Борис Марцинкевич на ПМЭФ - вопросы и ответы
Газовый каннибализм: Канада "душит" Европу, которая рискует остаться без газа к середине зимы. ЕС, Израиль и Египет обсудили поставки газа, которого не будет.
Все самое интересное из мира энергетики за неделю и не только.
Энергетическая нищета Европы - центробежные силы внутри Евросоюза.
Дайджест новостей энергетики за неделю и налог Путина в США на бензин и продукты.
Как повлияет взрыв на СПГ заводе в Техасе на заполнение ПХГ в Европе?
Как повлияет взрыв на СПГ заводе в Техасе на заполнение ПХГ в Европе?
Как идет выбор темы ролика? "скрытая камера"
Многие интересуются, а как рождаются ролики? Почему множество "хайповых" тем остаются не тронутыми. Ведущие не знали что мы их "пишем.
Отсутствие аутентификации Telerik — новая функциональная возможность
Уязвимости Telerik Report Server, идентифицированные как CVE-2024-4358 и CVE-2024-1800, позволяют злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код на уязвимых серверах.
Схема атаки
📌Первоначальный доступ: злоумышленник идентифицирует уязвимый экземпляр сервера отчетов Telerik.
📌Использование CVE-2024-4358: Злоумышленник отправляет обработанный запрос на конечную точку /Startup/Register для создания новой учетной записи администратора.
📌Повышение привилегий: Злоумышленник входит в систему, используя только что созданную учетную запись администратора.
📌Использование CVE-2024-1800: Злоумышленник создает вредоносный отчет, который использует уязвимость десериализации для выполнения произвольного кода.
📌Выполнение команды: Злоумышленник выполняет произвольные команды на сервере, добиваясь удаленного выполнения кода.
Сценарий атаки
Идентификация цели:
📌Злоумышленник идентифицирует уязвимый экземпляр сервера отчетов Telerik, как правило, путем сканирования общедоступных экземпляров с помощью таких инструментов, как Shodan.
Обход проверки подлинности (CVE-2024-4358):
📌Злоумышленник использует уязвимость в мастере настройки сервера отчетов Telerik для обхода проверки подлинности. Эта уязвимость позволяет злоумышленнику создать новую учетную запись администратора без предварительной проверки подлинности.
📌Конкретной используемой конечной точкой является Telerik.ReportServer.Web.dll! Telerik.ReportServer.Web.Controllers.StartupController.Register, которая не проверяет, был ли процесс установки уже завершен.
📌Злоумышленник отправляет созданный HTTP-запрос на конечную точку /Startup/Register для создания новой учетной записи администратора:
curl 'http://TARGET_HERE/Startup/Register' -d 'Username=USERNAME_HERE& Password=PASSWORD_HERE& ConfirmPassword=PASSWORD_HERE& Email=backdoor%http://40admin.com& FirstName=backdoor& LastName=user'
Создание учетной записи и проверка подлинности:
📌После успешной эксплуатации злоумышленник получает привилегированный доступ к серверу отчетов Telerik, используя только что созданную учетную запись администратора.
📌Злоумышленник входит в систему, используя учетные данные учетной записи backdoor, созданной на предыдущем шаге.
Эксплойт десериализации (CVE-2024-1800):
📌Имея административный доступ, злоумышленник использует уязвимость десериализации на сервере отчетов Telerik для выполнения произвольного кода на сервере.
📌Злоумышленник создает вредоносный отчет, который запускает ошибку десериализации, позволяя выполнять произвольные команды на сервере.
📌Скрипт PoC автоматизирует этот процесс, включая генерацию случайных имен пользователей и паролей для бэкдорской учетной записи и создание отчета о вредоносных программах:
python http://CVE-2024-4358.py --target http://192.168.253.128:83 -c «whoami»
От нефти к микросхемам: Новейшая схема быстрого обогащения в ОАЭ
ОАЭ активно развивают партнерские отношения, особенно с США, и привлекают инвестиции для создания собственного производства передовых полупроводников, которые важны для их стремления стать мировым лидером в области искусственного интеллекта и технологическим центром.
Планы ОАЭ по производству полупроводников
📌ОАЭ активно стремятся к партнерству с Соединенными Штатами для создания передовых полупроводниковых чипов, имеющих решающее значение для приложений искусственного интеллекта (ИИ).
