрофа. Мы не можем заранее знать, что именно это будет - короткое замыкание в серверной, инженер, дропнувший центральную БД или нашествие бобров. Тем не менее, оно обязательно случится, причем по предельно идиотской причине. • Кстати, насчет бобров - это не шутка. В Канаде они перегрызли кабель и оставили целый район без оптоволоконной связи. А в топе источника проблем для крупной телекоммуникационной компании Level 3 Communications вообще были белки. • Короче, рано или поздно, кто-то обязательно что-то сломает, уронит, или зальет неверный конфиг в самый неподходящий момент. И вот тут появляется то, что отличает компании, которые успешно переживают фатальную аварию от тех, кто бегает кругами и пытается восстановить рассыпавшуюся инфраструктуру - DRP. Вот о том, как правильно написать Disaster Recovery Plan мы сегодня и поговорим: ➡️ Читать статью [10 min]. #DevOps

Исследователи из JFrog раскрыли атака на цепочку поставок Revival Hijack, может быть использована для захвата 22 000 существующих пакетов PyPI и привести к сотням тысяч загрузок вредоносных пакетов. Злоумышленники в ходе Revival Hijack регистрируют новые проекты PyPi, используя имена ранее удаленных пакетов для проведения атак на цепочку поставок и доставляя вредоносный код разработчикам, извлекающим обновления. Разработчики, решившие удалить проект из PyPI, получают только предупреждение о возможных последствиях, включая сценарий атаки Revival Hijack, поскольку имя проекта после этого достаточно быстро станет доступным любому другому пользователю PyPI. Захвативший имя пользователь сможет выпускать новые версии под прежним названием проекта, если имена файлов дистрибутива не будут совпадать с именами файлов из ранее выпущенного дистрибутива. По данным исследователей JFrog, к настоящему времени на PyPI более 22 000 удаленных пакетов, уязвимых для атаки Revival Hijack, и некоторые из них довольно популярны. Исследователи утверждают, что среднемесячное количество удаленных пакетов на PyPI в среднем составляет 309, что указывает на постоянный поток новых возможностей для злоумышленников. В середине апреля JFrog обнаружили, обнаружили, что Revival Hijack уже использовался в реальных условиях, когда злоумышленник нацелился на pingdomv3 - реализацию службы мониторинга веб-сайтов Pingdom API. Пакет был удален 30 марта, а новый разработчик перехватил имя и в тот же день опубликовал обновление, указав, что злоумышленники знали о проблеме. В последующем обновлении пакет включал троян Python, который был замаскирован с помощью Base64 и нацелен на среды Jenkins CI/CD. Исследователи JFrog приняли меры для снижения риска атак Revival Hijack, создав новые проекты Python с именами наиболее популярных уже удаленных пакетов. JFrog поясняет, что PyPI ведет закрытый черный список, который реализует запрет на регистрацию определенных имен в новых проектах, однако большинство удаленных пакетов не попадают в этот список. Это побудило исследователей предпринять меры для смягчения угрозы Revival Hijack, зарегистриров наиболее популярные из удаленных/уязвимых пакетов под учетной записью с именем security_holding и изменив номера версий на 0.0.0.1. Примечательно, что три месяца спустя пакеты в репозитории имели около 200 000 загрузок из-за автоматизированных скриптов и пользовательских опечаток.

📶 Принципы сетевых атак и работа сетей. • Ресурс https://netsim.erinn.io предлагает ряд интерактивных уроков, в которых от тебя потребуется только следить за тем, как пакеты перемещаются между узлами сети, с возможностью создавать свои пакеты, прописывая им заголовки и пытаться таким образом провести успешную атаку. • Ресурс требует простейшей регистрации (без указания почты и прочей информации, достаточно придумать логин и пароль). После регистрации для нас откроются уроки разбитые на 4 части: - Первая часть (Basics) — обучит тебя работе с симулятором и объясняет базовые понятия: пакеты, заголовки и т.д. - Вторая часть (Spoofs) — рассказывает о принципах спуфинга; - Третья часть (Denial of Service) — в трех уроках объясняет, как работает атака типа «отказ в обслуживании»; - Четвертая часть (Attacks) — описывает, принцип работы traceroute, #MITM атаки и обход блокировки ресурсов. • Код ресурса открыт и доступен на github: https://github.com/errorinn/netsim #Сети

☎️ Перейди по ссылке, и я узнаю твой номер. • В цифровую эпоху уже никто не удивляется, когда ему звонят с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных мы подписываем и на каких сайтах оставляем свой номер. • Но сейчас на рынке информационных услуг всё большую популярность набирают сервисы, занимающиеся деанонимизацией пользователей при одном лишь открытии сайта. Причём всё это преподносится как абсолютно легальный сервис для бизнеса, с соблюдением закона о персональных данных. • Но что если вы не хотите оставлять свой номер на сайте, который просто открыли? Поговорим на примере одного из таких сервисов -

dmp.one.

Автор рекомендует открывать этот адрес во вкладке инкогнито с включённым uBlock Origin с кастомными правилами (о них сказано в статье), иначе есть риск попадания вашего телефона в базу. ➡️ https://habr.com/ru/articles/819595/ #ИБ

5 сентября в 12:00 эксперты «Солара» представят обновленную платформу для проведения киберучений и построения киберполигонов Solar CyberMir 6.0. Вы узнаете: • Как с помощью платформы Solar CyberMir развивать практические навыки отражения кибератак • Об уникальных возможностях платформы, включая создание сценариев киберучений, управление инфраструктурами и личным кабинетом • О новых форматах мероприятий Присоединяйтесь к путешествию по обновленному КиберМиру! Зарегистрироваться https://tglink.io/45a3b9f188bd Реклама. ООО "РТК ИБ". ИНН 7704356648.

Продолжаем следить за уязвимостями и на 3 сентября ситуация выглядит следующим образом. Двое исследователей из Тель-Авивского университета опубликовали подробности о новой атаке, которая задействует устаревшие криптографические алгоритмы для атаки на протокол Windows Kerberos. PoC также имеется. ZDI раскрыла подробное описание CVE-NaN, критической ошибки в VMWare vCenter, исправленной июне этого года. Удаленный, неаутентифицированный злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный пакет DCERPC на целевой сервер. Успешная эксплуатация может привести к переполнению буфера кучи, что может привести к выполнению произвольного кода в контексте уязвимой службы. Patchstack обнаружила уязвимость SQL-инъекции в плагине Wishlist для WooCommerce, который используется более чем на 100 000 сайтах. Исследователь, известный как Hypr, выкатил описание четырех различных способов эксплуатации CVE-NaN, уязвимости RCE в службе MediaTek WLAN, первоначально исправленной еще в марте 2024. Исследователь Дивьяншу представил подробный анализ EoP-уязвимости CVE-2023-29360 в службе потоковой передачи Windows, которая эксплуатировалась в дикой природе и была исправлена в июне прошлого года. Михаил Жмайло из CICADA8 опубликовал исследование, в котором рассматриваются различные уязвимости в формате файлов Microsoft MSI. Microsoft обнаружила атаки с использованием комбинации нулей в Chrome и Windows, нацеленные на представителей криптосообщества. Злоумышленники использовали уязвимость нулевого дня Chrome для запуска вредоносного кода и выхода из браузера, а затем в Windows - для повышения привилегий и развертывания руткита FudModule. Обе 0-day были исправлены в начале августа. Исследователи связали кампанию с северокорейской APT, которую компания отслеживает как Citrine Sleet.

