logo
Хроники кибер-безопасника  Ничто так не говорит о безопасности, как сотни ИБ-продуктов и биометрический сканер
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
Профессиональный блог на различные ИТ и ИБ-темы. Минимум хайпа и максимум вдумчивого анализа и разбора различных материалов.

📌Не знаете какой уровень вам подходит, прочтите пост https://sponsr.ru/chronicles_security/55295/Platnye_urovni/

Все площадки
➡️Тексты и прочие форматы: TG, Boosty, Sponsr, Teletype.in, VK, Dzen
➡️Аудио: Mave, здесь можно найти ссылки на доступные подкаст площадки, например, Яндекс, Youtube Подкасты, ВК подкасты или Apple с Amazon
➡️Видео: Youtube, Rutube, Dzen, VK

основные категории материалов — используйте теги:

Q& A — лично или chronicles_qa@mail.ru
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Каждый донат способствует прогрессу в области ИБ, позволяя предоставлять самые актуальные исследования и профессиональные рекомендации. Поддержите ценность контента

* не предоставляет доступ к закрытому контенту и не возращается

Помочь проекту
Праздничный промо 750₽ месяц
Доступны сообщения

Подписка "Постоянный читатель" за полцены!

В течение ограниченного времени мы предлагаем подписку по выгодной цене - со скидкой 50%! Будьте в курсе последних тенденций кибербезопасности благодаря нашим материалам

Предложение действительно до конца этого месяца.

Оформить подписку
Постоянный читатель 1 500₽ месяц 16 200₽ год
(-10%)
При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Идеально подходит для постоянных читателей, которые заинтересованы быть в курсе последних тенденций в мире кибербезопасности

Оформить подписку
Профессионал 3 000₽ месяц 30 600₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Предназначено для ИТ-специалистов, экспертов, и энтузиастов, которые готовы погрузится в сложный мир ИБ + Q&A

Оформить подписку
Фильтры
Пн
Вт
Ср
Чт
Пт
Сб
Вс
28
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1
Обновления проекта
Поделиться
Метки
хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов
Читать: 1+ мин
logo Хроники кибер-безопасника

Нескончаемый фаззинг кошмаринг кода

Jazzer — это ‎управляемый‏ ‎фаззер ‎для ‎платформы ‎JVM, ‎разработанный‏ ‎Code ‎Intelligence.‏ ‎Он‏ ‎основан ‎на ‎libFuzzer‏ ‎и ‎привносит‏ ‎в ‎JVM ‎различные ‎полезные‏ ‎механизмы.

ключевые‏ ‎функции

📌Фаззинг, ‎ориентированный‏ ‎на ‎покрытие‏ ‎кода: ‎для ‎управления ‎фаззингом ‎используются‏ ‎функции‏ ‎мутации ‎на‏ ‎основе ‎инструментария.

📌Фаззинг‏ ‎в ‎процессе: ‎выполняется ‎в ‎рамках‏ ‎процесса‏ ‎JVM,‏ ‎что ‎сокращает‏ ‎накладные ‎расходы.

📌Поддержка‏ ‎платформы: ‎Поддерживает‏ ‎Linux‏ ‎x86_64, ‎macOS‏ ‎12 ‎+ ‎x86_64 ‎и ‎arm64‏ ‎и ‎Windows‏ ‎x86_64.

📌Режим‏ ‎автозагрузки: Автоматически ‎генерирует ‎аргументы‏ ‎для ‎заданной‏ ‎функции ‎Java ‎и ‎сообщает‏ ‎о‏ ‎неожиданных ‎исключениях‏ ‎и ‎обнаруженных‏ ‎проблемах ‎безопасности.

Читать: 4+ мин
logo Хроники кибер-безопасника

Аналитические центры и НПО: идеальное прикрытие для кибершпионажа

TA427, ‎также‏ ‎известная ‎как ‎Leviathan ‎или ‎TempPeriscope, представляет‏ ‎собой ‎группу‏ ‎кибершпионажа,‏ ‎которая, ‎как ‎полагают,‏ ‎связана ‎с‏ ‎Северной ‎Кореей. ‎Их ‎основная‏ ‎цель‏ ‎— ‎сбор‏ ‎разведывательной ‎информации‏ ‎по ‎вопросам ‎внешней ‎политики, ‎связанным‏ ‎с‏ ‎США, ‎Южной‏ ‎Кореей ‎и‏ ‎другими ‎странами, ‎представляющими ‎стратегический ‎интерес‏ ‎для‏ ‎северокорейского‏ ‎режима. ‎TA427‏ ‎использует ‎сложную‏ ‎схему ‎атаки,‏ ‎которая‏ ‎включает ‎в‏ ‎себя ‎несколько ‎этапов:

Разведка ‎и ‎сбор‏ ‎информации

📌TA427 ‎проводит‏ ‎OSINT‏ ‎сбор ‎для ‎выявления‏ ‎потенциальных ‎целей,‏ ‎таких ‎как ‎эксперты ‎по‏ ‎внешней‏ ‎политике, ‎аналитические‏ ‎центры ‎и‏ ‎академические ‎учреждения.

📌 Они ‎используют ‎общедоступную ‎информацию‏ ‎для‏ ‎создания ‎специального‏ ‎контента-приманки ‎и‏ ‎личностей, ‎которые ‎кажутся ‎их ‎целям‏ ‎легитимными.

Первоначальный‏ ‎контакт‏ ‎и ‎социальная‏ ‎инженерия

📌TA427 ‎устанавливает‏ ‎контакт ‎с‏ ‎целями‏ ‎с ‎помощью‏ ‎фишинговых ‎электронных ‎писем, ‎которые, ‎как‏ ‎представляется, ‎поступают‏ ‎из‏ ‎надежных ‎источников ‎или‏ ‎от ‎личностей,‏ ‎связанных ‎с ‎исследованиями ‎в‏ ‎Северной‏ ‎Корее.

📌Электронные ‎письма‏ ‎часто ‎содержат‏ ‎своевременный ‎и ‎актуальный ‎контент, ‎такой‏ ‎как‏ ‎приглашения ‎на‏ ‎мероприятия, ‎запросы‏ ‎на ‎исследовательские ‎работы ‎или ‎вопросы‏ ‎по‏ ‎внешнеполитическим‏ ‎темам.

📌 Цель ‎состоит‏ ‎в ‎том,‏ ‎чтобы ‎установить‏ ‎контакт‏ ‎с ‎объектами‏ ‎и ‎вовлечь ‎их ‎в ‎длительные‏ ‎беседы ‎на‏ ‎протяжении‏ ‎недель ‎или ‎месяцев.

Злоупотребления‏ ‎DMARC ‎и‏ ‎подделка ‎электронных ‎писем

📌Чтобы ‎повысить‏ ‎доверие‏ ‎к ‎своим‏ ‎электронным ‎письмам,‏ ‎TA427 ‎использует ‎слабые ‎политики ‎DMARC‏ ‎(Domain-based‏ ‎Message ‎Authentication,‏ ‎Reporting ‎&‏ ‎Conformance) ‎для ‎подмены ‎доверенных ‎доменов‏ ‎и‏ ‎пользователей.

📌Такие‏ ‎методы, ‎как‏ ‎подделка ‎личных‏ ‎учетных ‎записей‏ ‎электронной‏ ‎почты ‎и‏ ‎использование ‎бесплатных ‎адресов ‎электронной ‎почты,‏ ‎используются ‎для‏ ‎того,‏ ‎чтобы ‎выдавать ‎себя‏ ‎за ‎законных‏ ‎физических ‎лиц ‎или ‎организации.

Профилирование‏ ‎и‏ ‎разведка

📌TA427 ‎включает‏ ‎web-beacon ‎в‏ ‎электронных ‎письмах ‎для ‎сбора ‎базовой‏ ‎информации‏ ‎о ‎целях,‏ ‎например, ‎для‏ ‎подтверждения ‎того, ‎активны ‎ли ‎их‏ ‎учетные‏ ‎записи‏ ‎электронной ‎почты.

📌Эта‏ ‎первоначальная ‎проверка‏ ‎помогает ‎группе‏ ‎адаптировать‏ ‎свои ‎последующие‏ ‎взаимодействия ‎и ‎собрать ‎информацию ‎о‏ ‎целевой ‎организации.

Развертывание‏ ‎вредоносного‏ ‎ПО ‎(необязательно)

📌TA427 ‎может‏ ‎воспользоваться ‎вредоносное‏ ‎ПО ‎или ‎сборщиков ‎учетных‏ ‎данных‏ ‎к ‎скомпрометированным‏ ‎объектам.

📌Вредоносные ‎вложения‏ ‎или ‎ссылки ‎могут ‎использоваться ‎для‏ ‎получения‏ ‎дополнительного ‎доступа‏ ‎к ‎системам‏ ‎объекта ‎или ‎кражи ‎конфиденциальных ‎данных.

Утечка‏ ‎данных‏ ‎и‏ ‎сбор ‎разведывательной‏ ‎информации

📌 Основной ‎целью‏ ‎TA427 ‎является‏ ‎сбор‏ ‎разведывательной ‎информации‏ ‎по ‎вопросам ‎внешней ‎политики ‎посредством‏ ‎разговоров ‎и‏ ‎информации,‏ ‎которой ‎обмениваются ‎объекты.

📌Любые‏ ‎украденные ‎данные‏ ‎или ‎учетные ‎данные ‎могут‏ ‎быть‏ ‎также ‎извлечены‏ ‎для ‎дальнейшего‏ ‎использования ‎в ‎разведывательных ‎целях.


Сценарии ‎и‏ ‎примеры‏ ‎из ‎реальной‏ ‎жизни

📌"Адресовано ‎экспертам‏ ‎по ‎внешней ‎политике»: ‎TA427 ‎напрямую‏ ‎запрашивает‏ ‎мнения‏ ‎экспертов ‎по‏ ‎внешней ‎политике‏ ‎по ‎таким‏ ‎темам,‏ ‎как ‎ядерное‏ ‎разоружение, ‎политика ‎США ‎в ‎отношении‏ ‎Южной ‎Кореи‏ ‎и‏ ‎санкции, ‎с ‎помощью‏ ‎электронных ‎писем,‏ ‎с ‎помощью ‎которых ‎можно‏ ‎начать‏ ‎разговор.

📌Подделка ‎данных‏ ‎аналитических ‎центров‏ ‎и ‎НПО: ‎Чтобы ‎придать ‎легитимность‏ ‎своим‏ ‎электронным ‎письмам‏ ‎и ‎повысить‏ ‎шансы ‎на ‎взаимодействие, ‎TA427 ‎выдает‏ ‎себя‏ ‎за‏ ‎людей, ‎имеющих‏ ‎отношение ‎к‏ ‎аналитическим ‎центрам‏ ‎и‏ ‎неправительственным ‎организациям‏ ‎(НПО).

📌 Своевременный ‎контент ‎о ‎приманках: TA427 ‎создает‏ ‎контент ‎о‏ ‎приманках‏ ‎на ‎основе ‎реальных‏ ‎событий ‎и‏ ‎сообщений ‎международной ‎прессы, ‎благодаря‏ ‎чему‏ ‎их ‎электронные‏ ‎письма ‎кажутся‏ ‎адресатам ‎актуальными ‎и ‎заслуживающими ‎доверия.

📌 Долгосрочное‏ ‎взаимодействие:‏ ‎TA427 ‎привлекает‏ ‎целевые ‎группы‏ ‎на ‎длительные ‎периоды ‎времени, ‎постоянно‏ ‎меняя‏ ‎псевдонимы‏ ‎и ‎персонажей.

📌Потенциальный‏ ‎таргетинг ‎на‏ ‎криптовалюту: был ‎выявлен‏ ‎интерес‏ ‎к ‎таргетингу‏ ‎на ‎криптовалютные ‎платформы, ‎такие ‎как‏ ‎http://blockchain.com в ‎прошлом‏ ‎для‏ ‎получения ‎финансовой ‎выгоды.

Читать: 3+ мин
logo Хроники кибер-безопасника

Отсутствие аутентификации Telerik — новая функциональная возможность

Уязвимости ‎Telerik‏ ‎Report ‎Server, ‎идентифицированные ‎как ‎CVE-2024-4358 и‏ ‎CVE-2024-1800, позволяют ‎злоумышленникам,‏ ‎не‏ ‎прошедшим ‎проверку ‎подлинности,‏ ‎выполнять ‎произвольный‏ ‎код ‎на ‎уязвимых ‎серверах.

Схема‏ ‎атаки

📌Первоначальный‏ ‎доступ: злоумышленник ‎идентифицирует‏ ‎уязвимый ‎экземпляр‏ ‎сервера ‎отчетов ‎Telerik.

📌Использование ‎CVE-2024-4358: Злоумышленник ‎отправляет‏ ‎обработанный‏ ‎запрос ‎на‏ ‎конечную ‎точку‏ ‎/Startup/Register ‎для ‎создания ‎новой ‎учетной‏ ‎записи‏ ‎администратора.

📌Повышение‏ ‎привилегий: ‎Злоумышленник‏ ‎входит ‎в‏ ‎систему, ‎используя‏ ‎только‏ ‎что ‎созданную‏ ‎учетную ‎запись ‎администратора.

📌Использование ‎CVE-2024-1800: ‎Злоумышленник‏ ‎создает ‎вредоносный‏ ‎отчет,‏ ‎который ‎использует ‎уязвимость‏ ‎десериализации ‎для‏ ‎выполнения ‎произвольного ‎кода.

📌Выполнение ‎команды:‏ ‎Злоумышленник‏ ‎выполняет ‎произвольные‏ ‎команды ‎на‏ ‎сервере, ‎добиваясь ‎удаленного ‎выполнения ‎кода.


Сценарий‏ ‎атаки

Идентификация‏ ‎цели:

📌Злоумышленник ‎идентифицирует‏ ‎уязвимый ‎экземпляр‏ ‎сервера ‎отчетов ‎Telerik, ‎как ‎правило,‏ ‎путем‏ ‎сканирования‏ ‎общедоступных ‎экземпляров‏ ‎с ‎помощью‏ ‎таких ‎инструментов,‏ ‎как‏ ‎Shodan.

Обход ‎проверки‏ ‎подлинности ‎(CVE-2024-4358):

📌Злоумышленник ‎использует ‎уязвимость ‎в‏ ‎мастере ‎настройки‏ ‎сервера‏ ‎отчетов ‎Telerik ‎для‏ ‎обхода ‎проверки‏ ‎подлинности. ‎Эта ‎уязвимость ‎позволяет‏ ‎злоумышленнику‏ ‎создать ‎новую‏ ‎учетную ‎запись‏ ‎администратора ‎без ‎предварительной ‎проверки ‎подлинности.

📌Конкретной‏ ‎используемой‏ ‎конечной ‎точкой‏ ‎является ‎Telerik.ReportServer.Web.dll!‏ ‎Telerik.ReportServer.Web.Controllers.StartupController.Register, ‎которая ‎не ‎проверяет, ‎был‏ ‎ли‏ ‎процесс‏ ‎установки ‎уже‏ ‎завершен.

📌Злоумышленник ‎отправляет‏ ‎созданный ‎HTTP-запрос‏ ‎на‏ ‎конечную ‎точку‏ ‎/Startup/Register ‎для ‎создания ‎новой ‎учетной‏ ‎записи ‎администратора:

curl‏ ‎'http://TARGET_HERE/Startup/Register'‏ ‎-d ‎'Username=USERNAME_HERE& ‎Password=PASSWORD_HERE&‏ ‎ConfirmPassword=PASSWORD_HERE& ‎Email=backdoor%http://40admin.com&‏ ‎FirstName=backdoor& ‎LastName=user'

Создание ‎учетной ‎записи‏ ‎и‏ ‎проверка ‎подлинности:

📌После‏ ‎успешной ‎эксплуатации‏ ‎злоумышленник ‎получает ‎привилегированный ‎доступ ‎к‏ ‎серверу‏ ‎отчетов ‎Telerik,‏ ‎используя ‎только‏ ‎что ‎созданную ‎учетную ‎запись ‎администратора.

📌Злоумышленник‏ ‎входит‏ ‎в‏ ‎систему, ‎используя‏ ‎учетные ‎данные‏ ‎учетной ‎записи‏ ‎backdoor,‏ ‎созданной ‎на‏ ‎предыдущем ‎шаге.

Эксплойт ‎десериализации ‎(CVE-2024-1800):

📌Имея ‎административный‏ ‎доступ, ‎злоумышленник‏ ‎использует‏ ‎уязвимость ‎десериализации ‎на‏ ‎сервере ‎отчетов‏ ‎Telerik ‎для ‎выполнения ‎произвольного‏ ‎кода‏ ‎на ‎сервере.

📌Злоумышленник‏ ‎создает ‎вредоносный‏ ‎отчет, ‎который ‎запускает ‎ошибку ‎десериализации,‏ ‎позволяя‏ ‎выполнять ‎произвольные‏ ‎команды ‎на‏ ‎сервере.