📌Омар Аль-Олама, государственный министр ОАЭ по вопросам искусственного интеллекта, подчеркнул, что «это сработает только в том случае, если мы сможем наладить устойчивые и долгосрочные партнерские отношения с такими странами, как США, где мы можем создавать передовые чипы».
📌ОАЭ стремятся разрабатывать чипы нового поколения, а не конкурировать по цене с более дешевыми аналогами от крупных производителей.
📌Создание производства полупроводников в регионе Персидского залива сталкивается с серьезными препятствиями, такими как получение одобрения правительства США из-за региональных связей с Китаем, привлечение талантов и опыта со всего мира.
Финансирование собственных чипов искусственного интеллекта
📌Государственная группа MGX из Абу-Даби ведет переговоры о поддержке планов OpenAI по разработке собственных полупроводниковых чипов для искусственного интеллекта.
📌OpenAI ищет инвестиции в размере триллионов долларов по всему миру для внутреннего производства чипов для искусственного интеллекта и снижения зависимости от Nvidia.
📌 Потенциальные инвестиции MGX соответствуют стратегии ОАЭ по размещению Абу-Даби в центре «стратегии развития искусственного интеллекта с глобальными партнерами по всему миру».
Стратегическая важность
📌Современные полупроводники являются важнейшими компонентами в цепочке поставок ИИ, необходимыми для обработки огромных объемов данных, необходимых для приложений ИИ.
📌Развитие внутреннего производства полупроводников является ключевой частью стремления ОАЭ стать ведущим технологическим центром и диверсифицировать свою экономику, не ограничиваясь добычей нефти.
📌Партнерство с США в области производства полупроводников помогло бы снять обеспокоенность по поводу связей ОАЭ с Китаем в важных технологических секторах.
Как превратить базу данных по уязвимостям в центр распространения вредоносных программ
В статье «Использование Национальной базы данных уязвимостей для распространения вредоносного ПО» от Nozomi Networks обсуждаются потенциальные риски и уязвимости, связанные с NVD.
📌NVD — палка о двух концах: Предполагается, что NVD — это настоящая сокровищница для профессионалов в области кибербезопасности, но угадайте, что? Это также золотая жила для киберпреступников. Они могут легко получить доступ к подробной информации об уязвимостях, что превращает их работу по разработке эксплойтов в прогулку по парку.
📌Распространение вредоносных программ через NVD: Представьте себе иронию — для распространения вредоносных программ используется база данных, предназначенная для нашей защиты. Киберпреступники могут вставлять вредоносные ссылки в записи NVD, и ничего не подозревающие пользователи могут просто переходить по ним, думая, что получают доступ к легитимным ресурсам.
📌Автоматизированные инструменты и сценарии: Автоматизированные инструменты, которые сканируют сетевую систему на наличие уязвимостей, могут быть взломаны. Этими инструментами, разработанными для обеспечения безопасности организаций, можно манипулировать для загрузки и запуска вредоносного ПО.
📌Проблемы с доверием: Многие доверяют NVD, но этим доверием можно воспользоваться. Если киберпреступникам удастся внедрить вредоносные данные в NVD, они могут использовать это доверие для широкого распространения своих вредоносных программ. Не доверяйте никому, даже своему любимому NVD.
📌Стратегии снижения рисков: Конечно, есть способы снизить эти риски, но они требуют усилий. Организациям необходимо проверять данные, которые они извлекают из NVD, и обеспечивать безопасность своих автоматизированных инструментов.
Темная сторона LSASS
Проект EvilLsassTwin на GitHub, размещенный в репозитории Nimperiments, посвящен конкретному методу извлечения учетных данных из процесса Local Security Authority Subsystem Service (LSASS) в системах Windows.
📌Цель: Цель проекта — продемонстрировать метод сброса учетных данных из процесса LSASS, который является распространенной целью злоумышленников, стремящихся получить конфиденциальную информацию, такую как пароли и токены.
📌Техника: Метод предполагает создание «двойника» процесса LSASS. Этот двойной процесс используется для обхода определенных механизмов безопасности, которые защищают исходный процесс LSASS от прямого доступа.