👨‍💻 Assembly for Hackers. • Знать ассемблер раньше было обязательно для каждого хакера. Сейчас — только для лучших в своей профессии. Понимать язык машины не только полезно, но и крайне увлекательно: освоив ассемблер, ты научишься программировать без помощи операционной системы и общаться с «железом» напрямую. - Syntax; - Sections; - Processor Registers; - System Calls; - Strings; - Numbers; - Conditions; - Addressing Modes; - File Handling; - Stack and Memory; - Code Injection Attack; - DLL Injection; - APC Injection; - Valid Accounts; - System Binary Proxy Execution: Rundll32; - Reflective code loading; - Modify Registry; - Process Injection; - Mark-Of-The-Web (MOTW) Bypass; - Access Token Manipulation; - Hijack Execution Flow; - Resources. #Assembly

⚙️Вебинар: Kaspersky Threat Intelligence в действии Хотите быть на шаг впереди киберпреступников? Присоединяйтесь к нашему вебинару, чтобы узнать, как использовать Kaspersky Threat Intelligence для защиты ваших систем и данных, и почему «Один SIEM в поле не воин» 📘Что вас ждет на вебинаре: - Обзор современных киберугроз - Практическое применение Kaspersky Threat Intelligence - Демонстрация интеграции с платформой CyberTrace - Интерактивная сессия с вопросами и ответами 📅 Дата и время: 10 сентября в 12:00 💻 Участие: Бесплатное Узнать больше и зарегистрироваться вот тут Реклама. ООО "КРАЙОН". ИНН 9717087315. erid: LjN8JvjeW

🗞 Paged Out #4! • 4-й номер журнала Paged Out, который включает в себя различный материал на тему этичного хакинга и информационной безопасности. Публикуется в формате: 1 страница - 1 статья. Все выпуски можно скачать отсюда: https://pagedout.institute #Журнал #ИБ

Как организовать и внедрить систему управления информационной безопасностью в вашей организации? Узнайте на открытом вебинаре 10 сентября в 20:00 мск, где мы разберем: - что такое «Система управления» и какова ее роль в организации; - процессы информационной безопасности и карту практик ИТ и ИБ; - архитектуру информационной безопасности, миссию, цели и задачи ИБ; - как идентифицировать и анализировать угрозы и риски, а также методы их защиты. Спикер Артем Куличкин — эксперт в области информационной и сетевой безопасности, специалист по безопасности Kubernetes, сертифицированный аудитор, опытный руководитель и преподаватель. Встречаемся в преддверии старта курса «CISO / Директор по информационной безопасности». Все участники вебинара получат специальную цену на обучение! Регистрируйтесь прямо сейчас, чтобы не пропустить мероприятие: https://vk.cc/cAdbma Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

👩‍💻 Администрирование Linux. • Нашел очень полезную подборку из 27 репозиториев на GitHub. Тут вам и коллекция полезных скриптов для автоматизации различных задач, и настройка безопасности, и даже различные задачки для повышения скила. В общем и целом, много крутых и полезных ресурсов, обязательно ознакомьтесь: ➡️ https://github.com/topics/linux-administration #Linux

👨‍💻 Pwning the Domain: AD CS. • В Windows Server присутствует роль под названием Active Directory Certification Services (AD CS), которая нужна для реализации инфраструктуры открытых ключей (PKI) в сетях с контроллером домена. AD CS предназначена для выдачи сертификатов пользователям и ПК. Сертификаты могут использоваться для шифрования, подписи, аутентификации и т.д., и в целом эта роль выглядит как сервис для повышения безопасности в домене. • Чаще всего при пентесте домена AD конечной целью является перехват учётки администратора. Есть множество способов добиться указанной цели, и один из них — эксплуатация неправильных конфигураций шаблонов, по которым выпускаются сертификаты. • Для получения администратора домена, мы можем воспользоваться инструментом — Certipy. Он поможет найти информацию о шаблонах, запросить сертификаты и аутентифицироваться при помощи сертов, но самое главное — проводить атаки. Об этом сегодня и поговорим: - Domain Escalation; - Domain Persistence; - Account Persistence; - Domain Certificate Theft; - Security Research. #Пентест #AD

🏰 DevSecOps Security Architecture. • Honeypot Network and Services in DevSecOps Security Architecture; • Flume log collection; • Kafka Knowledge System; • Zookeeper Knowledge System; • ElastAlert ES Alarm Tool; • Elastic Knowledge System; • Real IP address Detection; • Nginx configuration log format; • Container security tools; • osquery operating system detection and analysis; • jumpserver open source bastion server; • wazuh Host Intrusion Detection System; • Bro Network Security Monitoring; • GitHub Information Leak Monitoring; • Application layer denial of service attacks; • Slowloris; • Resources. #DevSecOps

BI.ZONE раскрывает новую хакерскую группу Stone Wolf, которая использует коммерческий инфостиллер Meduza для атак на российские организации. Злоумышленники рассылают фишинговые письма от лица легитимной организации, занимающейся промышленной автоматизацией с целью доставки в корпоративные инфраструктуры Meduza. Использование известных брендов для фишинговых рассылок - это широко распространенный ход со стороны атакующих. Причем чем известнее и успешнее компания, тем охотнее злоумышленники используют ее айдентику, ведь это значимо повышает доверие со стороны жертвы, подталкивая открыть письмо. Бизоны также отмечают, что атакующие продолжают расширять арсенал коммерческим ВПО, что в очередной раз подчеркивает важность регулярного мониторинга теневых ресурсов. В рамках обнаруженной кампании Stone Wolf распространял архив с именем Dostavka_Promautomatic.zip с тремя файлами под капотом: цифровая подпись (p7s), легитимный документ-приманка (docx), и вредоносная ссылка, замаскированная под PDF-документ (Scan_127-05_24_dostavka_13.05.2024.pdf.url). После активации вредоносной ссылки происходило обращение к находящемуся на удаленном SMB-сервере файлу для загрузки и запуска, доставляя в конечном итоге - Meduza Stealer. Стиллер был замечен в киберпольполье в июне 2023 года по цене 199 долларов за месячную подписку (399 долларов - за три месяца) и 1199 долларов - за бессрочную лицензию. В марте 2024 года стали доступны дополнительные возможности: приобретение загрузчика (вероятно, In2al5d P3in4er), а также выделенного сервера с выбором параметров количества ядер, оперативной памяти и места на диске. При покупке предоставляется билдер, а также веб‑панель, в которой можно отслеживать собранные данные с устройств жертв. В исполняемый файл, по заверениям разработчиков, встроен модуль, ограничивающий возможность реализации атак на территории СНГ. В исследуемом образце такая проверка отсутствует. Стилер собирает системную информацию: версию ОС, имя устройства, время, информацию о процессоре, оперативной памяти и графическом адаптере, разрешении экрана и внешнем IP устройства через обращение к https://api.ipify[.]org. Кроме того, обладает функционалом для кражи учетных данных из Outlook, браузеров, криптокошельков, сессии Telegram и Steam, токенов Discord, менеджеров паролей, данных из Windows Credential Manager и Windows Vault, а также считывания список активных процессов и установленных приложений. Собранные данные отправляются на управляющий сервер по протоколу TCP. Если ВПО не может подключиться к С2, работа программы завершается. Подробности атак, IOCs и MITRE ATT&CK - в отчете.

👩‍💻 Linux under attack. • Небольшое руководство, которое подсвечивает некоторые слабые места Linux. Основной упор сделан на повышении привилегий и закреплению в системе, а в качестве примера мы будем использовать несколько уязвимых виртуальных машин. Содержание следующее: • RECON: - Info; - Открытые источники. • SCAN: - Info; - Скан nmap; - Скан средствами OC; - Обфускация IP; - Скан директорий сайта; - Cкан поддоменов; - Скан WordPress. • VULNERABILITY ANALYSIS: - Анализ. • EXPLOITATION: - Info; - BruteForce; - Local Enumeration. • PRIVILEGE ESCALATION: - Info; - Локальные аккаунты; - Crack hash; - Misconfig; - Kernel exploits. • PERSISTENCE: - info; - SSH Keys; - ПсевдоROOT аккаунт; - bashrc; - Cron Jobs; - Systemd; - Systemd Timers; - rc.local; - MOTD; - APT; - Git hook; - Git config; - PAM backdoor; - Заключение. #Linux

Исследователи из Лаборатории Касперского сообщают об обнаружении macOS-версии бэкдора HZ Rat, нацеленного на пользователей китайских приложений DingTalk и WeChat. При этом замеченный артефакты практически в точности повторяют функционал Windows-версии бэкдора и различаются лишь полезной нагрузкой, которая доставляется в виде shell-скриптов с сервера злоумышленников HZ RAT был впервые задокументирован немецкой DCSO в ноябре 2022 года и распространялся через zip-архивы или вредоносные RTF, предположительно созданные с использованием Royal Road RTF Weaponizer. Цепочки атак с использованием RTF-документов разработаны для развертывания версии вредоносного ПО для Windows, которая выполняется на скомпрометированном хосте благодаря давней CVE-NaN в Microsoft Office. Другой метод распространения задействует установщик легального ПО OpenVPN, PuTTYgen или EasyConnect, который, помимо фактической установки программы-приманки, также выполняет сценарий Visual Basic (VBS), отвечающий за запуск RAT. Функциональность HZ RAT довольно проста. После подключения к C2 реализуются дальнейшие инструкции, включая выполнение команд и скриптов PowerShell, запись и отправка файлов, проверка доступности жертвы. Учитывая ограниченную функциональность инструмента, есть предположение, что вредоносное ПО в основном используется для сбора учетных данных и разведки систем. Факты свидетельствуют о том, что первые версии вредоносного ПО были обнаружены еще в июне 2020 года. По данным DCSO, сама кампания активизировалась как минимум с октября 2020 года. Последний образец, обнаруженный Лабораторией Касперского, был загружен на VirusTotal в июле 2023 года, выдавая себя за OpenVPN Connect (OpenVPNConnect.pkg), который при запуске устанавливает связь с C2 в соответствии со списком из указанных в бэкдоре IP-адресов. Для общения с C2 используется XOR-шифрование с ключом 0x42. Бэкдор поддерживает всего четыре основные команды, как в версии для Windows. В рамках исследования удалось получить с управляющего сервера shell-команды, направленные на сбор следующих данных о жертве: статус System Integrity Protection (SIP), информации о системе и устройстве, список приложений, информация по WeChat и DingTalk, а также креды из менеджера паролей Google. Дальнейший анализ инфраструктуры атаки показал, что почти все C2 расположены в Китае, за исключением двух, которые находятся в США и Нидерландах. Кроме того, сообщается, что ZIP-архив, содержащий установочный пакет OpenVPNConnect.zip, ранее был загружен с домена, принадлежащего китайскому разработчику видеоигр miHoYo, известному по Genshin Impact и Honkai. В настоящее время неясно, как файл был загружен на домен, о котором идет речь ("vpn.mihoyo[.]com"), и был ли сервер скомпрометирован в какой-то момент в прошлом. Также неясно, насколько широко распространена кампания, но последняя найденная версия HZ Rat для macOS показывает, что злоумышленники, стоявшие за предыдущими атаками, все еще активны.