📌Скрипт ‎PoC ‎автоматизирует ‎этот ‎процесс,‏ ‎включая‏ ‎генерацию‏ ‎случайных ‎имен‏ ‎пользователей ‎и‏ ‎паролей ‎для‏ ‎бэкдорской‏ ‎учетной ‎записи‏ ‎и ‎создание ‎отчета ‎о ‎вредоносных‏ ‎программах:

python ‎http://CVE-2024-4358.py --target‏ ‎http://192.168.253.128:83 -c‏ ‎«whoami»
Читать: 2+ мин
logo Хроники кибер-безопасника

Темная сторона LSASS

Проект ‎EvilLsassTwin‏ ‎на ‎GitHub, размещенный ‎в ‎репозитории ‎Nimperiments,‏ ‎посвящен ‎конкретному‏ ‎методу‏ ‎извлечения ‎учетных ‎данных‏ ‎из ‎процесса‏ ‎Local ‎Security ‎Authority ‎Subsystem‏ ‎Service‏ ‎(LSASS) ‎в‏ ‎системах ‎Windows.

📌Цель: Цель‏ ‎проекта ‎— ‎продемонстрировать ‎метод ‎сброса‏ ‎учетных‏ ‎данных ‎из‏ ‎процесса ‎LSASS,‏ ‎который ‎является ‎распространенной ‎целью ‎злоумышленников,‏ ‎стремящихся‏ ‎получить‏ ‎конфиденциальную ‎информацию,‏ ‎такую ‎как‏ ‎пароли ‎и‏ ‎токены.

📌Техника:‏ ‎Метод ‎предполагает‏ ‎создание ‎«двойника» ‎процесса ‎LSASS. ‎Этот‏ ‎двойной ‎процесс‏ ‎используется‏ ‎для ‎обхода ‎определенных‏ ‎механизмов ‎безопасности,‏ ‎которые ‎защищают ‎исходный ‎процесс‏ ‎LSASS‏ ‎от ‎прямого‏ ‎доступа.

📌Внедрение: ‎Проект‏ ‎предусматривает ‎детальную ‎реализацию ‎методики, ‎включая‏ ‎необходимый‏ ‎код ‎и‏ ‎шаги ‎для‏ ‎воспроизведения ‎процесса. ‎Это ‎включает ‎в‏ ‎себя‏ ‎создание‏ ‎дубликата ‎процесса‏ ‎LSASS, ‎использование‏ ‎дублирующего ‎процесса‏ ‎для‏ ‎чтения ‎памяти‏ ‎исходного ‎процесса ‎LSASS, ‎извлечение ‎учетных‏ ‎данных ‎из‏ ‎памяти‏ ‎исходного ‎процесса ‎LSASS.

📌Доступность‏ ‎кода: ‎Полный‏ ‎исходный ‎код ‎и ‎документация‏ ‎доступны‏ ‎на ‎странице‏ ‎GitHub, ‎что‏ ‎позволяет ‎пользователям ‎детально ‎изучить ‎и‏ ‎понять‏ ‎технологию.

Влияние ‎и‏ ‎последствия ‎для‏ ‎отрасли

📌Повышенный ‎риск ‎кражи ‎учетных ‎данных:‏ ‎технология‏ ‎EvilLsassTwin‏ ‎выявляет ‎уязвимость‏ ‎процесса ‎LSASS,‏ ‎в ‎котором‏ ‎хранится‏ ‎конфиденциальная ‎информация,‏ ‎такая ‎как ‎зашифрованные ‎пароли, ‎хэши‏ ‎NT, ‎хэши‏ ‎LM‏ ‎и ‎запросы ‎Kerberos.‏ ‎Злоумышленники, ‎использующие‏ ‎этот ‎метод, ‎могут ‎получить‏ ‎несанкционированный‏ ‎доступ ‎к‏ ‎этим ‎учетным‏ ‎данным, ‎что ‎может ‎привести ‎к‏ ‎потенциальным‏ ‎утечкам ‎данных‏ ‎и ‎несанкционированному‏ ‎доступу ‎к ‎критически ‎важным ‎системам.

📌Распространение‏ ‎и‏ ‎повышение‏ ‎привилегий: ‎Как‏ ‎только ‎злоумышленники‏ ‎получают ‎учетные‏ ‎данные‏ ‎из ‎процесса‏ ‎LSASS, ‎они ‎могут ‎использовать ‎их‏ ‎для ‎распространения‏ ‎по‏ ‎сети, ‎повышая ‎свои‏ ‎привилегии ‎и‏ ‎компрометируя ‎дополнительные ‎системы. ‎Это‏ ‎может‏ ‎привести ‎к‏ ‎широкомасштабной ‎компрометации‏ ‎сети, ‎что ‎затруднит ‎организациям ‎сдерживание‏ ‎атаки.

📌Реальные‏ ‎примеры: ‎Атака‏ ‎программы-вымогателя ‎BlackCat‏ ‎является ‎ярким ‎примером ‎того, ‎как‏ ‎злоумышленники‏ ‎использовали‏ ‎сброс ‎данных‏ ‎из ‎памяти‏ ‎LSASS ‎для‏ ‎извлечения‏ ‎учетных ‎данных.‏ ‎Они ‎изменили ‎конфигурацию ‎WDigest, ‎чтобы‏ ‎считывать ‎пароли‏ ‎учетных‏ ‎записей ‎пользователей, ‎и‏ ‎использовали ‎такие‏ ‎инструменты, ‎как ‎Mimikatz, ‎для‏ ‎выполнения‏ ‎дампа, ‎что‏ ‎позволило ‎им‏ ‎получить ‎дополнительный ‎доступ ‎и ‎перемещаться‏ ‎по‏ ‎сети

Читать: 3+ мин
logo Хроники кибер-безопасника

Безопасность Check Point и реальность CVE-2024-24919

Технические ‎подробности‏ ‎и ‎практика ‎использования ‎CVE-2024-24919 в ‎реальных‏ ‎условиях ‎подчеркивают‏ ‎критический‏ ‎характер ‎этой ‎уязвимости‏ ‎и ‎важность‏ ‎оперативного ‎устранения ‎для ‎защиты‏ ‎от‏ ‎потенциальных ‎утечек‏ ‎данных ‎и‏ ‎сетевых ‎компрометаций.

Описание ‎уязвимости

📌 CVE-2024-24919 ‎— ‎уязвимость,‏ ‎связанная‏ ‎с ‎раскрытием‏ ‎информации, ‎которая‏ ‎позволяет ‎удаленному ‎злоумышленнику, ‎не ‎прошедшему‏ ‎проверку‏ ‎подлинности,‏ ‎считывать ‎содержимое‏ ‎произвольных ‎файлов‏ ‎на ‎уязвимом‏ ‎устройстве.

📌 Уязвимость‏ ‎классифицируется ‎как‏ ‎«Передача ‎конфиденциальной ‎информации ‎неавторизованному ‎субъекту».

📌 Уязвимость‏ ‎затрагивает ‎системы‏ ‎с‏ ‎удаленным ‎доступом ‎мобильным‏ ‎или ‎VPN.

Уязвимые‏ ‎Продукты

📌CloudGuard ‎Network

📌Quantum ‎Maestro

📌Quantum ‎Scalable‏ ‎Chassis

📌Quantum‏ ‎Security ‎Gateways

📌Quantum‏ ‎Spark ‎Appliances

Подробности‏ ‎Эксплуатации

📌 Уязвимостью ‎можно ‎воспользоваться, ‎отправив ‎созданный‏ ‎запрос‏ ‎на ‎конечную‏ ‎точку ‎/clients/MyCRL,‏ ‎которая ‎предназначена ‎для ‎обработки ‎статических‏ ‎файлов‏ ‎из‏ ‎файловой ‎системы.

📌 Включая‏ ‎в ‎текст‏ ‎запроса ‎последовательности‏ ‎обхода‏ ‎пути, ‎такие‏ ‎как ‎././etc/passwd, ‎злоумышленник ‎может ‎считывать‏ ‎конфиденциальные ‎файлы,‏ ‎такие‏ ‎как ‎/etc/shadow, ‎для‏ ‎получения ‎хэшей‏ ‎паролей.

📌 Уязвимость ‎позволяет ‎считывать ‎любой‏ ‎файл‏ ‎в ‎системе,‏ ‎а ‎не‏ ‎только ‎конкретные ‎файлы, ‎указанные ‎поставщиком.

PoC

📌 Исследователи‏ ‎в‏ ‎области ‎безопасности‏ ‎опубликовали ‎общедоступный‏ ‎PoC-эксплойт ‎для ‎CVE-2024-24919, ‎содержащий ‎технические‏ ‎подробности‏ ‎о‏ ‎том, ‎как‏ ‎использовать ‎уязвимость.

📌 PoC‏ ‎демонстрирует ‎способность‏ ‎считывать‏ ‎произвольные ‎файлы,‏ ‎включая ‎извлечение ‎хэшей ‎паролей ‎и‏ ‎другой ‎конфиденциальной‏ ‎информации.

Практическое‏ ‎применение

📌 Компания ‎Check ‎Point‏ ‎наблюдала ‎активную‏ ‎эксплуатацию ‎этой ‎уязвимости ‎вживую‏ ‎с‏ ‎начала ‎апреля‏ ‎2024 ‎года.

📌 Злоумышленники‏ ‎использовали ‎уязвимость ‎для ‎извлечения ‎хэшей‏ ‎паролей,‏ ‎перемещения ‎по‏ ‎сетям ‎и‏ ‎компрометации ‎серверов ‎Active ‎Directory ‎путем‏ ‎извлечения‏ ‎файла‏ ‎ntds.dit.


Анализ ‎кода

Первоначальный‏ ‎анализ:

📌 Уязвимый ‎код‏ ‎выполняет ‎операции‏ ‎ввода-вывода‏ ‎файлов, ‎на‏ ‎которые ‎указывают ‎ссылки ‎на ‎такие‏ ‎функции, ‎как‏ ‎_fopen‏ ‎и ‎_fread.

📌 Код ‎сравнивает‏ ‎запрошенный ‎URL-адрес‏ ‎со ‎списком ‎жестко ‎заданных‏ ‎строк‏ ‎из ‎таблицы‏ ‎строк, ‎чтобы‏ ‎определить, ‎может ‎ли ‎файл ‎быть‏ ‎обработан.

Ошибка‏ ‎сравнения ‎строк:

📌 В‏ ‎коде ‎используется‏ ‎функция ‎strstr ‎для ‎проверки ‎того,‏ ‎содержит‏ ‎ли‏ ‎запрашиваемый ‎URL-адрес‏ ‎какие-либо ‎строки‏ ‎из ‎таблицы.‏ ‎Эта‏ ‎функция ‎выполняет‏ ‎поиск ‎подстроки, ‎а ‎не ‎строгое‏ ‎сравнение.

📌 Это ‎позволяет‏ ‎злоупотреблять‏ ‎кодом, ‎включив ‎допустимую‏ ‎подстроку ‎в‏ ‎последовательность ‎обхода ‎пути, ‎такую‏ ‎как‏ ‎http://icsweb.cab/././etc/passwd.

Использование ‎обхода‏ ‎пути:

📌 Первоначальные ‎попытки‏ ‎использовать ‎обход ‎пути ‎путем ‎включения‏ ‎в‏ ‎URL-адрес ‎последовательностей‏ ‎типа ‎././etc/passwd‏ ‎завершились ‎неудачей, ‎поскольку ‎операционная ‎система‏ ‎правильно‏ ‎определила‏ ‎путь ‎как‏ ‎недопустимый.

📌 Была ‎найдена‏ ‎вторая ‎таблица‏ ‎строк,‏ ‎содержащая ‎записи,‏ ‎указывающие ‎на ‎пути ‎к ‎каталогам,‏ ‎такие ‎как‏ ‎CSHELL/.

Эксплуатация:

📌 Создав‏ ‎запрос, ‎который ‎включал‏ ‎строку ‎каталога‏ ‎CSHELL/, ‎за ‎которой ‎следовала‏ ‎последовательность‏ ‎обхода ‎пути,‏ ‎исследователи ‎смогли‏ ‎обойти ‎проверки.

📌 Запрос ‎был ‎выполнен ‎успешно:

POST‏ ‎/clients/MyCRL‏ ‎HTTP/1.1
Host: ‎<redacted>
Content-Length:‏ ‎39
aCSHELL/./././././././etc/shadow

📌 Этот ‎запрос‏ ‎вернул ‎содержимое ‎файла ‎/etc/shadow, ‎подтвердив‏ ‎уязвимость‏ ‎для‏ ‎произвольного ‎чтения‏ ‎файла.

Последствия:

📌 Возможность ‎чтения‏ ‎файла ‎/etc/shadow‏ ‎указывает‏ ‎на ‎то,‏ ‎что ‎злоумышленник ‎обладает ‎правами ‎суперпользователя,‏ ‎позволяющими ‎ему‏ ‎читать‏ ‎любой ‎файл ‎в‏ ‎файловой ‎системе.

📌 Это‏ ‎более ‎серьезная ‎проблема, ‎чем‏ ‎рекомендация‏ ‎поставщика, ‎которая‏ ‎предполагала ‎ограниченный‏ ‎доступ ‎к ‎информации.

Читать: 2+ мин
logo Хроники кибер-безопасника

CVE-2024-27130 в QNAP: Когда «безопасность» всего лишь маркетинговая уловка

В ‎статье‏ ‎«QNAP ‎QTS ‎— ‎QNAPping ‎за‏ ‎рулем ‎(CVE-2024-27130‏ ‎и‏ ‎другие ‎уязвимости)» от ‎WatchTowr‏ ‎Labs ‎представлен‏ ‎подробный ‎анализ ‎нескольких ‎уязвимостей,‏ ‎обнаруженных‏ ‎в ‎устройствах‏ ‎QNAP ‎NAS.

CVE-2024-27130.‏ ‎Переполнение ‎стека ‎в ‎share.cgi: ‎Уязвимость‏ ‎возникает‏ ‎из-за ‎небезопасного‏ ‎использования ‎функции‏ ‎strcpy ‎в ‎функции ‎No_Support_ACL, ‎которая‏ ‎доступна‏ ‎через‏ ‎функцию ‎get_file_size‏ ‎в ‎share.cgi.‏ ‎Это ‎приводит‏ ‎к‏ ‎переполнению ‎стека‏ ‎и ‎возможности ‎удаленного ‎выполнения ‎кода‏ ‎(RCE)


Сценарий ‎атаки:

📌Шаг‏ ‎1:‏ ‎Первоначальный ‎доступ: ‎Злоумышленнику‏ ‎нужна ‎действительная‏ ‎учетная ‎запись ‎пользователя ‎NAS,‏ ‎чтобы‏ ‎воспользоваться ‎этой‏ ‎уязвимостью. ‎Учётная‏ ‎запись ‎может ‎быть ‎получена ‎с‏ ‎помощью‏ ‎фишинга, ‎утечки‏ ‎учетных ‎данных‏ ‎или ‎использования ‎другой ‎уязвимости ‎для‏ ‎получения‏ ‎первоначального‏ ‎доступа.

📌Шаг ‎2:‏ ‎Общий ‎доступ‏ ‎к ‎файлам:‏ ‎Злоумышленник‏ ‎предоставляет ‎общий‏ ‎доступ ‎к ‎файлу ‎с ‎пользователем.‏ ‎Это ‎действие‏ ‎запускает‏ ‎функцию ‎get_file_size ‎в‏ ‎share.cgi.

📌Шаг ‎3:‏ ‎Использование: далее ‎происходит ‎вызов ‎No_Support_ACL,‏ ‎которая‏ ‎небезопасно ‎использует‏ ‎strcpy, ‎что‏ ‎приводит ‎к ‎переполнению ‎буфера. ‎Переполнение‏ ‎достигается‏ ‎засчёт ‎вредоносной‏ ‎полезной ‎нагрузки,‏ ‎которая ‎и ‎переполняет ‎буфер, ‎с‏ ‎последующим‏ ‎внедрением‏ ‎вредоносного ‎кода.

📌Шаг‏ ‎4: ‎Удаленное‏ ‎выполнение ‎кода: Переполненный‏ ‎буфер‏ ‎позволяет ‎выполнить‏ ‎произвольный ‎код ‎на ‎устройстве ‎NAS,‏ ‎потенциально ‎предоставляя‏ ‎полный‏ ‎контроль ‎над ‎системой.


Связанные‏ ‎уязвимости

📌CVE-2024-27129: Небезопасное ‎использование‏ ‎strcpy ‎в ‎функции ‎get_tree‏ ‎в‏ ‎utilRequest.cgi, ‎приводящее‏ ‎к ‎переполнению‏ ‎статического ‎буфера ‎и ‎RCE ‎с‏ ‎требованием‏ ‎наличия ‎действительной‏ ‎учетной ‎записи‏ ‎на ‎устройстве ‎NAS.