📌Внедрение: Проект предусматривает детальную реализацию методики, включая необходимый код и шаги для воспроизведения процесса. Это включает в себя создание дубликата процесса LSASS, использование дублирующего процесса для чтения памяти исходного процесса LSASS, извлечение учетных данных из памяти исходного процесса LSASS.
📌Доступность кода: Полный исходный код и документация доступны на странице GitHub, что позволяет пользователям детально изучить и понять технологию.
Влияние и последствия для отрасли
📌Повышенный риск кражи учетных данных: технология EvilLsassTwin выявляет уязвимость процесса LSASS, в котором хранится конфиденциальная информация, такая как зашифрованные пароли, хэши NT, хэши LM и запросы Kerberos. Злоумышленники, использующие этот метод, могут получить несанкционированный доступ к этим учетным данным, что может привести к потенциальным утечкам данных и несанкционированному доступу к критически важным системам.
📌Распространение и повышение привилегий: Как только злоумышленники получают учетные данные из процесса LSASS, они могут использовать их для распространения по сети, повышая свои привилегии и компрометируя дополнительные системы. Это может привести к широкомасштабной компрометации сети, что затруднит организациям сдерживание атаки.
📌Реальные примеры: Атака программы-вымогателя BlackCat является ярким примером того, как злоумышленники использовали сброс данных из памяти LSASS для извлечения учетных данных. Они изменили конфигурацию WDigest, чтобы считывать пароли учетных записей пользователей, и использовали такие инструменты, как Mimikatz, для выполнения дампа, что позволило им получить дополнительный доступ и перемещаться по сети в поперечном направлении.
Безопасность Check Point и реальность CVE-2024-24919
Технические подробности и практика использования CVE-2024-24919 в реальных условиях подчеркивают критический характер этой уязвимости и важность оперативного устранения для защиты от потенциальных утечек данных и сетевых компрометаций.
Описание уязвимости
📌 CVE-2024-24919 — уязвимость, связанная с раскрытием информации, которая позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, считывать содержимое произвольных файлов на уязвимом устройстве.
📌 Уязвимость классифицируется как «Передача конфиденциальной информации неавторизованному субъекту».
📌 Уязвимость затрагивает системы с удаленным доступом мобильным или VPN.
Уязвимые Продукты
📌CloudGuard Network
📌Quantum Maestro
📌Quantum Scalable Chassis
📌Quantum Security Gateways
📌Quantum Spark Appliances
Подробности Эксплуатации
📌 Уязвимостью можно воспользоваться, отправив созданный запрос на конечную точку /clients/MyCRL, которая предназначена для обработки статических файлов из файловой системы.
📌 Включая в текст запроса последовательности обхода пути, такие как ././etc/passwd, злоумышленник может считывать конфиденциальные файлы, такие как /etc/shadow, для получения хэшей паролей.
📌 Уязвимость позволяет считывать любой файл в системе, а не только конкретные файлы, указанные поставщиком.
PoC
📌 Исследователи в области безопасности опубликовали общедоступный PoC-эксплойт для CVE-2024-24919, содержащий технические подробности о том, как использовать уязвимость.
📌 PoC демонстрирует способность считывать произвольные файлы, включая извлечение хэшей паролей и другой конфиденциальной информации.
Практическое применение
📌 Компания Check Point наблюдала активную эксплуатацию этой уязвимости вживую с начала апреля 2024 года.
📌 Злоумышленники использовали уязвимость для извлечения хэшей паролей, перемещения по сетям и компрометации серверов Active Directory путем извлечения файла ntds.dit.
Анализ кода
Первоначальный анализ:
📌 Уязвимый код выполняет операции ввода-вывода файлов, на которые указывают ссылки на такие функции, как _fopen и _fread.
📌 Код сравнивает запрошенный URL-адрес со списком жестко заданных строк из таблицы строк, чтобы определить, может ли файл быть обработан.
Ошибка сравнения строк:
📌 В коде используется функция strstr для проверки того, содержит ли запрашиваемый URL-адрес какие-либо строки из таблицы. Эта функция выполняет поиск подстроки, а не строгое сравнение.
📌 Это позволяет злоупотреблять кодом, включив допустимую подстроку в последовательность обхода пути, такую как http://icsweb.cab/././etc/passwd.
Использование обхода пути:
📌 Первоначальные попытки использовать обход пути путем включения в URL-адрес последовательностей типа ././etc/passwd завершились неудачей, поскольку операционная система правильно определила путь как недопустимый.