👩‍💻 PCAPdroid или Wireshark на минималках. • Я уже давно заметил, что тема сетей и различные подборки информации по разным инструментам вызывают колоссальный интерес. ПО о котором сегодня пойдет речь не будет исключением. Речь идет о PCAPdroid, который имеет открытый исходный код и может в следующие сценарии использования: ➖ Анализ соединений, созданных приложениями установленными на устройстве (как пользовательскими, так и системными); ➖ Создание дампа сетевого трафика Android-устройства и его отправка на другое устройство для последующего анализа в стороннем приложении (например #Wireshark на ПК); ➖ Расшифровка HTTPS/TLS трафика конкретного приложения. • Подробно описывать данный инструмент не буду, так как за меня это сделали разработчики: https://emanuele-f.github.io/PCAPdroid/ru/quick_start.html • Ну, и напоследок — добрые люди с 4pda постоянно делятся полезными комментами и выкладывают новые версии с премиум функционалом. Скачать актуальную версию можно по ссылке: https://4pda.to #Android #Wireshark

🔐 Взлом Отеля. • Вы когда нибудь отдавали свой паспорт для регистрации при заселении в отель или гостиницу? А задумывались над тем, что ваши данные могут оказаться в руках хакеров? • Короткая, но интересная статья про пентест отеля и уязвимости, благодаря которым пентестер получил доступ к персональным данным и всем хостам в сети объекта. ➡ Читать статью: https://teletype.in/ #Пентест

Пожалуй, начнем неделю с обзора исследований по уязвимостям, подробно останавливаться на каждой смысла особого нет, но ссылочки для более детального изучения оставим. Исследователи Horizon3 опубликовали отчет по двум критическим уязвимостям в системе GPS-отслеживания с открытым исходным кодом Traccar. CVE-2024-24809 (CVSS: 8,5) и CVE-2024-31214 (CVSS: 9,7) потенциально могут быть использованы неавторизованными злоумышленниками для RCE при определенных обстоятельствах. Конечный результат - возможность произвольного размещения файлов в системе. Кроме того, Horizon3 представила подробное описание уязвимости в трех приложениях Python, которые могут быть использованы для кражи учетных данных NTLM. Исследователи Traceable обнаружили незащищенный API в Honeywell BEDQ, используемой сотрудниками и партнерами. По данным исследователей, использованная ошибка позволила им получить полный контроль над всей системой. DEVCORE выкатили первую часть исследования в отношении проблем безопасности в Microsoft Kernel Streaming Service (MSKSRV). Авторы обращают внимание на упущенную из виду поверхность атаки, которая позволила найти более десяти уязвимостей за 2 месяца. Zoho выпустила обновление для исправления RCE-уязвимости в пользовательском интерфейсе ManageEngine OpManager. SonicWall исправила уязвимость ненадлежащего контроля доступа в SonicOS. Ошибка могла привести к несанкционированному доступу к ресурсам брандмауэра или могла привести к сбою устройства. Исследователи Cymulate представили описание уязвимости в Microsoft Entra ID (ранее Azure AD), потенциально допускающей несанкционированный доступ. Однако для ее эксплуатации необходимы привилегии локального администратора. Microsoft планирует устранить эту проблему, но без особой спешки. Prompt Armor раскрыла метод атаки, который включает в себя злоупотребление Slack AI для извлечения данных из частных каналов В ряде случаев злоумышленнику нужен доступ к среде Slack целевого объекта, но некоторые недавно представленные функции могут позволить проводить атаки и без него. В Python Pip Pandas v2.2.2 нашли уязвимость произвольного чтения файлов. PoC также в наличии.

🔒 Шифровальщики. Техники и тактики самых распространенных группировок. • Направление программ-вымогателей сохраняет свое лидерство в рейтинге киберугроз для бизнеса по сей день. Я нашел очень интересный материал, содержащий техники, тактики и процедуры, которые относятся к определенным группам шифровальщиков. Информация представлена в виде красивой матрицы в структурированном виде, с пруфами и сигма-правилами. ➡ https://app.tidalcyber.com/share/9a0fd4e6-1daf-4f98-a91d-b73003eb2d6a #Ransomware

Хотите узнать, как вирусы инфицируют файлы и как защититься от этих угроз? Всего за пару часов вы научитесь внедрять специальный код в исполняемые файлы и поймёте, как работают классические методы инфицирования. Вы узнаете, как добавлять код в существующую секцию и создавать новую, чтобы оригинальный исполняемый файл выполнил его при запуске. Присоединяйтесь к открытому вебинару 4 сентября в 20:00 мск! Урок будет особенно полезен вирусным аналитикам, разработчикам и ИБ-специалистам. Встречаемся в преддверии старта курса «Reverse engineering». Все участники вебинара получат специальную цену на обучение! Регистрируйтесь прямо сейчас, чтобы не пропустить мероприятие: https://vk.cc/czSJht Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

👨‍💻 Основы DNS: понятие, иерархия, записи. • Система доменных имен (DNS) является фундаментальной частью интернета, обеспечивая преобразование легко запоминаемых доменных имен в IP-адреса, необходимые для подключения к веб-ресурсам. • Поделюсь с Вами полезным материалом, которого часто не хватает начинающим и бывалым специалистам: - Что такое DNS и как она работает; - Как работает DNS-запрос; - Иерархия DNS; - Рекурсивные резолверы и кеширование; - Записи DNS и их типы. ➡️ Читать статью [7 min]. #DNS

📦 Как расследовать инцидент взлома? Челлендж Meerkat на HackTheBox! • Вас пригласили в качестве нового поставщика услуг безопасности для Forela, быстро развивающегося стартапа. Стартап использовал платформу для управления бизнесом, но с недостаточной документацией и потенциально слабыми методами обеспечения безопасности. Вам предоставляются PCAP и данные журналов, и перед вами ставится задача определить, произошла ли компрометация. • Этот сценарий заставит вас применить свои навыки анализа, эффективно просеивая сетевые данные и журналы для обнаружения потенциальных признаков вторжения, и тем самым даст реальное представление о ключевой роли кибербезопасности в защите развивающегося бизнеса. ➡️ https://youtu.be/yP4YaNLEMDU #Пентест #CTF

⚙️ PostgreSQL Database Security Assessment Tool. • PGDSAT — инструмент для анализа безопасности PostgreSQL сервера. По факту работы данного инструмента мы получим объемный отчет с оценкой безопасности. Пример отчета можно посмотреть тут: https://www.darold.net/sample_pgdsat/report.html ➡️ Более подробное описание инструмента доступно на github: https://github.com/HexaCluster/pgdsat #PostgreSQL

🤖 Спам-боты и SCAM-проекты в Telegram. • Когда Telegram реализовал функционал комментариев в группах, многие столкнулись с бессмысленными сообщениями или рекламой, которую рассылали спам-боты. Львиную долю такого спама занимали боты с аватаркой красивой девушки и ссылкой в профиле на различные ресурсы (боты, сайты, группы, чаты и т.д.). Наивный читатель обращал внимание на аватарку, смотрел в профиль, видел ссылку и переходил по ней. Таким образом, человек мог оказаться жертвой SCAM-проекта и потерять деньги. • Прошло более двух лет, схема развивается и процветает. Теперь спамеры используют ИИ и Premium подписку, что позволяет оставлять развернутый комментарий под каждым постом, иметь красивую галочку рядом с именем и удвоенные лимиты. Как говориться, прогресс остановить невозможно. И пока кто-то смотрит на картиночки, который генерирует нейросеть, другие реализуют и развивают свои проекты... • Сегодня поделюсь интересной статьей, в которой описано, как работают такие боты, для чего они нужны и как с этим бороться [никак]: https://kod.ru/ #Разное