📌CVE-2024-27131: ‎Спуфинг ‎«x-forwarded-for»‏ ‎приводит‏ ‎к‏ ‎возможности ‎загрузки‏ ‎файла ‎из‏ ‎произвольного ‎исходного‏ ‎местоположения‏ ‎при ‎наличии‏ ‎возможности ‎загрузки ‎файла.

📌WT-2024-0004: Stored ‎XSS ‎с‏ ‎помощью ‎удаленных‏ ‎сообщений‏ ‎системного ‎журнала ‎при‏ ‎наличии ‎настроек‏ ‎не ‎по ‎умолчанию.

📌WT-2024-0005: Stored ‎XSS‏ ‎с‏ ‎помощью ‎удаленного‏ ‎обнаружения ‎устройств‏ ‎без ‎каких-либо ‎условий ‎для ‎выполнения.

📌WT-2024-0006: Отсутствие‏ ‎ограничения‏ ‎скорости ‎в‏ ‎API ‎аутентификации‏ ‎без ‎каких-либо ‎условий ‎для ‎выполнения


Патчи:

📌Доступны‏ ‎исправления:‏ ‎Первые‏ ‎четыре ‎уязвимости‏ ‎(CVE-2024-27129, ‎CVE-2024-27130,‏ ‎CVE-2024-27131 ‎и‏ ‎WT-2024-0004)‏ ‎были ‎исправлены‏ ‎в ‎следующих ‎версиях: ‎QTS ‎5.1.6.2722,‏ ‎сборка ‎20240402‏ ‎и‏ ‎более ‎поздние ‎версии,‏ ‎QuTS ‎hero‏ ‎h5.1.6.2734, ‎сборка ‎20240414. ‎и‏ ‎более‏ ‎поздней

📌Ответ ‎поставщика:‏ ‎Поставщик ‎признал‏ ‎наличие ‎уязвимостей ‎и ‎работает ‎над‏ ‎их‏ ‎устранением.

Читать: 2+ мин
logo Хроники кибер-безопасника

Привилегии суперпользователя для чайников: просто используй CVE-2024-3400

CVE-2024-3400 (+ url + github ‎url#1, url#2) — это‏ ‎критическая ‎уязвимость ‎при ‎внедрении ‎команд‏ ‎в ‎программное‏ ‎обеспечение‏ ‎Palo ‎Alto ‎Networks‏ ‎для ‎PAN-OS,‏ ‎которая, ‎в ‎частности, ‎влияет‏ ‎на‏ ‎функцию ‎GlobalProtect.‏ ‎Эта ‎уязвимость‏ ‎позволяет ‎удаленному ‎злоумышленнику, ‎не ‎прошедшему‏ ‎проверку‏ ‎подлинности, ‎выполнить‏ ‎произвольный ‎код‏ ‎с ‎правами ‎суперпользователя ‎на ‎уязвимом‏ ‎брандмауэре.‏ ‎Уязвимость‏ ‎затрагивает ‎версии‏ ‎PAN-OS ‎10.2,‏ ‎11.0 ‎и‏ ‎11.1‏ ‎при ‎настройке‏ ‎с ‎помощью ‎GlobalProtect ‎gateway ‎или‏ ‎GlobalProtect ‎portal.

Первоначальное‏ ‎обнаружение‏ ‎и ‎использование:

📌Уязвимость ‎была‏ ‎впервые ‎обнаружена‏ ‎Volexity ‎26 ‎марта ‎2024‏ ‎года.

📌Злоумышленники,‏ ‎идентифицированные ‎как‏ ‎поддерживаемая ‎государством‏ ‎группа ‎UTA0218, ‎воспользовались ‎уязвимостью ‎для‏ ‎получения‏ ‎несанкционированного ‎доступа‏ ‎к ‎устройствам‏ ‎брандмауэра.

Вектор ‎атаки:

📌Уязвимость ‎используется ‎с ‎помощью‏ ‎ошибки‏ ‎фильтрации‏ ‎команд ‎в‏ ‎функции ‎GlobalProtect.‏ ‎Злоумышленники ‎могут‏ ‎манипулировать‏ ‎cookie ‎SESSID‏ ‎для ‎создания ‎произвольных ‎файлов ‎в‏ ‎системе, ‎которые‏ ‎затем‏ ‎могут ‎быть ‎использованы‏ ‎для ‎выполнения‏ ‎команд ‎с ‎правами ‎суперпользователя.

📌Атака‏ ‎не‏ ‎требует ‎аутентификации,‏ ‎что ‎делает‏ ‎ее ‎чрезвычайно ‎опасной ‎ввиду ‎низкой‏ ‎сложности‏ ‎применения.


Последовательность ‎действий:

Шаг‏ ‎1: ‎Разведка:

📌Злоумышленники‏ ‎сканируют ‎уязвимые ‎устройства ‎PAN-OS, ‎настроенные‏ ‎с‏ ‎помощью‏ ‎GlobalProtect ‎gateway‏ ‎или ‎портала.

📌Они‏ ‎используют ‎простые‏ ‎команды‏ ‎для ‎размещения‏ ‎в ‎системе ‎файлов ‎размером ‎в‏ ‎ноль ‎байт‏ ‎для‏ ‎проверки ‎уязвимости.

Шаг ‎2:‏ ‎Первоначальное ‎использование:

📌Злоумышленники‏ ‎отправляют ‎на ‎уязвимое ‎устройство‏ ‎специально‏ ‎созданные ‎сетевые‏ ‎запросы, ‎манипулируя‏ ‎cookie-файлом ‎SESSID ‎для ‎создания ‎файла‏ ‎в‏ ‎определенном ‎каталоге.

📌Пример:‏ ‎Cookie: ‎SESSID=/./././var/appweb/sslvpndocs/global-protect/portal/images/poc.txt.

Шаг‏ ‎3: ‎Выполнение ‎команды:

📌Созданный ‎файл ‎используется‏ ‎для‏ ‎ввода‏ ‎и ‎выполнения‏ ‎произвольных ‎команд‏ ‎с ‎правами‏ ‎суперпользователя.

📌Злоумышленники‏ ‎создают ‎reverseshell‏ ‎и ‎устанавливают ‎дополнительные ‎инструменты, ‎такие‏ ‎как ‎пользовательский‏ ‎Python-бэкдор‏ ‎UPSTYLE, ‎для ‎обеспечения‏ ‎закрепления ‎в‏ ‎системе.

Шаг ‎4: ‎Последующая ‎эксплуатация:

📌Злоумышленники‏ ‎извлекают‏ ‎конфиденциальные ‎данные,‏ ‎включая ‎текущую‏ ‎конфигурацию ‎брандмауэра ‎и ‎учетные ‎данные‏ ‎пользователя.

📌Они‏ ‎также ‎могут‏ ‎использовать ‎взломанное‏ ‎устройство ‎для ‎распространения ‎по ‎сети.


Обнаруженная‏ ‎вредоносная‏ ‎активность:

📌Всплеск‏ ‎вредоносной ‎активности‏ ‎наблюдался ‎вскоре‏ ‎после ‎публичного‏ ‎раскрытия‏ ‎уязвимости ‎и‏ ‎публикации ‎сценария ‎эксплойта ‎на ‎GitHub.

📌Злоумышленники‏ ‎использовали ‎бэкдор‏ ‎UPSTYLE‏ ‎для ‎косвенного ‎взаимодействия‏ ‎со ‎взломанным‏ ‎устройством, ‎отправляя ‎команды ‎через‏ ‎журналы‏ ‎ошибок ‎и‏ ‎получая ‎выходные‏ ‎данные ‎через ‎общедоступную ‎таблицу ‎стилей.

Читать: 1+ мин
logo Хроники кибер-безопасника

Срочные новости: Китайские антивирусы не защищены от Go-шелла

Репозиторий ‎GitHub‏ ‎«darkPulse» представляет ‎собой ‎шелл-код, ‎написанный ‎на‏ ‎Go.

📌Назначение: dark ‎Pulse‏ ‎предназначен‏ ‎для ‎создания ‎различных‏ ‎загрузчиков ‎шеллкодов,‏ ‎которые ‎помогают ‎избежать ‎обнаружения‏ ‎китайскими‏ ‎антивирусными ‎программами,‏ ‎такими ‎как‏ ‎Huorong ‎и ‎360 ‎Total ‎Security.

📌Формирование‏ ‎загрузчиков‏ ‎шеллкодов: Генерирует ‎различные‏ ‎типы ‎загрузчиков‏ ‎шеллкодов.

📌Противодействие ‎антивирусам: позволяет ‎избежать ‎обнаружения ‎популярными‏ ‎китайскими‏ ‎антивирусными‏ ‎программами, ‎такими‏ ‎как ‎Huorong‏ ‎и ‎360‏ ‎Total‏ ‎Security.

📌Шифрование ‎и‏ ‎обфускация: поддерживает ‎шифрование ‎AES ‎и ‎XOR,‏ ‎а ‎также‏ ‎обфускацию‏ ‎UUID/words ‎для ‎уменьшения‏ ‎энтропии.

📌Методы ‎загрузки: Поддерживает‏ ‎несколько ‎методов ‎загрузки, ‎включая‏ ‎callback,‏ ‎fiber ‎и‏ ‎earlybird. ‎Их‏ ‎можно ‎использовать ‎в ‎режимах  ‎indirect‏ ‎syscall‏ ‎и ‎unhook.

📌Кодирование: Использует‏ ‎кодировщик ‎Shikata‏ ‎ga ‎nai, ‎портированный ‎в ‎Go‏ ‎с‏ ‎несколькими‏ ‎улучшениями.

📌SysWhispers3: Использует ‎SysWhispers3‏ ‎для ‎реализации‏ ‎непрямого ‎системного‏ ‎вызова.

Читать: 2+ мин
logo Хроники кибер-безопасника

Обход AMSI

Репозиторий ‎GitHub‏ ‎«V-i-x-x/AMSI-BYPASS» предоставляет ‎информацию ‎об ‎уязвимости, ‎известной‏ ‎как ‎«AMSI‏ ‎WRITE‏ ‎RAID», ‎которая ‎может‏ ‎быть ‎использована‏ ‎для ‎обхода ‎интерфейса ‎проверки‏ ‎на‏ ‎вредоносное ‎ПО‏ ‎(Antimalware ‎Scan‏ ‎Interface, ‎AMSI).

📌Описание ‎уязвимости: ‎Уязвимость ‎«AMSI‏ ‎WRITE‏ ‎RAID» ‎позволяет‏ ‎злоумышленникам ‎перезаписывать‏ ‎определенные ‎доступные ‎для ‎записи ‎области‏ ‎в‏ ‎стеке‏ ‎вызовов ‎AMSI,‏ ‎эффективно ‎обходя‏ ‎защиту ‎AMSI.

📌Области,‏ ‎доступные‏ ‎для ‎записи:‏ ‎В ‎репозитории ‎подчеркивается, ‎что ‎несколько‏ ‎областей ‎в‏ ‎стеке‏ ‎вызовов ‎AMSI ‎доступны‏ ‎для ‎записи‏ ‎и ‎могут ‎быть ‎использованы‏ ‎для‏ ‎обхода ‎и‏ ‎описаны ‎в‏ ‎скриншотах, ‎как ‎«vulnerable_entries.png» ‎и ‎«writable_entries_part_1.png».

📌Подтверждение‏ ‎концепции: В‏ ‎хранилище ‎имеется‏ ‎документ ‎в‏ ‎формате ‎PDF ‎(Amsi.pdf), ‎в ‎котором‏ ‎подробно‏ ‎описывается‏ ‎уязвимость, ‎дается‏ ‎исчерпывающее ‎объяснение‏ ‎икак ‎можно‏ ‎обойти‏ ‎AMSI.

📌Влияние: ‎Успешное‏ ‎использование ‎этой ‎уязвимости ‎позволяет ‎вредоносному‏ ‎коду ‎избегать‏ ‎обнаружения‏ ‎AMSI, ‎что ‎является‏ ‎серьезной ‎проблемой‏ ‎безопасности, ‎поскольку ‎AMSI ‎предназначена‏ ‎для‏ ‎обеспечения ‎дополнительного‏ ‎уровня ‎защиты‏ ‎от ‎вредоносных ‎программ.

Влияние ‎на ‎отрасли

📌Повышенный‏ ‎риск‏ ‎заражения ‎вредоносными‏ ‎программами: ‎методы‏ ‎обхода ‎AMSI ‎позволяют ‎злоумышленникам ‎выполнять‏ ‎вредоносный‏ ‎код‏ ‎незамеченными, ‎что‏ ‎увеличивает ‎риск‏ ‎заражения ‎вредоносными‏ ‎программами,‏ ‎включая ‎программы-вымогатели‏ ‎и ‎атаки ‎без ‎использования ‎файлов.‏ ‎Это ‎особенно‏ ‎актуально‏ ‎для ‎отраслей, ‎работающих‏ ‎с ‎конфиденциальными‏ ‎данными, ‎таких ‎как ‎финансы,‏ ‎здравоохранение‏ ‎и ‎государственный‏ ‎сектор.

📌Нарушенный ‎уровень‏ ‎безопасности: Обход ‎AMSI ‎может ‎привести ‎к‏ ‎нарушению‏ ‎уровня ‎безопасности,‏ ‎поскольку ‎традиционные‏ ‎антивирусные ‎решения ‎и ‎средства ‎обнаружения‏ ‎и‏ ‎реагирования‏ ‎на ‎конечные‏ ‎точки ‎(EDR)‏ ‎могут ‎не‏ ‎обнаруживать‏ ‎и ‎предотвращать‏ ‎вредоносные ‎действия. ‎Это ‎может ‎привести‏ ‎к ‎утечке‏ ‎данных,‏ ‎финансовым ‎потерям ‎и‏ ‎ущербу ‎репутации.

📌Сбои‏ ‎в ‎работе: ‎Успешные ‎атаки‏ ‎в‏ ‎обход ‎AMSI‏ ‎могут ‎привести‏ ‎к ‎значительным ‎сбоям ‎в ‎работе,‏ ‎особенно‏ ‎в ‎таких‏ ‎критически ‎важных‏ ‎секторах ‎инфраструктуры, ‎как ‎энергетика, ‎транспорт‏ ‎и‏ ‎коммунальные‏ ‎услуги. ‎Эти‏ ‎сбои ‎могут‏ ‎оказывать ‎комплексное‏ ‎воздействие‏ ‎на ‎предоставление‏ ‎услуг ‎и ‎общественную ‎безопасность.

Читать: 4+ мин
logo Хроники кибер-безопасника

MS-DOS: Для тех, кто считает, что современные ОС слишком удобны в использовании

Публикация ‎исходного‏ ‎кода ‎MS-DOS важна ‎для ‎образовательных ‎целей,‏ ‎сохранения ‎истории,‏ ‎привлечения‏ ‎общественности ‎и ‎использования‏ ‎в ‎качестве‏ ‎технического ‎справочника, ‎что ‎делает‏ ‎ее‏ ‎ценным ‎ресурсом‏ ‎даже ‎в‏ ‎современную ‎эпоху.

Образовательная ‎ценность:

📌Учебное ‎пособие: Исходный ‎код‏ ‎представляет‏ ‎собой ‎ценный‏ ‎ресурс ‎для‏ ‎студентов ‎и ‎начинающих ‎программистов, ‎позволяющий‏ ‎изучить‏ ‎основы‏ ‎разработки ‎операционных‏ ‎систем. ‎Оно‏ ‎дает ‎представление‏ ‎о‏ ‎низкоуровневом ‎программировании,‏ ‎особенно ‎на ‎языке ‎ассемблера, ‎что‏ ‎имеет ‎решающее‏ ‎значение‏ ‎для ‎понимания ‎того,‏ ‎как ‎ранние‏ ‎операционные ‎системы ‎управляли ‎оборудованием‏ ‎и‏ ‎ресурсами. ‎Потому‏ ‎что ‎ничто‏ ‎так ‎не ‎говорит ‎о ‎«передовом‏ ‎образовании»,‏ ‎как ‎изучение‏ ‎операционной ‎системы,‏ ‎которая ‎существовала ‎до ‎появления ‎Интернета.‏ ‎Кому‏ ‎нужны‏ ‎Python ‎или‏ ‎JavaScript, ‎когда‏ ‎вы ‎можете‏ ‎справиться‏ ‎с ‎языком‏ ‎ассемблера?

📌Историческое ‎исследование: ‎исследователи ‎и ‎историки‏ ‎могут ‎проанализировать‏ ‎код,‏ ‎чтобы ‎понять ‎эволюцию‏ ‎методов ‎разработки‏ ‎программного ‎обеспечения ‎и ‎технологические‏ ‎достижения‏ ‎1980-х ‎и‏ ‎1990-х ‎годов.‏ ‎Для ‎тех, ‎кто ‎увлекается ‎древними‏ ‎реликвиями,‏ ‎например, ‎для‏ ‎археологов ‎цифровой‏ ‎эпохи. ‎Зачем ‎изучать ‎современное ‎программное‏ ‎обеспечение,‏ ‎если‏ ‎можно ‎порыться‏ ‎в ‎коде‏ ‎системы, ‎которая‏ ‎работала‏ ‎на ‎гибких‏ ‎дисках?

Сохранение ‎цифровой ‎истории:

📌Важность ‎архивации: Делая ‎исходный‏ ‎код ‎общедоступным,‏ ‎корпорация‏ ‎Майкрософт ‎помогает ‎сохранить‏ ‎значительную ‎часть‏ ‎компьютерной ‎истории. ‎Это ‎гарантирует,‏ ‎что‏ ‎будущие ‎поколения‏ ‎смогут ‎получить‏ ‎доступ ‎к ‎программному ‎обеспечению, ‎сыгравшему‏ ‎ключевую‏ ‎роль ‎в‏ ‎революции ‎персональных‏ ‎компьютеров, ‎и ‎учиться ‎на ‎нем.‏ ‎Потому‏ ‎что‏ ‎сохранение ‎исходного‏ ‎кода ‎древней‏ ‎операционной ‎системы,‏ ‎безусловно,‏ ‎важнее, ‎чем,‏ ‎скажем, ‎борьба ‎с ‎изменением ‎климата‏ ‎или ‎лечение‏ ‎болезней.‏ ‎Будущие ‎поколения, ‎несомненно,‏ ‎поблагодарят ‎нас‏ ‎за ‎этот ‎бесценный ‎вклад.

📌Документация‏ ‎о‏ ‎технологическом ‎прогрессе: В‏ ‎этот ‎выпуск‏ ‎входит ‎не ‎только ‎исходный ‎код,‏ ‎но‏ ‎и ‎оригинальная‏ ‎документация ‎и‏ ‎двоичные ‎файлы, ‎дающие ‎всестороннее ‎представление‏ ‎о‏ ‎разработке‏ ‎программного ‎обеспечения‏ ‎и ‎его‏ ‎контексте ‎в‏ ‎более‏ ‎широкой ‎истории‏ ‎вычислительной ‎техники. ‎И ‎чтобы ‎показать,‏ ‎как ‎далеко‏ ‎мы‏ ‎продвинулись. ‎Смотрите, ‎дети,‏ ‎это ‎то,‏ ‎что ‎мы ‎использовали ‎до‏ ‎того,‏ ‎как ‎у‏ ‎нас ‎появились‏ ‎смартфоны ‎и ‎облачные ‎вычисления. ‎Поразитесь‏ ‎простоте!

Вовлечение‏ ‎сообщества ‎и‏ ‎инновации:

📌Материалы ‎с‏ ‎открытым ‎исходным ‎кодом: Выпуск ‎под ‎лицензией‏ ‎MIT‏ ‎позволяет‏ ‎техническим ‎энтузиастам‏ ‎и ‎разработчикам‏ ‎изучать, ‎экспериментировать‏ ‎и,‏ ‎возможно, ‎перепрофилировать‏ ‎код ‎для ‎современных ‎приложений. ‎Это‏ ‎может ‎привести‏ ‎к‏ ‎инновационному ‎использованию ‎старых‏ ‎технологий ‎в‏ ‎новых ‎контекстах. ‎Для ‎всех‏ ‎тех‏ ‎технических ‎энтузиастов,‏ ‎которым ‎нечем‏ ‎заняться, ‎кроме ‎как ‎возиться ‎с‏ ‎устаревшим‏ ‎кодом. ‎Возможно,‏ ‎кто-то ‎наконец-то‏ ‎поймет, ‎как ‎заставить ‎MS-DOS ‎работать‏ ‎на‏ ‎«умном»‏ ‎холодильнике.

📌Цифровая ‎археология: энтузиасты‏ ‎и ‎защитники‏ ‎цифровых ‎технологий‏ ‎могут‏ ‎использовать ‎исходный‏ ‎код ‎для ‎запуска ‎и ‎тестирования‏ ‎программного ‎обеспечения‏ ‎как‏ ‎на ‎оригинальном ‎оборудовании,‏ ‎так ‎и‏ ‎на ‎современных ‎эмуляторах, ‎гарантируя,‏ ‎что‏ ‎знания ‎и‏ ‎функциональность ‎MS-DOS‏ ‎не ‎будут ‎утрачены. ‎Потому ‎что‏ ‎некоторые‏ ‎люди ‎просто‏ ‎не ‎могут‏ ‎расстаться ‎с ‎прошлым. ‎Давайте ‎проведем‏ ‎выходные,‏ ‎запуская‏ ‎MS-DOS ‎на‏ ‎эмуляторах, ‎вместо‏ ‎того ‎чтобы‏ ‎наслаждаться‏ ‎современными ‎игровыми‏ ‎консолями.

Техническая ‎справка:

📌Понимание ‎устаревших ‎систем: ‎Разработчикам,‏ ‎работающим ‎с‏ ‎устаревшими‏ ‎системами, ‎или ‎тем,‏ ‎кто ‎интересуется‏ ‎историей ‎разработки ‎программного ‎обеспечения,‏ ‎исходный‏ ‎код ‎MS-DOS‏ ‎дает ‎представление‏ ‎о ‎том, ‎как ‎были ‎структурированы‏ ‎и‏ ‎функционировали ‎ранние‏ ‎операционные ‎системы.‏ ‎Это ‎может ‎быть ‎особенно ‎полезно‏ ‎для‏ ‎поддержки‏ ‎или ‎взаимодействия‏ ‎со ‎старыми‏ ‎системами, ‎которые‏ ‎все‏ ‎еще ‎используются‏ ‎сегодня. ‎Для ‎тех ‎бедняг, ‎которые‏ ‎все ‎еще‏ ‎хранят‏ ‎древнее ‎оборудование ‎в‏ ‎подсобных ‎помещениях‏ ‎какого-нибудь ‎забытого ‎офиса. ‎Это‏ ‎все‏ ‎равно ‎что‏ ‎работать ‎механиком‏ ‎на ‎Model ‎T ‎в ‎век‏ ‎электромобилей.

📌Сравнение‏ ‎с ‎современными‏ ‎системами: ‎Анализ‏ ‎исходного ‎кода ‎MS-DOS ‎позволяет ‎провести‏ ‎сравнение‏ ‎с‏ ‎современными ‎операционными‏ ‎системами, ‎выделив‏ ‎достижения ‎в‏ ‎области‏ ‎разработки ‎программного‏ ‎обеспечения ‎и ‎системного ‎дизайна ‎за‏ ‎последние ‎несколько‏ ‎десятилетий.‏ ‎Чтобы ‎оценить, ‎насколько‏ ‎лучше ‎она‏ ‎стала ‎у ‎нас ‎сейчас.‏ ‎Посмотрите‏ ‎на ‎это,‏ ‎дети, ‎и‏ ‎будьте ‎благодарны, ‎что ‎вам ‎не‏ ‎нужно‏ ‎вводить ‎команды,‏ ‎чтобы ‎открыть‏ ‎файл.

Читать: 3+ мин
logo Хроники кибер-безопасника

Зачем беспокоиться о кибербезопасности? Пусть всю работу делают журналы событий, сказали в Google

Используя ‎журналы событий‏ ‎Windows ‎и ‎интегрируясь ‎с ‎передовыми‏ ‎системами ‎обнаружения,‏ ‎организации‏ ‎могут ‎лучше ‎защитить‏ ‎себя ‎от‏ ‎растущей ‎угрозы ‎кражи ‎данных‏ ‎из‏ ‎браузера.

Технические ‎характеристики

📌Журналы‏ ‎событий ‎Windows:‏ ‎Метод ‎использует ‎журналы ‎событий ‎Windows‏ ‎для‏ ‎обнаружения ‎подозрительных‏ ‎действий, ‎которые‏ ‎могут ‎указывать ‎на ‎кражу ‎данных‏ ‎из‏ ‎браузера.‏ ‎Это ‎включает‏ ‎в ‎себя‏ ‎мониторинг ‎определенных‏ ‎идентификаторов‏ ‎событий ‎и‏ ‎шаблонов, ‎которые ‎указывают ‎на ‎вредоносное‏ ‎поведение.

📌Идентификаторы ‎событий:‏ ‎Ключевые‏ ‎идентификаторы ‎событий ‎для‏ ‎мониторинга ‎включают‏ ‎идентификатор ‎события 4688 для ‎отслеживания ‎создания‏ ‎процесса,‏ ‎который ‎может‏ ‎помочь ‎определить,‏ ‎когда ‎запущен ‎браузер ‎или ‎связанный‏ ‎с‏ ‎ним ‎процесс;‏ ‎Идентификатор ‎события 5145 для‏ ‎мониторинга ‎доступа ‎к ‎файлам, ‎который‏ ‎может‏ ‎быть‏ ‎использован ‎для‏ ‎обнаружения ‎несанкционированного‏ ‎доступа ‎к‏ ‎файлам‏ ‎данных ‎браузера;‏ ‎и ‎идентификатор ‎события 4663 для ‎отслеживания ‎доступа‏ ‎к ‎объектам.,‏ ‎полезный‏ ‎для ‎выявления ‎попыток‏ ‎чтения ‎или‏ ‎изменения ‎файлов ‎данных ‎браузера.

📌Поведенческий‏ ‎анализ: Подход‏ ‎предполагает ‎анализ‏ ‎поведения ‎процессов‏ ‎и ‎их ‎взаимодействия ‎с ‎файлами‏ ‎данных‏ ‎браузера. ‎Это‏ ‎включает ‎в‏ ‎себя ‎поиск ‎необычных ‎закономерностей, ‎таких‏ ‎как‏ ‎процессы,‏ ‎которые ‎обычно‏ ‎не ‎обращаются‏ ‎к ‎файлам‏ ‎данных‏ ‎браузера, ‎которые‏ ‎внезапно ‎начинают ‎это ‎делать, ‎высокая‏ ‎частота ‎доступа‏ ‎к‏ ‎файлам ‎данных ‎браузера‏ ‎процессами, ‎не‏ ‎являющимися ‎браузерами.

📌Интеграция ‎с ‎SIEM: Метод‏ ‎может‏ ‎быть ‎интегрирован‏ ‎с ‎системами‏ ‎управления ‎информацией ‎о ‎безопасности ‎и‏ ‎событиями‏ ‎(SIEM) ‎для‏ ‎автоматизации ‎процесса‏ ‎обнаружения ‎и ‎оповещения. ‎Это ‎позволяет‏ ‎осуществлять‏ ‎мониторинг‏ ‎в ‎режиме‏ ‎реального ‎времени‏ ‎и ‎быстрее‏ ‎реагировать‏ ‎на ‎потенциальные‏ ‎инциденты ‎с ‎кражей ‎данных.

📌Машинное ‎обучение: использование‏ ‎моделей ‎машинного‏ ‎обучения‏ ‎для ‎расширения ‎возможностей‏ ‎обнаружения ‎за‏ ‎счет ‎выявления ‎аномалий ‎и‏ ‎закономерностей,‏ ‎которые ‎нелегко‏ ‎обнаружить ‎только‏ ‎с ‎помощью ‎систем, ‎основанных ‎на‏ ‎правилах.

Влияние‏ ‎на ‎отрасли‏ ‎промышленности

📌Повышение ‎уровня‏ ‎безопасности: Внедряя ‎этот ‎метод ‎обнаружения, ‎организации‏ ‎могут‏ ‎значительно‏ ‎повысить ‎уровень‏ ‎защиты ‎от‏ ‎кражи ‎данных‏ ‎из‏ ‎браузера. ‎Это‏ ‎особенно ‎важно ‎для ‎отраслей, ‎работающих‏ ‎с ‎конфиденциальной‏ ‎информацией,‏ ‎таких ‎как ‎финансы,‏ ‎здравоохранение ‎и‏ ‎юридический ‎сектор.

📌Соблюдение ‎нормативных ‎требований: Во‏ ‎многих‏ ‎отраслях ‎промышленности‏ ‎действуют ‎строгие‏ ‎требования ‎по ‎соблюдению ‎нормативных ‎требований‏ ‎в‏ ‎отношении ‎защиты‏ ‎данных. ‎Этот‏ ‎метод ‎помогает ‎организациям ‎соответствовать ‎этим‏ ‎требованиям,‏ ‎предоставляя‏ ‎надежный ‎механизм‏ ‎для ‎обнаружения‏ ‎и ‎предотвращения‏ ‎утечек‏ ‎данных.

📌Реагирование ‎на‏ ‎инциденты: Возможность ‎обнаруживать ‎кражу ‎данных ‎из‏ ‎браузера ‎в‏ ‎режиме‏ ‎реального ‎времени ‎позволяет‏ ‎быстрее ‎реагировать‏ ‎на ‎инциденты, ‎сводя ‎к‏ ‎минимуму‏ ‎потенциальный ‎ущерб‏ ‎и ‎сокращая‏ ‎время, ‎в ‎течение ‎которого ‎злоумышленники‏ ‎получают‏ ‎доступ ‎к‏ ‎конфиденциальным ‎данным.

📌 Экономия‏ ‎средств: Раннее ‎обнаружение ‎и ‎предотвращение ‎кражи‏ ‎данных‏ ‎может‏ ‎привести ‎к‏ ‎значительной ‎экономии‏ ‎средств ‎за‏ ‎счет‏ ‎предотвращения ‎финансового‏ ‎ущерба ‎и ‎ущерба ‎репутации, ‎связанных‏ ‎с ‎утечкой‏ ‎данных.

📌Доверие‏ ‎и ‎репутация: ‎В‏ ‎отраслях, ‎которые‏ ‎в ‎значительной ‎степени ‎зависят‏ ‎от‏ ‎доверия ‎клиентов,‏ ‎таких ‎как‏ ‎электронная ‎коммерция ‎и ‎онлайн-сервисы, ‎демонстрация‏ ‎твердой‏ ‎приверженности ‎безопасности‏ ‎данных ‎может‏ ‎повысить ‎репутацию ‎и ‎доверие ‎клиентов.

Читать: 4+ мин
logo Хроники кибер-безопасника

Nimfilt: Когда авторам нужен ещё один язык, чтобы усложнить жизнь

Ключевые ‎функции

📌Имена‏ ‎функций ‎и ‎пакетов: ‎Nimfilt устраняет ‎путаницу‏ ‎в ‎именах‏ ‎функций‏ ‎и ‎пакетов, ‎специфичных‏ ‎для ‎Nim,‏ ‎что ‎делает ‎их ‎более‏ ‎удобочитаемыми‏ ‎и ‎простыми‏ ‎для ‎анализа.

📌Имена‏ ‎функций ‎инициализации ‎пакетов: Он ‎также ‎устраняет‏ ‎путаницу‏ ‎в ‎именах‏ ‎функций ‎инициализации‏ ‎пакетов ‎Nim.

📌Строки ‎Nim: Nimfilt ‎применяет ‎структуры‏ ‎в‏ ‎стиле‏ ‎C ‎к‏ ‎строкам ‎Nim,‏ ‎что ‎помогает‏ ‎интерпретировать‏ ‎структуры ‎данных‏ ‎в ‎двоичном ‎формате. ‎Это ‎включает‏ ‎в ‎себя‏ ‎определение‏ ‎длины ‎и ‎полезной‏ ‎нагрузки ‎строк.

📌Плагин‏ ‎IDA: ‎Nimfilt ‎можно ‎использовать‏ ‎в‏ ‎качестве ‎плагина‏ ‎IDA, ‎где‏ ‎он ‎упорядочивает ‎функции ‎по ‎каталогам‏ ‎на‏ ‎основе ‎имени‏ ‎их ‎пакета‏ ‎или ‎пути ‎к ‎нему. ‎Это‏ ‎помогает‏ ‎структурировать‏ ‎процесс ‎анализа.

📌Автоматическое‏ ‎выполнение: Плагин ‎можно‏ ‎настроить ‎на‏ ‎автоматическое‏ ‎выполнение ‎при‏ ‎загрузке ‎двоичного ‎файла ‎Nim, ‎установив‏ ‎для ‎глобальной‏ ‎переменной‏ ‎AUTO_RUN ‎значение ‎True.

📌Идентификация‏ ‎двоичных ‎файлов‏ ‎Nim: Nimfilt ‎использует ‎эвристику ‎для‏ ‎определения‏ ‎того, ‎является‏ ‎ли ‎загруженный‏ ‎файл ‎двоичным ‎файлом ‎Nim, ‎проверяя‏ ‎наличие‏ ‎определенных ‎строк‏ ‎и ‎имен‏ ‎функций, ‎связанных ‎с ‎Nim.