Исследователи ESET сообщают о новой тактике фишинга, нацеленной на пользователей iOS и Android с помощью Progressive Web Applications (PWA) и WebAPK, имитирующих легальное банковское ПО для обхода средств защиты и хищения учетных данных. Задействуемые Progressive Web Applications (PWA) представляют собой веб-сайты, объединенные в пакеты, которые выглядят как приложения, в то время как на Android использовались WebAPK, которые, по-видимому, устанавливаются из Google Play. Созданные с использованием технологий веб-приложений, PWA могут работать на различных платформах и типах устройств и не требуют от пользователя разрешения на установку сторонних приложений. В рамках наблюдаемых атак пользователям iOS предлагалось добавить PWA на заглавные экраны, в то время как пользователям Android приходилось подтверждать определенные всплывающие окна в браузере перед установкой приложения. WebAPK, которые можно считать обновленными PWA, выглядят как обычные нативные приложения, и их установка не вызывает никаких предупреждений на устройствах Android, даже если пользователь не разрешил установку из сторонних источников. Кроме того, на вкладках с информацией о приложениях будет указано, что приложения были загружены из Google Play. Злоумышленники, стоящие за фишинговыми кампаниями, использовали автоматизированные голосовые вызовы, вредоносную рекламу в соцсетях и SMS для распространения ссылок на веб-сайты с размещенными мошенническими приложениями. Открытие фишинговой ссылки на странице имитирует официальную страницу Google Play/Apple Store или официальный сайт целевого банковского ПО. Затем пользователю предлагается установить новую версию приложения, что приводит к установке вредоносной ПО без отображения на устройстве какого-либо предупреждения безопасности. После установки фишингового PWA или WebAPK значок добавляется на заглавный экран пользователя, а его открытие приведет непосредственно к фишинговой странице входа. После установки жертвам предлагается ввести свои учетные данные интернет-банкинга для доступа к учетной записи через новое приложение. Вся представленная информация отправляется на серверы C2 злоумышленников. По данным ESET, фишинговые атаки, вероятно, начались примерно в ноябре 2023 года, а серверы С2, собирающие информацию, начали работу в марте 2024 года. В некоторых случаях для сбора информации о пользователях использовался бот в Telegram. Атаки были в основном направлены на пользователей в Чешской Республике, однако также были зафиксированы атаки, нацеленные на пользователей в Венгрии и Грузии. На основе обнаруженной инфраструктуры C2 ESET полагает, что новую тактику использовали две разные группы угроз в своих фишинговых атаках. Кроме того, ресерчеры предупреждают, что злоумышленники могут расширить свой арсенал за счет увеличения числа мимикрируемых приложений, поскольку их трудно отличить от легитимных.

🔒 Как обеспечить безопасность сайта на WordPress: инструменты для аудита и мониторинга. • WordPress — самая популярная система управления контентом, поэтому чаще других подвергается атакам. В этой статье разберем инструменты, которые помогут проверить безопасность и защитить сайт на WordPress. • В этой статье рассмотрим следующие темы: - Инструменты для проверки изменений в файловой системе Linux; - Wazuh и Lynis — инструменты для мониторинга безопасности; - Сервисы для проверки на вредоносное ПО; - WPScan — проверяем сайт на уязвимости; - Плагин Wordfence — для защиты WordPress; - Регулярное обновление системы; - Как автоматически обновлять пакеты в ispmanager; - Кратко — как защитить сайт на WordPress. ➡️ Читать статью [9 min]. #WordPress

5 причин посетить конференцию «Сохранить всё: безопасность информации» 1) Экспертное мнение. На конференции выступят ведущие специалисты в области информационной безопасности, представители регуляторов, крупных игроков различных отраслей бизнеса  и независимые эксперты.  2) Актуальная повестка. Участники обсудят острые вопросы законодательства в информационной безопасности и, стратегии защиты данных на всех этапах их жизненного цикла.  3) Практические кейсы.  Эксперты представят успешные кейсы, разберут лучшие практики применения различных систем защиты информации, дадут прикладные рекомендации 4) Нетворкинг. Площадка конференции - место встречи с топ-менеджментом крупнейших игроков российского бизнеса.  5) Бесплатное участие для ключевых представителей. Мероприятие бесплатно для представителей органов государственной власти, финансовых организаций, компаний ТЭК, промышленности, транспорта, ритейла и IT-индустрии. Зарегистрироваться: https://clck.ru/3CkcaN?erid=LjN8JyjzT

🔍 Занимательная Форензика. Теория, книги, лабы, видео и многое другое... • Форензика, как аспект #ИБ, развита гораздо в меньшем объеме нежели #пентест или организация защитных средств. Правильных подход при проведении мероприятий по сбору цифровых доказательств может дать не только восстановить картину возможного инцидента, но и позволит выявить пути и предпосылки возникновения инцидента. • Для изучения данной науки обязательно обрати внимание на репозиторий, в котором собраны инструменты, книги, руководства и другой полезный материал: https://github.com/mikeroyal/Digital-Forensics-Guide ➕ Дополнение: • Отличная подборка команд Windows, Linux и MacOS для понимания того, что произошло в системе и какую информацию можно оттуда достать — https://www.jaiminton.com/cheatsheet/DFIR/ #Форензика

🚀Мы к Вам с классной новостью! Компания Элантех устраивает IT-конференцию, посвященную инновационным решениям в сфере обеспечения безопасности мест массового скопления людей. 🔝В     программе      доклады     и      дискуссии     о     трендах    в    отрасли,    знакомство с технологическими продуктами компании и топовыми разработками в области безопасности. Не забыли и про уже традиционные форматы: Q&A-сессии, нетворкинг и другое. Точно будет интересно! 📆 26 августа, 10:00 📍 Онлайн - присоединиться можно из любой точки мира 👉Вам сюда, за подробностями и регистрацией: https://tglink.io/413658aadbb4

Исследователи из Лаборатории Касперского выкатили отчет в отношении сложной кампании Tusk, нацеленной на пользователей Windows и macOS, связанной с распространением вредоносного ПО DanaBot и StealC и маскировкой под легитимные бренды. Замеченный кластер активности организован русскоязычными хакерами и охватывает несколько как активных, так и неактивных подкампаний, реализующих начальный загрузчик на Dropbox, который отвечает за доставку дополнительных образцов вредоносного ПО, прежде всего, инфокрадов и клипперов. Из 19 выявленных подкампаний в настоящее время активны только три. Название Tusk обусловлено ссылкой на сленговый термин Mammoth, фигурирующий в записях журнала, связанных с первоначальным загрузчиком. Кампании также примечательны применением различных фишинговых тактик, главной целью которых является кража личной и финансовой информацией, которая впоследствии реализуется в даркнете или используется для доступа к игровым аккаунтам и криптокошелькам. Первая из трех подкампаний, известная как TidyMe, имитирует peerme[.]io с похожим сайтом, размещенным на tidyme[.]io (а также tidymeapp[.]io и tidyme[.]app), в рамках которой распространяется вредоносная ПО для Windows и macOS. Загрузчик представляет собой приложение Electron, которое при запуске предлагает жертве ввести отображаемую CAPTCHA, после чего отображается основной интерфейс приложения, в то время как два дополнительных вредоносных файла скрытно загружаются и выполняются в фоновом режиме. Оба вида вредоносной нагрузки, обнаруженные в ходе кампании, представляют собой Hijack Loader, которые в конечном итоге запускают штамм вредоносного ПО StealC, способного собирать широкий спектр информации. Вторая подкампания - RuneOnlineWorld («runeonlineworld[.]io»), предполагает использование фейкового сайта, имитирующего многопользовательскую онлайн-игру под названием Rise Online World, для распространения аналогичного загрузчика, который прокладывает путь для DanaBot и StealC на взломанных хостах. В ходе этой кампании через Hijack Loader также распространяется вредоносное ПО-клиппер на базе Go, предназначенное для мониторинга содержимого буфера обмена и подмены адресов криптокошельков для перехвата транзакций. Завершает активные кампании Voico, которая выдает себя за умного переводчика YOUS (yous[.]ai) с вредоносным аналогом, получившим название voico[.]io, с целью распространения начального загрузчика, который после установки просит жертву заполнить регистрационную форму, содержащую ее учетные данные, а затем регистрирует информацию на консоли. Окончательные полезные нагрузки демонстрируют такое же поведение, как и во второй подкампании, единственное отличие заключается в том, что вредоносная программа StealC, используемая в этом случае, взаимодействует с другим C2. Все кампании демонстрируют умелое применение методов социнженерии, включая фишинг, в сочетании с многоступенчатыми механизмами доставки вредоносного ПО, что подчеркивает передовые возможности задействованных субъектов угроз.