📌 Правила ‎YARA:‏ ‎Он‏ ‎включает‏ ‎правила ‎YARA‏ ‎для ‎идентификации‏ ‎двоичных ‎файлов‏ ‎ELF‏ ‎и ‎PE,‏ ‎скомпилированных ‎в ‎Nim.

📌Интерфейс ‎командной ‎строки‏ ‎(CLI): ‎Скрипт‏ ‎на‏ ‎Python: ‎Nimfilt ‎может‏ ‎быть ‎запущен‏ ‎как ‎скрипт ‎на ‎Python‏ ‎в‏ ‎командной ‎строке,‏ ‎предоставляя ‎часть‏ ‎своих ‎функциональных ‎возможностей ‎за ‎пределами‏ ‎IDA.

📌Организация‏ ‎функций: ‎ В‏ ‎IDA ‎Nimfilt‏ ‎создает ‎каталоги ‎в ‎окне ‎функций,‏ ‎чтобы‏ ‎упорядочить‏ ‎функции ‎в‏ ‎соответствии ‎с‏ ‎их ‎именем‏ ‎пакета‏ ‎или ‎путем‏ ‎к ‎нему, ‎улучшая ‎читаемость ‎и‏ ‎управляемость ‎анализа.

Сценарии

Nimfilt‏ ‎использовался‏ ‎в ‎различных ‎реальных‏ ‎сценариях, ‎в‏ ‎частности, ‎при ‎анализе ‎вредоносных‏ ‎программ,‏ ‎написанных ‎на‏ ‎языке ‎программирования‏ ‎Nim.

Sednit ‎Group:

📌Background: Группа ‎Sednit, ‎также ‎известная‏ ‎как‏ ‎APT28 ‎или‏ ‎Fancy ‎Bear,‏ ‎является ‎хорошо ‎известной ‎группой, ‎занимающейся‏ ‎кибершпионажем.‏ ‎Они‏ ‎действуют ‎по‏ ‎меньшей ‎мере‏ ‎с ‎2004‏ ‎года‏ ‎и ‎ответственны‏ ‎за ‎несколько ‎громких ‎атак, ‎включая‏ ‎взлом ‎Национального‏ ‎комитета‏ ‎Демократической ‎партии ‎(DNC)‏ ‎в ‎2016‏ ‎году.

📌Использование ‎Nim: ‎В ‎2019‏ ‎году‏ ‎было ‎замечено,‏ ‎что ‎Sednit‏ ‎использовал ‎вредоносный ‎загрузчик, ‎написанный ‎на‏ ‎Nim.‏ ‎Это ‎стало‏ ‎одним ‎из‏ ‎первых ‎случаев ‎использования ‎Nim ‎при‏ ‎разработке‏ ‎вредоносных‏ ‎программ.

📌 Роль ‎Nimfilt:‏ ‎Nimfilt ‎использовался‏ ‎для ‎реверса‏ ‎вредоносной‏ ‎программы, ‎скомпилированной‏ ‎с ‎помощью ‎Nim, ‎помогая ‎аналитикам‏ ‎понять ‎структуру‏ ‎и‏ ‎функциональность ‎загрузчика, ‎разбирая‏ ‎имена ‎функций‏ ‎и ‎пакетов ‎и ‎применяя‏ ‎соответствующие‏ ‎структуры ‎данных‏ ‎к ‎строкам.

Mustang‏ ‎Panda ‎APT ‎Group:

📌Background: ‎Mustang ‎Panda‏ ‎—‏ ‎это ‎китайская‏ ‎группа ‎Advanced‏ ‎Persistent ‎Threat ‎(APT), ‎известная ‎своей‏ ‎деятельностью‏ ‎в‏ ‎области ‎кибершпионажа.‏ ‎Они ‎использовали‏ ‎Nim ‎для‏ ‎создания‏ ‎пользовательских ‎загрузчиков‏ ‎для ‎своего ‎бэкдора ‎Korplug.

📌Конкретный ‎инцидент: В‏ ‎августе ‎2023‏ ‎года‏ ‎Mustang ‎Panda ‎использовала‏ ‎вредоносную ‎библиотеку‏ ‎DLL, ‎написанную ‎на ‎Nim,‏ ‎в‏ ‎рамках ‎своей‏ ‎кампании ‎против‏ ‎правительственной ‎организации ‎в ‎Словакии. ‎Эта‏ ‎библиотека‏ ‎была ‎частью‏ ‎их ‎классического‏ ‎загрузчика ‎trident ‎Korplug.

📌Роль ‎Nimfilt: Nimfilt ‎сыграл‏ ‎важную‏ ‎роль‏ ‎в ‎анализе‏ ‎этой ‎библиотеки‏ ‎DLL. ‎Разобрав‏ ‎названия‏ ‎и ‎распределив‏ ‎функции ‎по ‎каталогам, ‎Nimfilt ‎упростил‏ ‎исследователям ‎анализ‏ ‎вредоносного‏ ‎ПО ‎и ‎понимание‏ ‎его ‎поведения.

Общий‏ ‎анализ ‎вредоносных ‎программ:

📌 Популярность ‎Nim:‏ ‎Язык‏ ‎программирования ‎Nim‏ ‎становится ‎все‏ ‎более ‎привлекательным ‎для ‎разработчиков ‎вредоносных‏ ‎программ‏ ‎благодаря ‎своему‏ ‎надежному ‎компилятору‏ ‎и ‎способности ‎легко ‎работать ‎с‏ ‎другими‏ ‎языками,‏ ‎такими ‎как‏ ‎C, ‎С++‏ ‎и ‎JavaScript.‏ ‎Это‏ ‎привело ‎к‏ ‎росту ‎количества ‎вредоносных ‎программ, ‎написанных‏ ‎на ‎Nim.

📌Вклад‏ ‎Nimfilt:‏ ‎Для ‎исследователей, ‎занимающихся‏ ‎реверсом ‎двоичных‏ ‎файлов, ‎Nimfilt ‎предоставляет ‎мощный‏ ‎инструмент‏ ‎для ‎ускорения‏ ‎процесса ‎анализа.‏ ‎Это ‎помогает ‎устранить ‎путаницу ‎в‏ ‎именах,‏ ‎применить ‎структуры‏ ‎к ‎строкам‏ ‎и ‎упорядочить ‎функции, ‎тем ‎самым‏ ‎делая‏ ‎процесс‏ ‎реверса ‎более‏ ‎эффективным ‎и‏ ‎целенаправленным.

Читать: 1+ мин
logo Хроники кибер-безопасника

Внутри Windows: Как уязвимость с двойной выборкой данных приводит к доступу к системе

24H2 ‎NT‏ ‎Kernel ‎Exploit ‎[POC]

📌Цель: Ядро ‎NT ‎в‏ ‎Windows ‎11‏ ‎24H2‏ ‎Insider ‎Preview.

📌Уязвимость: Множественные ‎уязвимости‏ ‎ядра ‎в‏ ‎ntoskrnl.exe.

Способ:

📌 Используется ‎обмен ‎токенами ‎процессов‏ ‎для‏ ‎получения ‎полномочий‏ ‎NT\SYSTEM ‎привилегий.

📌 Просматривается‏ ‎список ‎PsActiveProcessHead, ‎чтобы ‎найти ‎привилегированный‏ ‎процесс‏ ‎и ‎его‏ ‎токен.

📌 Заменяется ‎токен‏ ‎процесса-эксплойта ‎на ‎привилегированный ‎токен.

📌 Запускается ‎новая‏ ‎командная‏ ‎строка‏ ‎с ‎системными‏ ‎привилегиями.

Bypassing ‎KASLR:

📌 Используются‏ ‎атаки ‎для‏ ‎определения‏ ‎базового ‎адреса‏ ‎ядра.

📌 Выявляются ‎слабые ‎места ‎в ‎новой‏ ‎реализации ‎KASLR.

Компоненты:

📌teb_nt_poc.c: основный‏ ‎код‏ ‎эксплоита.

📌prefetch_asm.asm ‎and ‎prefetch_leak.h: используется‏ ‎для ‎обхода‏ ‎ASLR ‎по ‎побочным ‎каналам.

📌find_nt_offsets.h‏ ‎and‏ ‎find_nt_offsets.c: Находит ‎неэкспортированные‏ ‎глобальные ‎переменные‏ ‎в ‎NT ‎с ‎помощью ‎Capstone.

📌ntos.h: Содержит‏ ‎различные‏ ‎непубличные ‎структуры‏ ‎и ‎функции,‏ ‎относящиеся ‎к ‎NT.


CVE-2024-21345 ‎[POC]

📌Уязвимость: PoC ‎для‏ ‎CVE-2024-21345

📌Цель: Проблемы‏ ‎в‏ ‎компоненте ‎продукта

Подробности‏ ‎эксплоита:

📌 Уязвимость ‎связана‏ ‎с ‎проблемой‏ ‎double-fetch‏ ‎в ‎NtQueryInformationThread,‏ ‎что ‎приводит ‎к ‎произвольной ‎записи.

📌 Эксплуатация‏ ‎может ‎привести‏ ‎к‏ ‎серьезным ‎последствиям ‎для‏ ‎целостности ‎и‏ ‎конфиденциальности, ‎а ‎доступность ‎также‏ ‎оценивается‏ ‎как ‎высокая.


CVE-2024-26218‏ ‎[POC]

📌Уязвимость: PoC ‎для‏ ‎CVE-2024-26218.

📌Цель: Проблемы ‎в ‎компоненте ‎продукта

Подробности ‎эксплоита:

📌 Уязвимость‏ ‎позволяет‏ ‎злоумышленникам ‎повысить‏ ‎свои ‎привилегии‏ ‎до ‎системного ‎уровня, ‎что ‎может‏ ‎привести‏ ‎к‏ ‎полному ‎контролю‏ ‎над ‎уязвимой‏ ‎системой.

Читать: 4+ мин
logo Хроники кибер-безопасника

Passkeys: усложняем работу с фишинговыми мошенниками, но лишь немного

Внедрение ‎и‏ ‎поддержка ‎паролей ‎Apple ‎и ‎Google может‏ ‎оказать ‎существенное‏ ‎влияние‏ ‎на ‎различные ‎отрасли‏ ‎промышленности, ‎повышая‏ ‎безопасность, ‎улучшая ‎работу ‎пользователей‏ ‎и‏ ‎способствуя ‎внедрению‏ ‎решений ‎для‏ ‎аутентификации ‎без ‎использования ‎пароля.


Ключевые ‎аспекты

Обзор‏ ‎ключей‏ ‎доступа:

📌Ключи ‎доступа‏ ‎— ‎это‏ ‎цифровые ‎учетные ‎данные, ‎которые ‎позволяют‏ ‎осуществлять‏ ‎аутентификацию‏ ‎без ‎пароля‏ ‎с ‎использованием‏ ‎закрытых ‎криптографических‏ ‎ключей.‏ ‎Они ‎разработаны‏ ‎быть ‎более ‎безопасными ‎и ‎удобными‏ ‎для ‎пользователя,‏ ‎чем‏ ‎традиционные ‎пароли.

📌Пароли ‎используют‏ ‎биометрическую ‎идентификацию‏ ‎(например, ‎отпечаток ‎пальца, ‎сканирование‏ ‎лица)‏ ‎или ‎PIN-код‏ ‎для ‎блокировки‏ ‎экрана ‎для ‎аутентификации ‎пользователей, ‎что‏ ‎делает‏ ‎их ‎устойчивыми‏ ‎к ‎фишинговым‏ ‎атакам.

Внедрение ‎от ‎Apple:

📌Apple ‎представила ‎API,‏ ‎который‏ ‎позволяет‏ ‎использовать ‎ключи‏ ‎доступа ‎для‏ ‎работы ‎со‏ ‎сторонним‏ ‎программным ‎обеспечением,‏ ‎что ‎повышает ‎удобство ‎их ‎использования‏ ‎в ‎различных‏ ‎приложениях‏ ‎и ‎платформах.

📌Ключи ‎доступа‏ ‎поддерживаются ‎в‏ ‎Safari ‎и ‎могут ‎быть‏ ‎синхронизированы‏ ‎между ‎устройствами‏ ‎Apple ‎с‏ ‎помощью ‎iCloud ‎Keychain. ‎Такая ‎синхронизация‏ ‎гарантирует,‏ ‎что ‎ключи‏ ‎доступа ‎будут‏ ‎доступны ‎на ‎всех ‎устройствах, ‎подключенных‏ ‎к‏ ‎одной‏ ‎и ‎той‏ ‎же ‎учетной‏ ‎записи ‎iCloud.

📌Управляемые‏ ‎Apple‏ ‎ID ‎поддерживают‏ ‎синхронизацию ‎паролей, ‎что ‎позволяет ‎сторонним‏ ‎менеджерам ‎паролей,‏ ‎таким‏ ‎как ‎1Password ‎и‏ ‎Dashlane, ‎сохранять‏ ‎пароли ‎в ‎iOS, ‎iPadOS‏ ‎и‏ ‎macOS ‎и‏ ‎обмениваться ‎ими.

Внедрение‏ ‎от ‎Google:

📌Google ‎внедрила ‎поддержку ‎паролей‏ ‎доступа‏ ‎в ‎аккаунтах‏ ‎Google ‎на‏ ‎всех ‎основных ‎платформах, ‎предоставив ‎дополнительную‏ ‎возможность‏ ‎входа‏ ‎в ‎систему‏ ‎наряду ‎с‏ ‎паролями ‎и‏ ‎двухэтапной‏ ‎проверкой ‎(2SV).

📌Пароли‏ ‎доступа ‎можно ‎создавать ‎и ‎использовать‏ ‎на ‎нескольких‏ ‎устройствах,‏ ‎а ‎также ‎создавать‏ ‎их ‎резервные‏ ‎копии ‎и ‎синхронизировать ‎на‏ ‎всех‏ ‎устройствах, ‎которые‏ ‎их ‎поддерживают,‏ ‎например, ‎на ‎устройствах, ‎использующих ‎один‏ ‎и‏ ‎тот ‎же‏ ‎аккаунт ‎Google.

📌Пользователи‏ ‎Google ‎Workspace ‎и ‎Google ‎Cloud‏ ‎теперь‏ ‎могут‏ ‎входить ‎в‏ ‎свои ‎учетные‏ ‎записи ‎с‏ ‎помощью‏ ‎паролей, ‎что‏ ‎повышает ‎безопасность ‎бизнес-пользователей.

Кроссплатформенная ‎поддержка:

📌Chrome ‎на‏ ‎macOS ‎теперь‏ ‎поддерживает‏ ‎ключи ‎доступа, ‎хранящиеся‏ ‎в ‎iCloud‏ ‎Keychain, ‎что ‎позволяет ‎пользователям‏ ‎создавать‏ ‎и ‎использовать‏ ‎ключи ‎доступа‏ ‎в ‎разных ‎браузерах ‎и ‎на‏ ‎разных‏ ‎устройствах ‎в‏ ‎экосистеме ‎Apple.

📌 Поведение‏ ‎API ‎для ‎ключей ‎доступа ‎согласовано‏ ‎в‏ ‎Safari‏ ‎и ‎Chrome,‏ ‎что ‎обеспечивает‏ ‎бесперебойную ‎работу‏ ‎пользователей.


Влияние‏ ‎на ‎отрасли‏ ‎промышленности

Повышенная ‎безопасность:

📌Пароли ‎обеспечивают ‎более ‎высокий‏ ‎уровень ‎безопасности‏ ‎по‏ ‎сравнению ‎с ‎традиционными‏ ‎паролями ‎и‏ ‎даже ‎некоторыми ‎методами ‎многофакторной‏ ‎аутентификации‏ ‎(MFA). ‎Они‏ ‎устойчивы ‎к‏ ‎фишингу ‎и ‎другим ‎онлайн-атакам, ‎что‏ ‎снижает‏ ‎риск ‎кражи‏ ‎учетных ‎данных.

📌Устраняя‏ ‎необходимость ‎в ‎паролях, ‎парольные ‎ключи‏ ‎снижают‏ ‎вероятность‏ ‎нарушений ‎безопасности,‏ ‎связанных ‎с‏ ‎паролями, ‎например,‏ ‎из-за‏ ‎слабых ‎или‏ ‎повторно ‎используемых ‎паролей.

Улучшенный ‎пользовательский ‎опыт:

📌Пароли‏ ‎упрощают ‎процесс‏ ‎аутентификации,‏ ‎делая ‎вход ‎в‏ ‎свои ‎учетные‏ ‎записи ‎более ‎быстрым ‎и‏ ‎удобным‏ ‎для ‎пользователей.‏ ‎Например, ‎Google‏ ‎сообщила, ‎что ‎пользователи ‎могут ‎пройти‏ ‎аутентификацию‏ ‎с ‎помощью‏ ‎паролей ‎в‏ ‎среднем ‎за ‎14,9 ‎секунды ‎по‏ ‎сравнению‏ ‎с‏ ‎30,4 ‎секундами‏ ‎при ‎использовании‏ ‎паролей.

📌Использование ‎биометрической‏ ‎аутентификации‏ ‎(например, ‎Face‏ ‎ID, ‎Touch ‎ID) ‎упрощает ‎процесс‏ ‎входа ‎в‏ ‎систему,‏ ‎снижая ‎когнитивную ‎нагрузку‏ ‎на ‎пользователей,‏ ‎которым ‎больше ‎не ‎нужно‏ ‎запоминать‏ ‎сложные ‎пароли.

Внедрение‏ ‎предприятиями:

📌Предприятия ‎могут‏ ‎воспользоваться ‎преимуществами ‎повышения ‎безопасности ‎и‏ ‎удобства‏ ‎работы ‎с‏ ‎паролями. ‎Например,‏ ‎пользователи ‎Google ‎Workspace ‎и ‎Google‏ ‎Cloud‏ ‎теперь‏ ‎могут ‎использовать‏ ‎пароли ‎для‏ ‎безопасного ‎и‏ ‎эффективного‏ ‎доступа ‎к‏ ‎своим ‎учетным ‎записям.

📌Интеграция ‎ключей ‎доступа‏ ‎в ‎сторонние‏ ‎приложения‏ ‎и ‎менеджеры ‎паролей‏ ‎позволяет ‎предприятиям‏ ‎внедрять ‎эту ‎технологию ‎без‏ ‎существенных‏ ‎изменений ‎в‏ ‎существующей ‎инфраструктуре.

Развитие‏ ‎отрасли ‎набирает ‎обороты:

📌 Сотрудничество ‎между ‎крупнейшими‏ ‎технологическими‏ ‎компаниями, ‎такими‏ ‎как ‎Apple,‏ ‎Google ‎и ‎Microsoft, ‎а ‎также‏ ‎Альянсом‏ ‎FIDO‏ ‎способствует ‎внедрению‏ ‎паролей ‎во‏ ‎всей ‎отрасли.‏ ‎Эти‏ ‎совместные ‎усилия,‏ ‎вероятно, ‎ускорят ‎переход ‎к ‎будущему‏ ‎без ‎паролей.

📌Поддержка‏ ‎паролей‏ ‎доступа ‎в ‎популярных‏ ‎браузерах ‎и‏ ‎операционных ‎системах ‎обеспечивает ‎широкую‏ ‎совместимость‏ ‎и ‎побуждает‏ ‎все ‎больше‏ ‎организаций ‎внедрять ‎эту ‎технологию.

Читать: 4+ мин
logo Хроники кибер-безопасника

Обнаружение Android-угроз в режиме реального времени: ведь 200 миллиардов сканирований в день все равно не позволят выявить все угрозы

Обновления ‎для‏ ‎системы ‎безопасности, ‎анонсированные ‎на ‎выставке‏ ‎Google ‎I/O‏ ‎2024, призваны‏ ‎значительно ‎повысить ‎безопасность‏ ‎и ‎конфиденциальность‏ ‎устройств ‎Android, ‎оказывая ‎влияние‏ ‎на‏ ‎различные ‎отрасли‏ ‎за ‎счет‏ ‎снижения ‎уровня ‎мошенничества, ‎защиты ‎конфиденциальных‏ ‎данных‏ ‎и ‎укрепления‏ ‎доверия ‎к‏ ‎мобильным ‎технологиям.


Ключевые ‎аспекты

Google ‎Play ‎защита‏ ‎в‏ ‎режиме‏ ‎реального ‎времени:

📌 Функциональность: Ежедневно‏ ‎сканирует ‎200‏ ‎миллиардов ‎приложений‏ ‎для‏ ‎Android ‎с‏ ‎помощью ‎искусственного ‎интеллекта ‎на ‎устройстве‏ ‎для ‎обнаружения‏ ‎и‏ ‎устранения ‎вредоносных ‎программ‏ ‎и ‎мошеннических‏ ‎приложений.

📌 Реализация: Использует ‎частное ‎вычислительное ‎ядро‏ ‎для‏ ‎анализа ‎с‏ ‎сохранением ‎конфиденциальности.

📌 Установка: Доступно‏ ‎на ‎устройствах ‎таких ‎производителей, ‎как‏ ‎Google‏ ‎Pixel, ‎Honor,‏ ‎Lenovo, ‎Nothing,‏ ‎OnePlus, ‎Oppo, ‎Sharp ‎и ‎Transsion.

Более‏ ‎надежная‏ ‎защита‏ ‎от ‎мошенничества:

📌 Обнаружение‏ ‎мошеннических ‎звонков: использует‏ ‎искусственный ‎интеллект‏ ‎Gemini-Nano‏ ‎для ‎обнаружения‏ ‎и ‎оповещения ‎пользователей ‎о ‎потенциальных‏ ‎мошеннических ‎звонках‏ ‎в‏ ‎режиме ‎реального ‎времени.

📌 Защита‏ ‎от ‎совместного‏ ‎использования ‎экрана: Расширенные ‎средства ‎контроля‏ ‎для‏ ‎предотвращения ‎атак‏ ‎социальной ‎инженерии‏ ‎во ‎время ‎совместного ‎использования ‎экрана.

📌 Усовершенствованная‏ ‎система‏ ‎безопасности ‎сотовой‏ ‎связи: новые ‎средства‏ ‎защиты ‎от ‎поддельной ‎сотовой ‎связи‏ ‎для‏ ‎предотвращения‏ ‎слежки ‎и‏ ‎SMS-мошенничества.

Функция ‎приватного‏ ‎пространства:

📌 Функциональность: Позволяет ‎пользователям‏ ‎создавать‏ ‎защищенную ‎изолированную‏ ‎часть ‎операционной ‎системы ‎для ‎конфиденциальной‏ ‎информации, ‎аналогичную‏ ‎режиму‏ ‎инкогнито.

📌 Доступ ‎для ‎разработчиков: доступен‏ ‎для ‎экспериментов‏ ‎разработчиков, ‎и ‎в ‎ближайшее‏ ‎время‏ ‎ожидается ‎исправление‏ ‎выявленных ‎ошибок.

Расширенные‏ ‎инструменты ‎разработчика:

📌 Play ‎Integrity ‎API: Обновлен ‎чтобы‏ ‎разработчики‏ ‎могли ‎обнаруживать‏ ‎и ‎предотвращать‏ ‎мошеннические ‎или ‎рискованные ‎действия.

📌 Средство ‎выбора‏ ‎фотографий: Улучшено‏ ‎для‏ ‎поддержки ‎облачных‏ ‎сервисов ‎хранения‏ ‎данных ‎и‏ ‎обеспечения‏ ‎более ‎строгих‏ ‎разрешений ‎на ‎доступ ‎к ‎фотографиям‏ ‎и ‎видео.


Влияние‏ ‎на‏ ‎отрасли ‎промышленности

Финансовые ‎услуги:

📌 Предотвращение‏ ‎мошенничества: Улучшенное ‎обнаружение‏ ‎мошеннических ‎звонков ‎и ‎расширенные‏ ‎функции‏ ‎безопасности ‎сотовой‏ ‎связи ‎значительно‏ ‎снизят ‎риск ‎финансового ‎мошенничества ‎и‏ ‎аферисток,‏ ‎защищая ‎как‏ ‎потребителей, ‎так‏ ‎и ‎финансовые ‎учреждения.

📌 Конфиденциальность ‎данных: Функция ‎«Личное‏ ‎пространство»‏ ‎обеспечивает‏ ‎сохранность ‎конфиденциальных‏ ‎финансовых ‎данных,‏ ‎повышая ‎доверие‏ ‎к‏ ‎мобильному ‎банкингу‏ ‎и ‎финансовым ‎приложениям.

Здравоохранение:

📌 Безопасность ‎данных ‎пациентов: Усовершенствованные‏ ‎меры ‎безопасности,‏ ‎включая‏ ‎оперативное ‎обнаружение ‎угроз‏ ‎и ‎защиту‏ ‎личного ‎пространства, ‎помогут ‎защитить‏ ‎конфиденциальную‏ ‎информацию ‎о‏ ‎пациентах, ‎хранящуюся‏ ‎на ‎мобильных ‎устройствах.

📌 Телемедицина: Расширенные ‎возможности ‎совместного‏ ‎использования‏ ‎экрана ‎обеспечат‏ ‎безопасность ‎сеансов‏ ‎телемедицины, ‎предотвращая ‎несанкционированный ‎доступ ‎к‏ ‎данным‏ ‎пациента‏ ‎во ‎время‏ ‎удаленных ‎консультаций.

Электронная‏ ‎коммерция:

📌 Безопасность ‎транзакций: Обнаружение‏ ‎мошеннических‏ ‎звонков ‎и‏ ‎расширенная ‎система ‎безопасности ‎сотовой ‎связи‏ ‎защитят ‎пользователей‏ ‎от‏ ‎попыток ‎фишинга ‎и‏ ‎мошенничества, ‎обеспечивая‏ ‎более ‎безопасные ‎онлайн-транзакции.

📌 Доверие ‎пользователей: Усовершенствованный‏ ‎контроль‏ ‎конфиденциальности ‎и‏ ‎безопасная ‎среда‏ ‎приложений ‎повысят ‎доверие ‎пользователей ‎к‏ ‎мобильным‏ ‎торговым ‎платформам.

Телекоммуникации:

📌 Сетевая‏ ‎безопасность: Усовершенствованные ‎средства‏ ‎защиты ‎сотовой ‎связи ‎помогут ‎операторам‏ ‎связи‏ ‎защитить‏ ‎свои ‎сети‏ ‎от ‎имитаторов‏ ‎сотовой ‎связи‏ ‎и‏ ‎других ‎средств‏ ‎наблюдения.

📌 Безопасность ‎клиентов: Функции ‎обнаружения ‎мошенничества ‎в‏ ‎режиме ‎реального‏ ‎времени‏ ‎повысят ‎безопасность ‎клиентов,‏ ‎снизив ‎количество‏ ‎жалоб, ‎связанных ‎с ‎мошенничеством.

Разработка‏ ‎приложений:

📌 Интеграция‏ ‎в ‎систему‏ ‎безопасности: Разработчики ‎могут‏ ‎использовать ‎обновленный ‎API ‎Play ‎Integrity‏ ‎и‏ ‎другие ‎инструменты‏ ‎безопасности ‎для‏ ‎создания ‎более ‎безопасных ‎приложений, ‎снижая‏ ‎риск‏ ‎их‏ ‎эксплуатации ‎и‏ ‎злоупотреблений.

📌 Конфиденциальность ‎пользователей: Более‏ ‎строгие ‎разрешения‏ ‎на‏ ‎фотосъемку ‎и‏ ‎функция ‎личного ‎пространства ‎помогут ‎разработчикам‏ ‎обеспечить ‎соблюдение‏ ‎правил‏ ‎конфиденциальности ‎и ‎завоевать‏ ‎доверие ‎пользователей.

Читать: 2+ мин
logo Хроники кибер-безопасника

Переход по ссылкам электронных писем — лучший способ подружиться с IT

В ‎статье‏ ‎Google ‎Security ‎Blog ‎«On ‎Fire‏ ‎Drills ‎and‏ ‎Phishing‏ ‎Tests» рассказывается ‎о ‎важности‏ ‎тестов ‎на‏ ‎фишинг ‎и ‎тренингов ‎для‏ ‎повышения‏ ‎безопасности ‎организации.

Важность‏ ‎тестов ‎на‏ ‎фишинг

📌Фишинговые ‎тесты ‎как ‎инструмент ‎обучения: Фишинговые‏ ‎тесты‏ ‎используются ‎для‏ ‎обучения ‎сотрудников‏ ‎распознавать ‎попытки ‎фишинга ‎и ‎реагировать‏ ‎на‏ ‎них.‏ ‎Они ‎имитируют‏ ‎реальные ‎фишинговые‏ ‎атаки, ‎чтобы‏ ‎помочь‏ ‎сотрудникам ‎выявлять‏ ‎подозрительные ‎электронные ‎письма ‎и ‎ссылки.

📌Анализ‏ ‎поведения: Эти ‎тесты‏ ‎дают‏ ‎представление ‎о ‎поведении‏ ‎сотрудников ‎и‏ ‎эффективности ‎текущих ‎программ ‎обучения.‏ ‎Они‏ ‎помогают ‎определить,‏ ‎какие ‎сотрудники‏ ‎или ‎отделы ‎более ‎подвержены ‎фишинговым‏ ‎атакам.

Тренинги‏ ‎по ‎реагированию‏ ‎на ‎инциденты

📌Имитация‏ ‎инцидентов: тренингов ‎включают ‎в ‎себя ‎имитацию‏ ‎инцидентов‏ ‎безопасности‏ ‎для ‎проверки‏ ‎возможностей ‎организации‏ ‎по ‎реагированию‏ ‎на‏ ‎инциденты. ‎Это‏ ‎включает ‎в ‎себя ‎то, ‎насколько‏ ‎быстро ‎и‏ ‎эффективно‏ ‎команда ‎может ‎обнаруживать‏ ‎угрозы ‎безопасности,‏ ‎реагировать ‎на ‎них ‎и‏ ‎устранять‏ ‎их.

📌Готовность ‎и‏ ‎совершенствование: Регулярные ‎учения‏ ‎помогают ‎обеспечить ‎готовность ‎группы ‎реагирования‏ ‎на‏ ‎инциденты ‎к‏ ‎реальным ‎инцидентам‏ ‎безопасности. ‎Они ‎также ‎указывают ‎на‏ ‎области,‏ ‎требующие‏ ‎улучшения ‎в‏ ‎плане ‎реагирования‏ ‎на ‎инциденты.

Интеграция‏ ‎тестов‏ ‎на ‎фишинг‏ ‎и ‎проведения ‎треннингов

📌Комплексное ‎обучение ‎безопасности: Сочетание‏ ‎тестов ‎на‏ ‎фишинг‏ ‎с ‎тренингами ‎обеспечивает‏ ‎комплексный ‎подход‏ ‎к ‎обучению ‎безопасности. ‎Это‏ ‎гарантирует,‏ ‎что ‎сотрудники‏ ‎будут ‎не‏ ‎только ‎осведомлены ‎о ‎фишинговых ‎угрозах,‏ ‎но‏ ‎и ‎знают,‏ ‎как ‎эффективно‏ ‎на ‎них ‎реагировать.

📌Реалистичные ‎сценарии: Объединяя ‎эти‏ ‎два‏ ‎метода,‏ ‎организации ‎могут‏ ‎создавать ‎более‏ ‎реалистичные ‎и‏ ‎сложные‏ ‎сценарии, ‎которые‏ ‎лучше ‎подготовят ‎сотрудников ‎к ‎реальным‏ ‎угрозам.

Показатели ‎и‏ ‎оценка

📌Измерение‏ ‎эффективности: Как ‎тесты ‎на‏ ‎фишинг, ‎так‏ ‎и ‎трениг ‎должны ‎оцениваться‏ ‎с‏ ‎использованием ‎показателей‏ ‎для ‎измерения‏ ‎их ‎эффективности. ‎Это ‎включает ‎в‏ ‎себя‏ ‎отслеживание ‎количества‏ ‎сотрудников, ‎которые‏ ‎поддаются ‎тестированию ‎на ‎фишинг, ‎и‏ ‎времени‏ ‎реагирования‏ ‎во ‎время‏ ‎тренингов.

📌Постоянное ‎совершенствование: Данные,‏ ‎собранные ‎в‏ ‎ходе‏ ‎этих ‎учений,‏ ‎следует ‎использовать ‎для ‎постоянного ‎совершенствования‏ ‎программ ‎обучения‏ ‎безопасности‏ ‎и ‎планов ‎реагирования‏ ‎на ‎инциденты.

Организационная‏ ‎культура

📌Продвижение ‎культуры, ‎ориентированной ‎прежде‏ ‎всего‏ ‎на ‎безопасность: Регулярные‏ ‎тесты ‎на‏ ‎фишинг ‎и ‎тренинги ‎помогают ‎продвигать‏ ‎культуру‏ ‎безопасности ‎в‏ ‎организации. ‎Они‏ ‎подчеркивают ‎важность ‎осведомленности ‎сотрудников ‎о‏ ‎безопасности‏ ‎и‏ ‎готовности ‎к‏ ‎ней.

📌Поощряющие ‎сообщения: Эти‏ ‎упражнения ‎побуждают‏ ‎сотрудников‏ ‎сообщать ‎о‏ ‎подозрительных ‎действиях ‎и ‎потенциальных ‎инцидентах‏ ‎безопасности, ‎способствуя‏ ‎созданию‏ ‎активной ‎среды ‎безопасности.