🎙 Простая агентурная работа: интервью с социальными инженерами. • Проверка системы безопасности компании это не только пентесты и фишинговые рассылки, но и шпионские операции с проникновением на территорию заказчика. Как уже стало понятно из названия, статья представлена в формате интервью с социальными инженерами, которые любезно и содержательно смогли ответить на некоторые вопросы о своей нестандартной работе: ➡️ https://habr.com/ru/post/660169/ #СИ

Оплачиваемая стажировка и трудоустройство без опыта — ну ничего себе 😳 Все возможно с Добровольным квалификационным экзаменом! Это бесплатный проект Правительства Москвы, где ты можешь показать свои знания по специальности, запомниться потенциальным работодателям и получить оффер в престижные компании Москвы. Тебя ждет всего три шага: 1️⃣ Пройди тест После регистрации на сайте ДКЭ тебе будет доступно 70 профессий по 7 направлениям. Выбирай тест по своей специальности и проверь уровень своих знаний! 2️⃣ Реши кейс Если ты успешно сдал тест, тебя пригласят на следующий этап, где ты с другими участниками в команде будешь решать реальный кейс одного из работодателей. 3️⃣ Стань победителем Окажись в числе лучших по общему количеству баллов за оба этапа и получи шанс попасть на оплачиваемую стажировку с дальнейшим трудоустройством. Готов проявить себя? Регистрируйся и начинай проходить тест — https://dke.moscow Реклама. АНО "РАЗВИТИЕ ЧЕЛОВЕЧЕСКОГО КАПИТАЛА", АНО "РЧК". ИНН 7710364647. erid: LjN8KTvPR

⚙️ Linux Crisis Tools • В одном из блогов заметил полезную статью, которая содержит в себе определенный набор необходимых инструментов, когда инцидент на сервере уже случился. Автор в своей статье рекомендует установить их заранее =)) ➡️ https://www.brendangregg.com/blog/2024-03-24/linux-crisis-tools.html #Linux #Tools

🍏 macOS Red Teaming. • Gathering System Information Using IOPlatformExpertDevice; • Targeting Browser and Diagnostic Logs; • Manipulating the TCC Database Using PackageKit; • Leveraging Application Bundles and User-Specific Data; • Taking Over Electron App TCC Permissions with electroniz3r; • Exploiting Keychain Access; • Signing Your Payload; • Exploiting Installer Packages; • Exploiting DMG Files for Distribution; • Leveraging HealthInspector Utility; • Generating Shared Secrets and Accessing Computer$ Password; • Over-Pass-The-Hash; • Kerberoasting; • User Level Persistence with Launch Agents; • User Level Persistence with Login Items; • Folder Action Scripts; • Dylib Insertion/Hijack; • Evasion Techniques with XPC on macOS; • Process Injection on macOS; • In-Memory Loading on macOS. #macOS #Red_team

🔺 РЕД СОФТ выпустил обновление для системы управления ИТ-инфраструктурой Администраторы получают удобный инструмент для построения ИТ-инфраструктуры любого масштаба, комфортного управления доменом и плавной миграции с иностранных решений. РЕД АДМ Промышленная редакция разрабатывается в качестве эффективной альтернативы Microsoft Active Directory и Microsoft SCCM, однако с учетом предпочтений российских администраторов. Продукт активно развивается, и недавно компания выпустила обновление 1.2. Узнать о возможностях нового РЕД АДМ можно на вебинаре «РЕД АДМ 1.2 – быстрый старт в новой версии системы управления ИТ-инфраструктурой». Приходите, если вам интересно узнать больше! 🗓 21 августа и 4 сентября, 11:00 📍 Платформа MTS Link 📁 Программа — Меньше консоли, больше интерфейса: свежая реализация управления контроллером домена — Расширенный функционал: гибкая настройка контроллеров домена, управление паролями локальных администраторов (LAPS), поддержка DFS, сервера времени и другие детали обновления 1.2 — План развития: будущие обновления и расширение функционала ⛓ Зарегистрироваться Реклама ООО "Ред Софт" ИНН 9705000373, erid: 2Vtzqw2X8Ap

͏Банда вымогателей Rhysida нанесла удар по известному на западе новостному изданию The Washington Times. Хакеры утверждают, что им удалось выкрасть конфиденциальные данные сотрудников, предлагая редакции в течение недели решить вопрос по выплате выкупа. За свои скромные услуги по нейтрализации потенциальной утечки Rhysida просит 15 битков или около 300 000 долларов. В свою очередь, The Washington Times пока не подтверждают взлом. Так что будем посмотреть, чем завершиться переговорный процесс.

💉 SQL-инъекции для начинающих. • Современные веб-приложения имеют довольно сложную структуру. Для хранения информации активно используются базы данных на основе языка SQL. При обращении к какой-либо странице, веб-приложение формирует специальный SQL-запрос, который запрашивает в базе данных соответствующую запись. Результат запроса возвращается в веб-приложение, которое, в свою очередь, отображает его на странице браузера для пользователя. • Использовать подобную схему взаимодействия удобно, но вместе с этим, возрастает риск появления SQL-инъекций. Суть их работы заключается во внедрении собственного кода в SQL-запрос к базе данных с целью получить дополнительную информацию от нее. • Предлагаю ознакомиться с полезным материалом для начинающих, который поможет понять основы и выбрать правильное направление при изучении дальнейшей информации. Материал разделен на 3 части (оригинал и перевод на русский язык): • Читать статью: [1], [2], [3]. • Перевод: [1], [2], [3]. #SQL #CTF

10-й ежегодный SOC Forum — ключевое мероприятие в российской кибербезопасности — состоится в Москве 6–8 ноября. Мероприятие станет центральной частью Недели кибербезопасности — нового масштабного события для профессионального сообщества и широкой аудитории. Сбор докладов на SOC Forum 2024 уже открыт! Чтобы стать спикером, до 12 сентября заполните форму в личном кабинете на сайте форума, выбрав подходящий тематический трек. Уже ждем ваши доклады! https://tglink.io/e0319fd1d209 Реклама. ООО "РТК ИБ". ИНН 7704356648.

На уязвимости ArtiPACKED в GitHub, подвергающей репозитории потенциальному захвату, остановимся подробнее. Недавно обнаруженный вектор атаки в артефактах GitHub Actions, получивший название ArtiPACKED, может быть использован для получения доступа к облачным средам организаций. Как выяснили исследователи Palo Alto Networks Unit 42, сочетание неправильных настроек и уязвимостей безопасности может привести к утечке токенов артефактов, как сторонних облачных сервисов, так и токенов GitHub, что сделает их доступными для чтения любому, имеющему доступ к репозиторию. Это позволяет злоумышленникам, имеющим доступ к этим артефактам, потенциально скомпрометировать сервисы, к которым эти секреты предоставляют доступ. В первую очередь, была обнаружена утечка токенов GitHub (например, GITHUB_TOKEN и ACTIONS_RUNTIME_TOKEN), которые могут не только предоставить злоумышленникам несанкционированный доступ к репозиториям, но и дать им возможность отравить исходный код и отправить его в производство через рабочие процессы CI/CD. Артефакты в GitHub позволяют пользователям обмениваться данными между заданиями в рабочем процессе и сохранять эту информацию после ее завершения в течение 90 дней, включая сборки, файлы журналов, дампы ядра, тестовые результаты и пакеты развертывания. Проблема заключается в том, что эти артефакты общедоступны для всех в случае проектов с открытым исходным кодом, что делает их ценным ресурсом для извлечения секретов, таких как токены доступа GitHub. В частности, было установлено, что артефакты раскрывают недокументированную переменную среды ACTIONS_RUNTIME_TOKEN, срок действия которой составляет около шести часов, которую можно использовать для замены артефакта вредоносной версией до истечения срока ее действия. Метод открывает окно RCE-атаки, когда разработчики напрямую загружают и запускают вредоносный артефакт или существует последующее задание рабочего процесса, настроенное на выполнение на основе ранее загруженных. Хотя срок действия GITHUB_TOKEN истекает по завершении задания, улучшения, внесенные в функцию артефактов в версии 4, означают, позволяют использовать сценарии состояния гонки для кражи токена, загрузив артефакт во время выполнения рабочего процесса. Украденный токен может быть впоследствии использован для отправки вредоносного кода в репозиторий путем создания новой ветки до того, как работа конвейера завершится и токен станет недействительным. Однако эта атака основана на рабочем процессе, имеющем разрешение «contents: write». Ряд репозиториев с открытым исходным кодом, связанных с Amazon Web Services (AWS), Google, Microsoft, Red Hat и Ubuntu, были признаны уязвимыми для атаки. GitHub же, со своей стороны, классифицировала проблему как информационную, требуя, чтобы пользователи взяли на себя ответственность за защиту своих загруженных артефактов.