Читать: 5+ мин
logo Хроники кибер-безопасника

Перезапись встроенного ПО: новая модная тенденция атак на маршрутизаторы

Вредоносная ‎кампания‏ ‎Chalubo ‎RAT ‎была ‎нацелена ‎на‏ ‎конкретные ‎модели‏ ‎маршрутизаторов‏ ‎Actiontec ‎и ‎Sagemcom,‏ ‎в ‎первую‏ ‎очередь ‎затронув ‎сеть ‎Windstream.‏ ‎Вредоносная‏ ‎программа ‎использовала‏ ‎атаки ‎методом‏ ‎перебора ‎для ‎получения ‎доступа, ‎выполняла‏ ‎загрузку‏ ‎данных ‎в‏ ‎память, ‎чтобы‏ ‎избежать ‎обнаружения, ‎и ‎взаимодействовала ‎с‏ ‎серверами‏ ‎C2‏ ‎по ‎зашифрованным‏ ‎каналам. ‎Атака‏ ‎привела ‎к‏ ‎значительному‏ ‎сбою ‎в‏ ‎работе, ‎потребовавшему ‎замены ‎более ‎600‏ ‎000 ‎маршрутизаторов,‏ ‎что‏ ‎подчеркивает ‎необходимость ‎принятия‏ ‎надежных ‎мер‏ ‎безопасности ‎и ‎регулярного ‎обновления‏ ‎для‏ ‎предотвращения ‎подобных‏ ‎инцидентов.

Последствия ‎для‏ ‎интернет-провайдеров:

📌Windstream: Пострадал ‎интернет-провайдер, ‎более ‎600 ‎000‏ ‎маршрутизаторов‏ ‎были ‎выведены‏ ‎из ‎строя‏ ‎в ‎период ‎с ‎25 ‎по‏ ‎27‏ ‎октября‏ ‎2023 ‎года.

📌Модели: Actiontec‏ ‎T3200, ‎T3260‏ ‎и ‎Sagemcom‏ ‎F5380.

📌Последствия: Примерно‏ ‎49% ‎модемов‏ ‎интернет-провайдера ‎были ‎отключены, ‎что ‎потребовало‏ ‎замены ‎оборудования.

Глобальные‏ ‎последствия:

📌Активность‏ ‎ботнета: С ‎сентября ‎по‏ ‎ноябрь ‎2023‏ ‎года ‎панели ‎ботнета ‎Chalubo‏ ‎взаимодействовали‏ ‎с ‎117‏ ‎000 ‎уникальными‏ ‎IP-адресами ‎в ‎течение ‎30 ‎дней.

📌Географическое‏ ‎распределение: Большинство‏ ‎заражений ‎произошло‏ ‎в ‎США,‏ ‎Бразилии ‎и ‎Китае.

📌Особенности: 95% ботов ‎взаимодействовали ‎только‏ ‎с‏ ‎одной‏ ‎панелью ‎управления.


Уязвимые‏ ‎маршрутизаторы

📌 Целевые ‎модели:‏ ‎маршрутизаторы ‎бизнес-класса‏ ‎с‏ ‎истекшим ‎сроком‏ ‎службы.

📌Actiontec ‎T3200 ‎и ‎T3260 ‎—‏ ‎это ‎беспроводные‏ ‎маршрутизаторы‏ ‎VDSL2, ‎одобренные ‎компанией‏ ‎Windstream.

📌Sagemcom ‎F5380‏ ‎— ‎это ‎маршрутизатор ‎WiFi6‏ ‎(802.11ax).

📌 Модели‏ ‎DrayTek ‎Vigor‏ ‎2960 ‎и‏ ‎3900


Вредоносное ‎ПО: ‎Chalubo ‎RAT

📌Впервые ‎обнаружен‏ ‎Sophos‏ ‎Labs ‎в‏ ‎августе ‎2018‏ ‎года.

📌Основные ‎функции: DDoS-атаки, ‎выполнение ‎Lua-скриптов ‎и‏ ‎методы‏ ‎обхода‏ ‎с ‎использованием‏ ‎шифрования ‎ChaCha20.

📌Первоначальное‏ ‎заражение: ‎Использует‏ ‎атаки‏ ‎методом ‎перебора‏ ‎на ‎SSH-серверы ‎со ‎слабыми ‎учетными‏ ‎данными ‎(например,‏ ‎root:‏ ‎admin).

📌Доставка ‎полезной ‎нагрузки:

📌Первый‏ ‎этап: ‎скрипт‏ ‎bash ‎(«get_scrpc») ‎запускает ‎второй‏ ‎скрипт‏ ‎(«get_strtriush»), ‎который‏ ‎извлекает ‎и‏ ‎выполняет ‎основную ‎полезную ‎нагрузку ‎бота‏ ‎(«Chalubo»‏ ‎или ‎«mips.elf»).

📌Выполнение: Вредоносная‏ ‎программа ‎запускается‏ ‎в ‎памяти, ‎удаляет ‎файлы ‎с‏ ‎диска‏ ‎и‏ ‎изменяет ‎имя‏ ‎процесса, ‎чтобы‏ ‎избежать ‎обнаружения.

📌Взаимодействие:

📌Серверы‏ ‎C2: выполняется‏ ‎циклический ‎просмотр‏ ‎фиксированных ‎C2s, ‎загрузка ‎следующего ‎этапа‏ ‎и ‎его‏ ‎расшифровка‏ ‎с ‎помощью ‎ChaCha20.

📌Закрепление:‏ ‎Новая ‎версия‏ ‎не ‎поддерживает ‎закрепление ‎на‏ ‎зараженных‏ ‎устройствах.


Вредоносная ‎программа‏ ‎Hiatus ‎RAT

📌 Порт‏ ‎8816: HiatusRAT ‎проверяет ‎наличие ‎существующих ‎процессов‏ ‎на‏ ‎порту ‎8816,‏ ‎отключает ‎все‏ ‎существующие ‎службы ‎и ‎открывает ‎прослушиватель‏ ‎на‏ ‎этом‏ ‎порту.

📌 Сбор ‎информации:‏ ‎Собирает ‎информацию‏ ‎о ‎хосте‏ ‎и‏ ‎отправляет ‎ее‏ ‎на ‎сервер ‎C2 ‎для ‎отслеживания‏ ‎статуса ‎заражения‏ ‎и‏ ‎регистрации ‎информации ‎о‏ ‎скомпрометированном ‎хосте.

📌 Первоначальный‏ ‎доступ: Путем ‎использования ‎уязвимостей ‎во‏ ‎встроенном‏ ‎ПО ‎маршрутизатора‏ ‎или ‎с‏ ‎использованием ‎ненадежных ‎учетных ‎данных.

📌 Закрепление: используется ‎скрипт‏ ‎bash‏ ‎для ‎загрузки‏ ‎и ‎выполнения‏ ‎HiatusRAT ‎и ‎двоичного ‎файла ‎для‏ ‎перехвата‏ ‎пакетов



Лаборатория‏ ‎Black ‎Lotus‏ ‎обнаружила ‎новые‏ ‎вредоносные ‎кампании‏ ‎на‏ ‎маршрутизаторах

📌Black ‎Lotus‏ ‎Labs, ‎исследовательская ‎группа ‎по ‎изучению‏ ‎угроз ‎в‏ ‎Lumen‏ ‎Technologies ‎(ранее ‎CenturyLink),‏ ‎недавно ‎обнаружила‏ ‎две ‎крупные ‎кампании ‎вредоносных‏ ‎программ,‏ ‎нацеленных ‎на‏ ‎маршрутизаторы ‎и‏ ‎сетевые ‎устройства ‎разных ‎производителей. ‎Эти‏ ‎открытия‏ ‎свидетельствуют ‎о‏ ‎растущих ‎угрозах,‏ ‎с ‎которыми ‎сталкивается ‎инфраструктура ‎Интернета,‏ ‎и‏ ‎о‏ ‎необходимости ‎совершенствования‏ ‎методов ‎обеспечения‏ ‎безопасности.


Кампания ‎Hiatus

📌В‏ ‎марте‏ ‎2023 ‎года‏ ‎Black ‎Lotus ‎Labs ‎сообщила ‎о‏ ‎проведении ‎комплексной‏ ‎кампании‏ ‎под ‎названием ‎«Hiatus»,‏ ‎которая ‎с‏ ‎июня ‎2022 ‎года ‎была‏ ‎нацелена‏ ‎на ‎маршрутизаторы‏ ‎бизнес-класса, ‎в‏ ‎первую ‎очередь ‎на ‎модели ‎DrayTek‏ ‎Vigor‏ ‎2960 ‎и‏ ‎3900.

📌Злоумышленники ‎использовали‏ ‎маршрутизаторы ‎DrayTek ‎с ‎истекшим ‎сроком‏ ‎службы‏ ‎для‏ ‎обеспечения ‎долговременного‏ ‎сохранения ‎без‏ ‎обнаружения.

📌В ‎Интернете‏ ‎было‏ ‎опубликовано ‎около‏ ‎4100 ‎уязвимых ‎моделей ‎DrayTek, ‎при‏ ‎этом ‎Hiatus‏ ‎скомпрометировал‏ ‎примерно ‎100 ‎из‏ ‎них ‎в‏ ‎Латинской ‎Америке, ‎Европе ‎и‏ ‎Северной‏ ‎Америке.

📌После ‎заражения‏ ‎вредоносная ‎программа‏ ‎перехватывает ‎данные, ‎передаваемые ‎через ‎зараженный‏ ‎маршрутизатор,‏ ‎и ‎внедряет‏ ‎троянскую ‎программу‏ ‎удаленного ‎доступа ‎(RAT) ‎под ‎названием‏ ‎«HiatusRAT»,‏ ‎которая‏ ‎может ‎передавать‏ ‎вредоносный ‎трафик‏ ‎в ‎дополнительные‏ ‎сети.

📌Black‏ ‎Lotus ‎Labs‏ ‎отключила ‎маршрутизацию ‎серверов ‎управления ‎и‏ ‎разгрузки ‎(C2)‏ ‎на‏ ‎глобальной ‎магистрали ‎Lumen‏ ‎и ‎добавила‏ ‎индикаторы ‎компрометации ‎(IOCs) ‎в‏ ‎свою‏ ‎систему ‎быстрой‏ ‎защиты ‎от‏ ‎угроз, ‎чтобы ‎блокировать ‎угрозы ‎до‏ ‎того,‏ ‎как ‎они‏ ‎достигнут ‎сетей‏ ‎клиентов.


Кампания ‎Pumpkin ‎Eclipse

📌В ‎конце ‎октября‏ ‎2023‏ ‎года‏ ‎лаборатория ‎Black‏ ‎Lotus ‎Labs‏ ‎исследовала ‎массовый‏ ‎сбой,‏ ‎затронувший ‎определенные‏ ‎модели ‎шлюзов ‎ActionTec ‎(T3200s ‎и‏ ‎T3260s) ‎и‏ ‎Sagemcom‏ ‎(F5380) ‎в ‎сети‏ ‎одного ‎интернет-провайдера.

📌Более‏ ‎600 ‎000 ‎устройств ‎отображали‏ ‎красный‏ ‎индикатор, ‎указывающий‏ ‎на ‎вероятную‏ ‎проблему ‎с ‎повреждением ‎встроенного ‎ПО.

📌Атака‏ ‎была‏ ‎ограничена ‎определенным‏ ‎номером ‎автономной‏ ‎системы ‎(ASN), ‎затронув ‎около ‎49%‏ ‎устройств‏ ‎в‏ ‎этой ‎сети,‏ ‎подвергшихся ‎воздействию.

📌Лаборатории‏ ‎Black ‎Lotus‏ ‎обнаружили‏ ‎многоступенчатый ‎механизм‏ ‎заражения, ‎который ‎позволил ‎установить ‎Chalubo‏ ‎RAT ‎—‏ ‎ботнет,‏ ‎нацеленный ‎на ‎шлюзы‏ ‎SOHO ‎и‏ ‎устройства ‎Интернета ‎вещей.

📌Black ‎Lotus‏ ‎Labs‏ ‎добавила ‎IOC‏ ‎в ‎свою‏ ‎аналитическую ‎ленту ‎threat ‎intelligence, ‎пополнив‏ ‎портфель‏ ‎подключенных ‎средств‏ ‎безопасности ‎Lumen.

Читать: 3+ мин
logo Хроники кибер-безопасника

Взлом реестра для чайников: Удаление рекламы сложным способом с помощью OFGB (Oh Frick Go Back)

Инструмент ‎OFGB‏ ‎(Oh ‎Frick ‎Go ‎Back) предназначен ‎для‏ ‎удаления ‎рекламы‏ ‎из‏ ‎различных ‎частей ‎операционной‏ ‎системы ‎Windows‏ ‎11 ‎путем ‎изменения ‎определенных‏ ‎разделов‏ ‎в ‎реестре‏ ‎Windows.

Основные ‎возможности‏ ‎и ‎функционал

📌Удаление ‎рекламы: Основная ‎функция ‎OFGB‏ ‎заключается‏ ‎в ‎отключении‏ ‎рекламы, ‎появившейся‏ ‎в ‎обновлении ‎Windows ‎11 ‎от‏ ‎23‏ ‎апреля‏ ‎2024 ‎года.‏ ‎Эта ‎реклама‏ ‎появляется ‎в‏ ‎различных‏ ‎частях ‎операционной‏ ‎системы, ‎включая ‎проводник ‎и ‎меню‏ ‎«Пуск».

📌Модификация ‎реестра:‏ ‎Инструмент‏ ‎работает ‎путем ‎изменения‏ ‎определенных ‎разделов‏ ‎в ‎реестре ‎Windows. ‎Этот‏ ‎метод‏ ‎используется ‎для‏ ‎эффективного ‎отключения‏ ‎рекламы.

📌Написано ‎на ‎C# ‎и ‎WPF: OFGB‏ ‎разработан‏ ‎с ‎использованием‏ ‎C# ‎и‏ ‎Windows ‎Presentation ‎Foundation ‎(WPF), ‎которая‏ ‎предоставляет‏ ‎графический‏ ‎пользовательский ‎интерфейс‏ ‎для ‎этого‏ ‎инструмента.

📌Ссылки: Разделы ‎реестра‏ ‎и‏ ‎комментарии ‎к‏ ‎их ‎функциям ‎были ‎вдохновлены ‎сценарием‏ ‎Шона ‎Бринка.‏ ‎Кроме‏ ‎того, ‎на ‎тематику‏ ‎приложения ‎повлиял‏ ‎проект ‎Aldaviva ‎под ‎названием‏ ‎DarkNet.

📌Создание‏ ‎инструмента: Для ‎создания‏ ‎OFGB ‎пользователям‏ ‎потребуется ‎Visual ‎Studio ‎и ‎.NET‏ ‎8.0‏ ‎SDK. ‎Репозиторий‏ ‎можно ‎клонировать‏ ‎или ‎загрузить ‎в ‎виде ‎ZIP-файла,‏ ‎а‏ ‎решение‏ ‎можно ‎создать‏ ‎в ‎Visual‏ ‎Studio, ‎используя‏ ‎сочетание‏ ‎клавиш ‎Ctrl‏ ‎+ ‎Shift ‎+ ‎B ‎или‏ ‎пункт ‎меню‏ ‎«Сборка»‏ ‎> ‎«Создать ‎решение».

📌Безопасность‏ ‎и ‎распространение: Разработчик‏ ‎подчеркивает, ‎что ‎GitHub ‎является‏ ‎единственной‏ ‎официальной ‎платформой‏ ‎распространения ‎OFGB.‏ ‎Безопасность ‎загрузок ‎с ‎других ‎веб-сайтов‏ ‎не‏ ‎гарантируется.

📌Альтернативное ‎предложение: Для‏ ‎пользователей, ‎которые‏ ‎хотят ‎вообще ‎не ‎сталкиваться ‎с‏ ‎подобной‏ ‎рекламой,‏ ‎разработчик ‎в‏ ‎шутку ‎предлагает‏ ‎попробовать ‎Linux.

Преимущества‏ ‎OFGB:

📌Простой‏ ‎и ‎понятный‏ ‎интерфейс: ‎OFGB ‎предоставляет ‎простой ‎графический‏ ‎интерфейс ‎пользователя‏ ‎(GUI)‏ ‎с ‎флажками ‎для‏ ‎различных ‎типов‏ ‎рекламы, ‎что ‎позволяет ‎пользователям,‏ ‎не‏ ‎обладающим ‎техническими‏ ‎знаниями, ‎легко‏ ‎отключать ‎рекламу, ‎не ‎обращаясь ‎напрямую‏ ‎к‏ ‎реестру ‎Windows.

📌Комплексное‏ ‎удаление ‎рекламы: OFGB‏ ‎охватывает ‎широкий ‎спектр ‎рекламных ‎объявлений,‏ ‎включая‏ ‎те,‏ ‎что ‎находятся‏ ‎в ‎меню‏ ‎«Пуск», ‎проводнике,‏ ‎на‏ ‎экране ‎блокировки,‏ ‎в ‎приложении ‎«Настройки» ‎и ‎т.‏ ‎д., ‎предоставляя‏ ‎универсальное‏ ‎решение ‎для ‎удаления‏ ‎рекламы.

📌Открытый ‎исходный‏ ‎код ‎и ‎бесплатно: ‎Поскольку‏ ‎OFGB‏ ‎является ‎проектом‏ ‎с ‎открытым‏ ‎исходным ‎кодом, ‎доступным ‎на ‎GitHub,‏ ‎его‏ ‎можно ‎использовать‏ ‎бесплатно, ‎и‏ ‎дорабатывать ‎под ‎свои ‎нужды.

Недостатки ‎OFGB:

📌Ограниченная‏ ‎функциональность:‏ ‎В‏ ‎отличие ‎от‏ ‎более ‎комплексных‏ ‎инструментов, ‎таких‏ ‎как‏ ‎Shutup10 ‎или‏ ‎Wintoys, ‎OFGB ‎ориентирован ‎исключительно ‎на‏ ‎удаление ‎рекламы‏ ‎и‏ ‎не ‎предлагает ‎дополнительных‏ ‎функций ‎для‏ ‎обеспечения ‎конфиденциальности, ‎телеметрии ‎или‏ ‎других‏ ‎настроек ‎Windows.

📌Возможные‏ ‎проблемы ‎с‏ ‎совместимостью: ‎Поскольку ‎сторонний ‎инструмент ‎изменяет‏ ‎реестр‏ ‎Windows, ‎существует‏ ‎риск ‎возникновения‏ ‎проблем ‎с ‎совместимостью ‎или ‎конфликтов‏ ‎с‏ ‎будущими‏ ‎обновлениями ‎Windows,‏ ‎что ‎потенциально‏ ‎может ‎нарушить‏ ‎настройки‏ ‎удаления ‎рекламы.

📌Отсутствие‏ ‎автоматических ‎обновлений: ‎в ‎OFGB ‎отсутствует‏ ‎механизм ‎автоматического‏ ‎обновления,‏ ‎поэтому ‎пользователям ‎может‏ ‎потребоваться ‎вручную‏ ‎проверять ‎и ‎устанавливать ‎новые‏ ‎версии,‏ ‎поскольку ‎Microsoft‏ ‎вводит ‎новые‏ ‎типы ‎объявлений ‎или ‎изменяет ‎разделы‏ ‎реестра.

Для‏ ‎сравнения, ‎такие‏ ‎инструменты, ‎как‏ ‎Shutup10, ‎Wintoys ‎и ‎Tiny11 ‎Builder,‏ ‎предлагают‏ ‎более‏ ‎полную ‎функциональность,‏ ‎включая ‎средства‏ ‎управления ‎конфиденциальностью‏ ‎и‏ ‎телеметрией, ‎параметры‏ ‎настройки ‎и ‎возможность ‎создания ‎пользовательских‏ ‎образов ‎Windows.‏ ‎Однако‏ ‎эти ‎инструменты ‎могут‏ ‎оказаться ‎более‏ ‎сложными ‎в ‎использовании, ‎особенно‏ ‎для‏ ‎пользователей, ‎не‏ ‎обладающих ‎техническими‏ ‎знаниями.

Читать: 4+ мин
logo Хроники кибер-безопасника

ICSpector: Решение проблем криминалистики, о которых вы и не подозревали

Microsoft ‎ICS‏ ‎Forensics ‎Tools ‎(ICSpector) ‎— инструмент ‎с‏ ‎открытым ‎исходным‏ ‎кодом,‏ ‎предназначенный ‎для ‎проведения‏ ‎криминалистического ‎анализа‏ ‎промышленных ‎систем ‎управления ‎(ICS),‏ ‎в‏ ‎частности, ‎программируемых‏ ‎логических ‎контроллеров‏ ‎(PLC).

Технические ‎характеристики

Состав ‎и ‎архитектура

📌Модульная ‎конструкция:‏ ‎ICSpector‏ ‎состоит ‎из‏ ‎нескольких ‎компонентов,‏ ‎что ‎обеспечивает ‎гибкость ‎и ‎индивидуальную‏ ‎настройку‏ ‎в‏ ‎зависимости ‎от‏ ‎конкретных ‎потребностей.‏ ‎Пользователи ‎могут‏ ‎также‏ ‎добавлять ‎новые‏ ‎анализаторы.

📌Сетевой ‎сканер: ‎Идентифицирует ‎устройства, ‎взаимодействующие‏ ‎по ‎поддерживаемым‏ ‎протоколам‏ ‎OT, ‎и ‎обеспечивает‏ ‎их ‎работоспособность.‏ ‎Он ‎может ‎работать ‎с‏ ‎предоставленной‏ ‎IP-подсетью ‎или‏ ‎с ‎определенным‏ ‎списком ‎IP-адресов.

📌Извлечение ‎данных ‎и ‎анализатор:‏ ‎Извлекает‏ ‎метаданные ‎и‏ ‎логику ‎ПЛК,‏ ‎преобразуя ‎необработанные ‎данные ‎в ‎удобочитаемую‏ ‎форму,‏ ‎чтобы‏ ‎выделить ‎области,‏ ‎которые ‎могут‏ ‎указывать ‎на‏ ‎вредоносную‏ ‎активность.

Криминалистические ‎возможности

📌Идентификация‏ ‎скомпрометированных ‎устройств: ‎помогает ‎идентифицировать ‎скомпрометированные‏ ‎устройства ‎с‏ ‎помощью‏ ‎ручной ‎проверки, ‎автоматизированного‏ ‎мониторинга ‎или‏ ‎во ‎время ‎реагирования ‎на‏ ‎инциденты.

📌Создание‏ ‎моментальных ‎снимков: Позволяет‏ ‎создавать ‎моментальные‏ ‎снимки ‎проектов ‎контроллеров ‎для ‎сравнения‏ ‎изменений‏ ‎с ‎течением‏ ‎времени, ‎что‏ ‎помогает ‎обнаруживать ‎несанкционированное ‎вмешательство ‎или‏ ‎аномалии.

📌Поддержка‏ ‎ПЛК‏ ‎Siemens: В ‎настоящее‏ ‎время ‎поддерживаются‏ ‎семейства ‎Siemens‏ ‎SIMATIC‏ ‎S7-300 ‎и‏ ‎S7-400, ‎в ‎будущем ‎планируется ‎поддержка‏ ‎других ‎семейств‏ ‎ПЛК.

Интеграция‏ ‎с ‎другими ‎инструментами

📌Microsoft‏ ‎Defender ‎для‏ ‎Интернета ‎вещей: Может ‎использоваться ‎совместно‏ ‎с‏ ‎Microsoft ‎Defender‏ ‎для ‎Интернета‏ ‎вещей, ‎который ‎обеспечивает ‎безопасность ‎на‏ ‎сетевом‏ ‎уровне, ‎непрерывный‏ ‎мониторинг, ‎обнаружение‏ ‎активов, ‎угроз ‎и ‎управление ‎уязвимостями‏ ‎в‏ ‎средах‏ ‎Интернета ‎вещей/OT.

Примеры‏ ‎использования

📌Реагирование ‎на‏ ‎инциденты: активности ‎по‏ ‎реагированию‏ ‎на ‎инциденты‏ ‎позволяют ‎обнаружить ‎скомпрометированные ‎устройства ‎и‏ ‎понять, ‎был‏ ‎ли‏ ‎взломан ‎код ‎ПЛК.

📌Проактивная‏ ‎защита: Помогает ‎в‏ ‎проактивном ‎реагировании ‎на ‎инциденты,‏ ‎сравнивая‏ ‎программы ‎ПЛК‏ ‎на ‎инженерных‏ ‎рабочих ‎станциях ‎с ‎программами ‎на‏ ‎реальных‏ ‎устройствах ‎для‏ ‎обнаружения ‎несанкционированных‏ ‎изменений.

Отрасли

📌Атомные, ‎тепловые ‎и ‎гидроэлектростанции: Электростанции ‎в‏ ‎значительной‏ ‎степени‏ ‎зависят ‎от‏ ‎промышленных ‎систем‏ ‎управления ‎для‏ ‎управления‏ ‎критически ‎важными‏ ‎операциями. ‎ICSpector ‎можно ‎использовать ‎для‏ ‎обеспечения ‎целостности‏ ‎программируемых‏ ‎логических ‎контроллеров, ‎которые‏ ‎управляют ‎этими‏ ‎процессами. ‎Обнаруживая ‎любые ‎аномальные‏ ‎индикаторы‏ ‎или ‎скомпрометированные‏ ‎конфигурации, ‎ICSpector‏ ‎помогает ‎предотвратить ‎сбои ‎в ‎работе,‏ ‎которые‏ ‎могут ‎привести‏ ‎к ‎отключению‏ ‎электроэнергии ‎или ‎угрозе ‎безопасности.

📌Водоочистные ‎сооружения:‏ ‎На‏ ‎этих‏ ‎объектах ‎используются‏ ‎микросхемы ‎управления‏ ‎процессами ‎очистки,‏ ‎обеспечивающие‏ ‎безопасность ‎воды.‏ ‎ICSpector ‎может ‎помочь ‎в ‎мониторинге‏ ‎и ‎проверке‏ ‎целостности‏ ‎ПЛК, ‎гарантируя, ‎что‏ ‎процессы ‎очистки‏ ‎воды ‎не ‎будут ‎нарушены,‏ ‎что‏ ‎имеет ‎решающее‏ ‎значение ‎для‏ ‎здоровья ‎и ‎безопасности ‎населения.

📌Промышленное ‎производство:‏ ‎В‏ ‎производственных ‎условиях‏ ‎микросхемы ‎используются‏ ‎для ‎управления ‎оборудованием ‎и ‎производственными‏ ‎линиями.‏ ‎ICSpector‏ ‎можно ‎использовать‏ ‎для ‎обнаружения‏ ‎любых ‎несанкционированных‏ ‎изменений‏ ‎или ‎аномалий‏ ‎в ‎ПЛК, ‎обеспечивая ‎стабильное ‎качество‏ ‎продукции ‎и‏ ‎предотвращая‏ ‎дорогостоящие ‎простои ‎из-за‏ ‎отказа ‎оборудования.

📌Сектора‏ ‎критической ‎инфраструктуры: сюда ‎входят ‎такие‏ ‎отрасли,‏ ‎как ‎энергетика,‏ ‎водоснабжение, ‎транспорт‏ ‎и ‎системы ‎связи. ‎ICSpector ‎можно‏ ‎использовать‏ ‎для ‎защиты‏ ‎систем ‎управления‏ ‎этими ‎критически ‎важными ‎инфраструктурами ‎от‏ ‎кибератак,‏ ‎обеспечивая‏ ‎их ‎непрерывную‏ ‎и ‎безопасную‏ ‎работу.

📌Предприятия ‎химической‏ ‎промышленности:‏ ‎На ‎этих‏ ‎предприятиях ‎используются ‎микросхемы ‎для ‎управления‏ ‎сложными ‎химическими‏ ‎процессами.‏ ‎ICSpector ‎может ‎помочь‏ ‎в ‎обеспечении‏ ‎безопасности ‎ПЛК, ‎управляющих ‎этими‏ ‎процессами,‏ ‎и ‎их‏ ‎исправности, ‎что‏ ‎жизненно ‎важно ‎для ‎предотвращения ‎опасных‏ ‎инцидентов.

📌Нефтегазовая‏ ‎промышленность: ‎Системы‏ ‎ICS ‎широко‏ ‎используются ‎в ‎нефтегазовом ‎секторе ‎для‏ ‎процессов‏ ‎бурения,‏ ‎переработки ‎и‏ ‎распределения. ‎ICSpector‏ ‎можно ‎использовать‏ ‎для‏ ‎мониторинга ‎и‏ ‎проверки ‎целостности ‎этих ‎систем, ‎предотвращая‏ ‎сбои, ‎которые‏ ‎могут‏ ‎привести ‎к ‎значительным‏ ‎финансовым ‎потерям‏ ‎и ‎ущербу ‎окружающей ‎среде

Читать: 2+ мин
logo Хроники кибер-безопасника

Трассировка лучей на ZX Spectrum: Кому нужны современные графические процессоры, когда Вы можете потратить выходные на рендеринг одного кадра, чтобы доказать, что мазохизм может быть отличным хобби?

Проект ‎ZX‏ ‎Raytracer ‎не ‎только ‎демонстрирует ‎возможность‏ ‎внедрения ‎трассировщика‏ ‎лучей‏ ‎в ‎ZX ‎Spectrum,‏ ‎но ‎и‏ ‎служит ‎образовательным ‎ресурсом, ‎посвященным‏ ‎истории‏ ‎вычислительной ‎техники,‏ ‎и ‎источником‏ ‎вдохновения ‎для ‎будущих ‎проектов ‎в‏ ‎области‏ ‎ретро-вычислений, ‎встраиваемых‏ ‎систем ‎и‏ ‎методов ‎оптимизации


Ключевые ‎моменты ‎и ‎потенциальные‏ ‎области‏ ‎применения

📌Реализация‏ ‎Raytracer ‎на‏ ‎устаревшем ‎оборудовании:‏ ‎Проект ‎демонстрирует‏ ‎возможность‏ ‎реализации ‎raytracer,‏ ‎технологии ‎рендеринга ‎графики, ‎требующей ‎больших‏ ‎вычислительных ‎затрат,‏ ‎на‏ ‎ZX ‎Spectrum, ‎домашнем‏ ‎компьютере ‎1980-х‏ ‎годов ‎с ‎очень ‎ограниченными‏ ‎аппаратными‏ ‎возможностями ‎(процессор‏ ‎Z80A ‎с‏ ‎частотой ‎3,5 ‎МГц ‎и ‎часто‏ ‎всего‏ ‎16Кб ‎оперативной‏ ‎памяти).

📌Преодоление ‎аппаратных‏ ‎ограничений: ‎Несмотря ‎на ‎серьезные ‎аппаратные‏ ‎ограничения,‏ ‎проект‏ ‎преодолел ‎такие‏ ‎проблемы, ‎как‏ ‎цветовые ‎ограничения,‏ ‎низкое‏ ‎разрешение ‎256×176‏ ‎пикселей ‎и ‎низкую ‎производительность ‎(начальное‏ ‎время ‎рендеринга‏ ‎17‏ ‎часов ‎на ‎кадр)‏ ‎благодаря ‎продуманной‏ ‎оптимизации ‎и ‎приближениям.

📌Образовательный ‎инструмент: Проект‏ ‎может‏ ‎быть ‎использован‏ ‎в ‎качестве‏ ‎учебного ‎пособия ‎на ‎курсах ‎информатики,‏ ‎особенно‏ ‎тех, ‎которые‏ ‎посвящены ‎компьютерной‏ ‎графике, ‎методам ‎оптимизации ‎или ‎низкоуровневому‏ ‎программированию.

📌Выставки‏ ‎ретро-игр‏ ‎и ‎демосцены: Raytracer‏ ‎можно ‎демонстрировать‏ ‎на ‎ретро-компьютерных‏ ‎мероприятиях,‏ ‎вечеринках-демосценах ‎или‏ ‎выставках, ‎посвященных ‎достижениям ‎винтажного ‎оборудования‏ ‎и ‎программирования.

📌Разработка‏ ‎встраиваемых‏ ‎систем: ‎Методы ‎оптимизации‏ ‎и ‎аппроксимации,‏ ‎использованные ‎в ‎этом ‎проекте,‏ ‎могут‏ ‎вдохновить ‎разработчиков,‏ ‎работающих ‎над‏ ‎встраиваемыми ‎системами ‎или ‎устройствами ‎с‏ ‎ограниченными‏ ‎ресурсами, ‎где‏ ‎решающее ‎значение‏ ‎имеет ‎эффективное ‎использование ‎ограниченных ‎ресурсов.

📌Знакомство‏ ‎с‏ ‎историей‏ ‎вычислительной ‎техники:‏ ‎Проект ‎может‏ ‎быть ‎представлен‏ ‎в‏ ‎музеях ‎или‏ ‎на ‎выставках, ‎посвященных ‎истории ‎вычислительной‏ ‎техники, ‎демонстрируя‏ ‎изобретательность‏ ‎и ‎творческий ‎подход‏ ‎первых ‎программистов,‏ ‎работавших ‎с ‎ограниченными ‎аппаратными‏ ‎ресурсами.

📌Вдохновение‏ ‎для ‎будущих‏ ‎проектов: ‎Успех‏ ‎этого ‎проекта ‎может ‎побудить ‎других‏ ‎изучить‏ ‎возможности ‎устаревшего‏ ‎оборудования ‎или‏ ‎взяться ‎за ‎аналогичные ‎сложные ‎проекты,‏ ‎расширяя‏ ‎границы‏ ‎возможного ‎на‏ ‎старых ‎системах.

Показать еще

Обновления проекта

Метки

хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов

Фильтры

Пн
Вт
Ср
Чт
Пт
Сб
Вс
28
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048