👨‍💻 Attacking .NET • Code Access Security (CAS); • AllowPartiallyTrustedCaller attribute (APTCA); • Distributed Component Object Model (DCOM); • Timing vulnerabilities with CBC-mode symmetric; • Race Conditions; • App Secrets; • XML Processing; • Timing attacks; • ViewState is love; • Formatter Attacks; • TemplateParser; • ObjRefs. #DevSecOps

Лаборатория Касперского, не изменяя традициям, уже более шести лет продолжает готовить аналитику и делиться квартальными отчетами по APT для освещения ключевых событий и выводов, о которых точно должны знать в инфосек-сообществе. В новом выпуске внимание сосредоточено на трендах, которые наблюдали исследователи ЛК во втором квартале 2024 года. Главным событием этого квартала стал бэкдор утилиты сжатия XZ, интегрированной во многие популярные дистрибутивы Linux, в частности, использование социальной инженерии для получения постоянного доступа к среде разработки. ToddyCat обзавелась новой версией PcExter 2.0, полностью переработанной и переписанной на .NET, реализующей возможность собирать данные самостоятельно, а также использовать улучшенный механизм поиска файлов.  Развертыванием фреймворка QSC и задействование бэкдора GoClient удалось связать со средней уверенностью с субъектом угроз CloudComputating. GOFFEE отошла от Owowa и PowerShell RCE-импланта VisualTaskel, продолжая проводить вторжения, используя PowerTaskel, предыдущую цепочку заражения на основе HTA, и добавив в арсенал новый загрузчик, замаскированный под легитимный документ и распространяемый по электронной почте. Отмечен новый RAT с низким уровнем обнаружения под названием SalmonQT. Образец использовал REST API GitHub для приема инструкций и загрузки данных, тем самым выступая в качестве сервера C2. С низкой степенью уверенности приписывается CNC. Gaza Cybergang скорректировала свои TTP и теперь в качестве средства для загрузки первоначального загрузчика IronWind полагается на setup_wm.exe, файл Windows Media Utility. Приманки также были изменены. Mysterious Elephant продолжается совершенствовать свой арсенал, задействовав обновленные инструменты и инфраструктуру - в основном бэкдоры и загрузчики для минимизации обнаружения на ранних стадиях атак. Атаки хактивистов также украсили ландшафт угроз в этом квартале. Не все эти атаки сосредоточены на зонах открытого конфликта, как показывают атаки на цели в Албании со стороны группы Homeland Justice. Среди других интересных открытий - новый модульный вредоносный фреймворк Aniseed Vodka, более релевантные образцы DinodasRAT для Linux, новый субъект угроз CloudSorcerer, а также ранее неизвестная кампания, нацеленная на организации в России с использованием бэкдора Telemos. В то время как некоторые TTP-атаки остаются прежними, включая активное использование социнженерии для проникновения в целевую организацию или компрометация отдельного устройства, другие обновились и расширили сферу своей деятельности.

💬 История подростков, создавших ботнет Mirai.

• Речь пойдет о короле ботнетов "Mirai" и о истории его создания. Этот ботнет разработали студенты, которые решили организовать DDOS-атаку на собственный университет. Но в конечном итоге Mirai стал самым крупным IoT-ботнетом, а ребят поймали и отправили в места не столь отдаленные. • К слову, внутри Mirai — небольшой и чистый код, который не отличался технологичностью. Для распространения задействовалась всего 31 пара логин-пароль, но даже этого оказалось достаточно, чтобы захватить более полумиллиона IoT устройств. ➡ Читать статью [12 min]. #Разное

Курс «Введение в Реверс инжиниринг»! Запись до 17 августа Курс подойдёт всем интересующимся темой реверс-инжиниринга. По окончанию курса, вы будете уметь проводить исследования исполняемых файлов и вносить изменения в логику программ. Курс включает в себя: - Работу с отладчиком IDA - Практические навыки анализа исполняемых файлов без исходного кода - Изучение ассемблера, языка Си и EXE / ELF - Восстановление исходного кода из скомпилированных программ 🏆 Сертификат / удостоверение о повышении квалификации Пишите нам @Codeby_Academy или узнайте подробнее о курсе здесь

👩‍💻 PowerShell Commands for Pentesters. • В продолжении к вчерашней публикации поделюсь с Вами полезными командами, которые будут полезны пентестерам и специалистам в области информационной безопасности: + Locating files with sensitive information: - Find potentially interesting files; - Find credentials in Sysprep or Unattend files; - Find configuration files containing “password” string; - Find database credentials in configuration files; - Locate web server configuration files; + Extracting credentials: - Get stored passwords from Windows PasswordVault; - Get stored passwords from Windows Credential Manager; - Dump passwords from Google Chrome browser; - Get stored Wi-Fi passwords from Wireless Profiles; - Search for SNMP community string in registry; - Search for string pattern in registry; + Privilege escalation: - Search registry for auto-logon credentials; - Check if AlwaysInstallElevated is enabled; - Find unquoted service paths; - Check for LSASS WDigest caching; - Credentials in SYSVOL and Group Policy Preferences (GPP); + Network related commands: - Set MAC address from command-line; - Allow Remote Desktop connections; - Host discovery using mass DNS reverse lookup; - Port scan a host for interesting ports; - Port scan a network for a single port (port-sweep); - Create a guest SMB shared drive; - Whitelist an IP address in Windows firewall; + Other useful commands: - File-less download and execute; - Get SID of the current user; - Check if we are running with elevated (admin) privileges; - Disable PowerShell command logging; - List installed antivirus (AV) products. #PowerShell

Сталкиваетесь с вызовами в области кибербезопасности и не знаете, как построить надежный ландшафт инфобеза? Не уверены, как убедить руководство, что ИБ — это не затраты, а инвестиции? Чувствуете, что вам не хватает знаний для эффективной работы с киберугрозами? Представьте, что вы читаете мысли злоумышленников и можете выстраивать надежный ландшафт инфобеза. Ваши навыки востребованы и вы уверенно справляетесь с любыми задачами по защите компании от киберугроз. Присоединяйтесь к открытому вебинару 22 августа в 20:00 мск и сделайте этот прыжок в будущее! Вы узнаете, что необходимо знать и о чем не забывать при работе с кибербезопасностью, а также как убедить бизнес, что ИБ — это важные инвестиции. Спикер Сергей Терешин — руководитель курсов «Внедрение и работа в Devsecops» и «ИБ. Professional». Регистрируйтесь прямо сейчас: https://vk.cc/czgCmB Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

Исследователи IOActive раскрыли новую уязвимость 20-ти летней давности AMD SinkClose, которая затрагивает несколько поколений процессоров EPYC, Ryzen и Threadripper. Уязвимость позволяет злоумышленникам с привилегиями уровня ядра (Ring 0) получать привилегии Ring -2 и устанавливать вредоносное ПО, которое фактически необнаружиемо. Ring -2 - это один из самых высоких уровней привилегий на компьютере, работающий над Ring -1 (используемым для гипервизоров и виртуализации ЦП) и Ring 0, которое является уровнем привилегий, используемым ядром ОС. Уровень привилегий Ring -2 связан с функцией System Management Mode (SMM) современных ЦП. SMM занимается управлением питанием, аппаратным контролем, безопасностью и другими низкоуровневыми операциями, необходимыми для стабильности системы. Благодаря высокому уровню привилегий SMM изолирован от ОС, что исключает возможность его легкого воздействия со стороны злоумышленников и вредоносного ПО. Проблема отслеживается как CVE-NaN и имеет высокую степень серьезности CVSS: 7,5. Полную информацию об атаке исследователи представили в докладе на DefCon. При этом Sinkclose оставалась незамеченной на протяжении почти 20 лет, затронув широкий спектр моделей чипов AMD. Причем SinkClose позволяет злоумышленникам с доступом на уровне ядра (Ring 0) изменять настройки режима управления системой (SMM), даже если включена его блокировка. Ring -2 изолировано и невидимо для ОС и гипервизора, поэтому любые вредоносные изменения, внесенные на этом уровне, не могут быть обнаружены средствами безопасности, работающими в ОС. Единственный способ обнаружить и удалить вредоносное ПО, установленное с помощью SinkClose, - это физическое подключение к процессорам с помощью инструмента, называемого программатором SPI Flash, и сканирование памяти на наличие вредоносного ПО. В свою очередь, AMD сообщает , что уже выпустила исправления для своих настольных и мобильных процессоров EPYC и AMD Ryzen, а дополнительные исправления для встраиваемых процессоров появятся позже. Доступ на уровне ядра является необходимым условием для проведения атаки Sinkclose. AMD отметила это в своем заявлении для Wired, подчеркнув сложность эксплуатации CVE-NaN в реальных сценариях. Однако по мнению IOActive, уязвимости на уровне ядра, хотя и не широко распространены, безусловно, не редкость в сложных атаках, что уже неоднократно фиксировалось в случае с BYOVD и эксплуатации нулей в Windows для повышения привилегий. Учитывая это, Sinkclose может представлять серьезную угрозу для организаций, использующих системы на базе AMD, особенно со стороны APT и высококвалифицированных субъектов.

👩‍💻 Awesome PowerShell. • Большая подборка различного материала для изучения PowerShell: книги, курсы, статьи, подсказки, команды и т.д.: - API Wrapper; - Blogs; - Books; - Build Tools; - Code and Package Repositories; - Commandline Productivity; - Communities; - Data; - Documentation Helper; - Editors and IDEs; - Frameworks; - Interactive Learning; - Logging; - Module Development Templates; - Package Managers; - Parallel Processing; - Podcasts; - Security; - SharePoint; - SQL Server; - Testing; - Themes; - UI; - Videos; - Webserver; - Misc. #PowerShell

Ищете востребованную IT-профессию? Попробуйте защищать ПО на бесплатном курсе В 2024 г. специалист по информационной безопасности — это самая востребованная IT-профессия. Услуги таких профессионалов нужны любому крупному бизнесу — они защищают инфраструктуру компании, выявляют угрозы и отражают атаки. На бесплатном курсе вы: - Узнаете, чем занимается специалист по информбезопасности, подходит ли вам профессия. - Познакомитесь с инструментами и самостоятельно решите реальные задачи специалиста. - Поймёте, как начать свой путь в профессии и какие навыки будут необходимы на старте. Начать учиться бесплатно Реклама. ООО "Нетология". Erid 2VSb5ypQu68

🔝 Top Steganography Methods. • Шифрование помогает сохранять данные в секрете, но одновременно привлекает лишнее внимание. Если файл так просто не открыть, значит, в нем наверняка есть что-то ценное. Поэтому бывает важно скрыть само наличие секретной информации. Проще всего это сделать, растворив конфиденциальные данные внутри какого-нибудь безобидного файла. - QR codes; - Image Transformations; - Files Strings; - WAV/* Steg and Bruteforce; - File in File; - Braille; - TTF; - Brainfuck; - Morse Code; - LSB HALF; - Digital Watermarking; - Cryptography; - Splited Files; - Key and Cipher alongside; - Unicode; - spectogram; - Sound pattern of thing like dial Number. #Steganography

👾 Awesome Vulnerable Applications. • Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров: - Online; - Paid; - Vulnerable VMs; - Cloud Security; - SSO - Single Sign On; - Mobile Security; + OWASP Top 10; - SQL Injection; - XSS Injection; - Server Side Request Forgery; - CORS Misconfiguration; - XXE Injection; - Request Smuggling; + Technologies; - WordPress; - Node.js; - Firmware; - Uncategorized. ➡️ https://github.com/vavkamil/awesome-vulnerable-apps/ #Пентест

⚙️ Awesome PCAP tools. • Порой кажется, что задача собирать и анализировать трафик сети очень трудоёмкая. Причин, требующих мониторить трафик может быть множество, начиная от неправильных конфигураций, которые нагружают вашу сеть, до создания поведенческого baseline сетевой активности и анализа аномалий. • Поделюсь с Вами полезным и объемным репозиторием, который содержит список инструментов для обработки файлов pcap (Packet Capture Data) при исследовании сетевого трафика. - Linux commands; - Traffic Capture; - Traffic Analysis/Inspection; - DNS Utilities; - File Extraction; - Related Projects. ➡️ https://github.com/caesar0301/awesome-pcaptools #Network

До 15 августа принимаются заявки на акцию «Два пентеста по цене одного» от экспертов Solar JSOC. Успейте получить полную картину защищенности вашей организации с помощью комплекса услуг по цене одной услуги. Что мы предлагаем: • Внешний пентест позволит вам увидеть, что злоумышленник может найти и использовать на вашей внешней инфраструктуре. • Внутренний пентест на проникновение позволит увидеть, что можно сделать, попав в инфраструктуру организации. Заказать 2 пентеста Изучить кейсы  P.S. А еще вместе с командой пентестеров мы собрали подборку музтреков,  которая идеально подойдет как под пентесты, так и под заполнение опросного листа на пентест по вашему уникальному ТЗ, если по какой-то причине акция «Два пентеста по цене одного» вам не подходит. Реклама. ООО "РТК ИБ". ИНН 7704356648.

👩‍💻 Шпаргалка с командами Docker. • Помимо содержательного файлика с полезными командами Docker, хочу поделиться интересным репозиторием, который собрал уже 3.6К звёзд и содержит в себе необходимые подсказки для начинающих и опытных специалистов: - Установка; - Реестры и репозитории Docker; - Первые действия с контейнерами; - Запуск и остановка контейнеров; - Получение информации о контейнерах; - Сеть; - Очистка Docker; - Docker Swarm; - Заметки. #Docker #CheatSheet

Специалисты F.A.C.C.T. в новом отчете сообщают о том, кто стоит за этими атаками шифровальщиков Nokoyawa и INC Ransom. Все началось с того, как в апреле 2024 г. к специалистам F.A.C.C.T. попал отчет исследователей из The DFIR Report с описанием цепочки атак Nokoyawa февраля 2023 г. Благодаря индикатору, связанному с сервером Cobalt Strike, удалось обнаружить потенциальную связь между партнерской программой Nokoyawa, группой финансово-мотивированных хакеров FIN7 и Buhti. Именно тогда в поле зрения попал вероятный владелец партнерской программы Nokoyawa Ransomware под ником farnetwork, отслеживая которого аналитики выяснили любопытные детали. Анализируя сообщения на хакерских форумах, исследователи F.A.C.C.T. Пришли к выводу, что пользователи с никнеймами farnetwork, rinc и salfetka - это одно и то же лицо, которое периодически меняет свои аккаунты и контакты в киберподполье. Причем farnetwork ранее был связан с несколькими шифровальщиками, из последних значимых связей — RaaS Nokoyawa. Пользователь под псевдонимом salfetka продавал исходные коды INC Ransom, а rinc является анаграммой от Ransom и INC, и значит, тесно связан с INC Ransom. В общем, хакер уже много лет находится в криминальном бизнесе, связанном с ransomware, также используя и другие псевдонимы - Badbone, Blindman, rd2x45dm. Анализ сетевой инфраструктуры говорит о том, что с участием этого злоумышленника могли совершаться и другие атаки вымогателей. Подробный OSINT и техническая часть исследования - в отчете.

👩‍💻 Attacking Rust. - Cargo Dependency Confusing; - Unsafe Code Usage; - Integer Overflow; - Panics in Rust Code; - memory leaks; - Uninitialized memory; - Foreign Function Interface; - OOB Read plus; - race condition to escalate privileges; - TOCTAU race condition; - out-of-bounds array access; - References. #devsecops

👩‍💻 Устройство памяти процессов в ОС Linux. Сбор дампов при помощи гипервизора. • Иногда для анализа вредоносного программного обеспечения или, например, для отладки какого-либо процесса может потребоваться дамп памяти процесса. Но как его собрать без отладчика? Постараемся ответить на этот вопрос в статье. Задачи: - Обозначить цель сбора дампа процесса. - Описать структуру памяти процессов в Linux и отметить различия в старой и новой версиях ядра ОС. - Рассмотреть вариант снятия дампа памяти процесса внутри виртуальной машины на базе связки гипервизора Xen и фреймворка с открытым исходным кодом DRAKVUF. Содержание статьи: - Что такое дамп памяти и зачем он нужен? - Как организована память процессов в ОС Linux? - Почему в новых ядрах используется иная структура (maple tree)? - Сбор областей виртуальной памяти на версии ядра до 6.0; - Сбор областей виртуальной памяти, начиная с версии 6.1; - Реализация при помощи Xen и DRAKVUF. ➡️ Читать статью [14 min]. #Linux #RE #kernel

Какие три характеристики лежат в основе эффективной IT-инфраструктуры? - Наблюдаемость - Безопасность - Производительность Но при нехватке профессионализма эти три характеристики могут легко превратиться в три проблемы.  О том, как совершенствовать производительность, укреплять безопасность и повышать наблюдаемость систем вы узнаете на конференции «OTUS CONF: Инфраструктура». Спикеры – эксперты из ведущих компаний: девопс-инженер, технический директор и архитектор Важно: перед конференцией мы хотим узнать, что волнует вас на самом деле. Поэтому скорее переходите по ссылке внизу и заполняйте форму с вопросами спикерам. На самые интересные вопросы ответим в конце события! Приглашаем девопс-инженеров, фулстек-разработчиков, системных и сетевых админов. архитекторов ПО, менеджеров продуктов и проектов. 8 августа, 19:00 МСК Участие бесплатное Записаться на конференцию - https://otus.pw/Vrvu/?erid=LjN8KVANt Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

👩‍💻 История Linux и UNIX! Кто породил ВСЕ современные системы! • Сегодня погрузимся в истории операционных систем, вернее матери многих современных систем - UNIX. • 00:15 - Статистика операционных систем; • 02:10 - Колыбель технологий Bell Labs и энтузиасты; • 14:20 - Первые ответвления и перенос; • 18:11 - Загадка века. Почему IBM выбрали не UNIX, а Windows? • 20:20 - Разделение AT&T и начало широких продаж UNIX; • 21:04 - Свободу UNIX! • 25:00 - MINIX и LINUX; • 29:06 - Linux сам по себе; • 31:24 - GNU/Linux; • 35:40 - Наследие и наследники; • 36:58 - Корни MacOS; • 38:35 - Android; • 41:03 - Что стало с людьми? #Разное

Группа исследователей из Технического университета Граца представили новую атаку на кросс-кэш ядра Linux версий 5.9 и 6.2 под названием SLUBStick с использованием девяти существующих CVE как в 32-разрядных, так и в 64-разрядных системах. В 99% она преобразует ограниченную уязвимость кучи в произвольную возможность чтения и записи памяти, что позволяет исследователям повышать привилегии или выходить из контейнеров. Кроме того, атака работала при включенных всех современных защитах ядра, таких как Supervisor Mode Execution Prevention (SMEP), Supervisor Mode Access Prevention (SMAP) и Kernel Address Space Layout Randomization (KASLR). Одним из способов эффективного и безопасного управления памятью ядром Linux является выделение и освобождение фрагментов памяти, называемых slabs, для различных типов структур данных. Недостатки в этом процессе управления памятью могут позволить злоумышленникам повреждать или манипулировать структурами данных, что называется атаками кросс-кэша. Однако они эффективны примерно в 40% случаев и обычно рано или поздно приводят к сбоям системы. SLUBStick реализует уязвимость кучи, такую как двойное освобождение, освобождение пользователем памяти после ее освобождения или запись за пределами выделенного пространства, для манипулирования процессом выделения памяти. Затем он использует побочный канал синхронизации для определения точного момента выделения/освобождения фрагмента памяти, что позволяет злоумышленнику прогнозировать и контролировать повторное использование памяти. Использование такой временной информации повышает успешность эксплуатации перекрестных изменений до 99%, что делает SLUBStick очень практичным. Как и большинство атак с использованием побочного канала, SLUBStick требует локального доступа к целевой машине с возможностями выполнения кода. Кроме того, атака требует наличия уязвимости кучи в ядре Linux, которая затем будет использоваться для получения доступа к чтению и записи в память. Хотя это может сделать атаку непрактичной, она дает злоумышленникам определенные преимущества в сложной цепочки атак: EoP, обход защиты ядра, побег из контейнера, поддержание устойчивости на этапе постэксплуатации. SLUBStick будет подробно анонсирована на предстоящей конференции Usenix Security Symposium в конце этого месяца с демонстрацией повышения привилегий и выхода из контейнера в новейшей версии Linux с включенными передовыми защитами. Тем не менее уже доступен технический документ со всеми подробностями атаки и возможными сценариями ее эксплуатации. Эксплойты для SLUBStick также доступны в репозитории на GitHub.

📦 ОС на любой вкус и под любую потребность. • Очень полезный ресурс, в котором собрано огромное кол-во виртуальных машин для VirtualBox и VMware. Всё просто: зашли - скачали - установили - сэкономили кучу времени - profit. ➖ https://www.osboxes.org/virtualbox-images/ ➖ https://www.osboxes.org/vmware-images/ #ВМ

🖨 Как получить привилегии администратора домена, начав с принтера. • Уязвимости сетевых принтеров рассматривались со времен их появления, но за прошедшие годы положение дел нисколько не улучшилось. Почти в каждом принтере сейчас есть Wi-Fi и функция автоматического обновления прошивки через интернет, а в МФУ подороже теперь есть встроенная память, зачастую хранящая копии сканированных и распечатанных документов за длительный период. • На хабре есть интересная статья в которой описано, как получение доступа к панели администрирования принтера может привести к компрометации всего домена Active Directory с помощью эксплуатации уязвимости PrintNightmare и использования неограниченного делегирования. Статья хоть и прошлогодняя, но Вы можете найти много полезной информации для себя. ➡️ https://habr.com/ru/post/725008/ • Дополнение: - http://hacking-printers.net — включает в себя подборку полезных статей (доступ к памяти, доступ к файловой системе, раскрытие учетных данных, переполнение буфера, обновления прошивки, программные пакеты, манипуляции с заданиями на печать и многое другое); - Статья, в которой рассказывается об извлечении пароля администратора из файла конфигурации устройства: https://blog.compass-security.com/2021/05/printer-tricks-episode-ii-attack-of-the-clones/ - PRET — фреймворк на Python для эксплуатации известных уязвимостей в службах удаленной печати. #Пентест

🫠 Уязвимая Active Directory.

• С момента создания службы каталогов Active Directory прошло уже 25 лет. За это время служба обросла функционалом, протоколами и различными клиентами. • Для получения необходимого опыта в тестировании новых TTP (tactics, techniques and procedures) и работоспособности цепочек атак, нам лучше всегда иметь под рукой тестовую и заведомо уязвимую Active Directory [#AD]. • В этом случае нам поможет Vulnerable-AD, благодаря этому инструменту, мы можем тестировать большинство различных атак в локальной лаборатории. Список поддерживаемых атак перечислен ниже: - DCSync; - Silver Ticket; - Golden Ticket; - Kerberoasting; - Pass-the-Hash; - Pass-the-Ticket; - AS-REP Roasting; - Abuse DnsAdmins; - Password Spraying; - Abusing ACLs/ACEs; - SMB Signing Disabled; - Password in Object Description; - User Objects With Default password. • Подробная информация содержится по ссылке: https://github.com/WazeHell/vulnerable-AD #AD

👾 Где практиковаться этичному хакингу?  Codeby Games предлагает тебе уникальную возможность отточить свои навыки пентеста, решая задачи, приближенные к боевым! - Более 50 уязвимых машин на Windows и Linux - Более 300 CTF заданий - Регулярные обновления - Самое отзывчивое комьюнити Огромное количество практики в любой из областей информационной безопасности: 🌐 Web-эксплуатация 🔑 Криптография 🕵️‍♂️ Форензика 🔍 OSINT 🖼 Стеганография 👨‍💻 PWN ⚙️ Реверс-инжиниринг 🎟 Active Directory Присоединяйся к Codeby Games и окунись в мир инфобеза уже сегодня! 👉 https://tglink.io/e420824650dc Приятного хакинга!

🗞 Эксплойты и уязвимости в первом квартале 2024 года. • Новый отчет от экспертов Лаборатории Касперского, который содержит статистику по уязвимостям и эксплойтам, основные тренды и разбор интересных уязвимостей, обнаруженных в первом квартале 2024 года: - Статистика по зарегистрированным уязвимостям; - Статистика по эксплуатации уязвимостей; - Эксплуатация уязвимостей в Windows и Linux; - Статистика по публичным эксплойтам; - Самые распространенные эксплойты; - Использование уязвимостей в APT-атаках; - Интересные уязвимости первого квартала 2024 года; - CVE-2024-3094 (XZ); - CVE-2024-20656 (Visual Studio); - CVE-2024-21626 (runc); - CVE-2024-1708 (ScreenConnect); - CVE-2024-21412 (Windows Defender); - CVE-2024-27198 (TeamCity); - CVE-2023-38831 (WinRAR). #Отчет