📌 Была найдена вторая таблица строк, содержащая записи, указывающие на пути к каталогам, такие как CSHELL/.
Эксплуатация:
📌 Создав запрос, который включал строку каталога CSHELL/, за которой следовала последовательность обхода пути, исследователи смогли обойти проверки.
📌 Запрос был выполнен успешно:
POST /clients/MyCRL HTTP/1.1
Host: <redacted>
Content-Length: 39
aCSHELL/./././././././etc/shadow
📌 Этот запрос вернул содержимое файла /etc/shadow, подтвердив уязвимость для произвольного чтения файла.
Последствия:
📌 Возможность чтения файла /etc/shadow указывает на то, что злоумышленник обладает правами суперпользователя, позволяющими ему читать любой файл в файловой системе.
📌 Это более серьезная проблема, чем рекомендация поставщика, которая предполагала ограниченный доступ к информации.
Автохакатон
В блоге подробно рассказывается об их участии в двух хакатонах, организованных кампусом киберзащиты armasuisse Science and Technology.
Хакатон ICS
📌Фокус: Криминалистика и обнаружение атак в промышленных системах управления (ICS).
Мероприятия:
📌Реверс-анализ встроенного ПО в сценариях SCADA.
📌Анализ сетевого трафика.
📌Практическое техническое обучение по ICS forensics.
📌Разработка и тестирование атак в имитируемой среде SCADA.
Инструменты и устройства:
📌ABB Relion 670, Elvexys XPG, Omicron Stationguard RBX1 и Omicron CMC256-6.
📌Датчик Guardian от Nozomi Networks использовался для идентификации устройств и версий встроенного ПО.
Результаты:
📌Навыки анализа устройств SCADA.
📌Понимание фирменных протоколов.
📌Вклад в коллективные знания в области кибербезопасности посредством сбора и анализа данных.
Автомобильный хакатон
📌Фокус: Автомобильная кибербезопасность, в частности, направления атак на электромобили и их уязвимости.
Мероприятия:
📌Анализ встроенного программного обеспечения информационно-развлекательной системы автомобиля.
📌Изучение возможностей беспроводных атак.
📌Взаимодействие с электромобилями (Renault Zoes, Skoda Octavia, Skoda Enyaq IV 80, Honda).
Инструменты:
📌Донглы OBD2, адаптеры CAN-to-USB, HackRF, USRP, антенны Wi-Fi/Bluetooth.
Интересная презентация:
📌Атака «Broken Wire» на комбинированную систему зарядки (CCS) электромобилей, демонстрирующая, как воспроизведение специального пакета может нарушить процесс зарядки.
Покушение на Трампа // Youtube замедлили // Израиль атакует Ливан № 101
Сотрудничество — ikakprosto.commercial@gmail.com
Мой Бусти — https://boosty.to/ikakprosto
Эксклюзивный контент — https://taplink.cc/ikakprosto
Мой магазин — https://podsas.ru
ВКонтакте — https://vk.com/ikakprosto
На Рутубе — https://rutube.ru/channel/21014334/
Телеграм — https://t.me/ikakprosto
В Дзене –
Аудиоверсия — https://band.link/ikakprosto
Таймкоды:
00:00 Начало
03:24 Новый Шрек
04:20 Шелли Дюваль
04:58 Революция в Нью-Йорке
15:07 Самолёты
25:35 Захват территорий
35:18 Новости спорта
41:51 Шестидневка
43:43 Смерть MTV
44:50 Жизнь WikiLeaks
49:17 Снова выборы
01:00:17 Вован и Лексус
01:03:53 Новые санкции
01:14:03 Иволга 4.0
01:15:53 Иноагенты
01:19:23 Саммит ШОС
01:21:40 Выходки Байдена
01:40:51 Покушение на Трампа
01:50:21 Выборы во Франции
01:52:14 Запрет поцелуев
01:53:07 Слоны в Грузии
01:56:08 «Свобода слова»
01:59:44 Африканские слоны
02:01:27 Новости с фронта
02:18:05 Блокировка YouTube
Системно значимые организации: от руководящих принципов к директивам NSM-22
NSM-22 представляет собой обновление политики безопасности критической инфраструктуры США, в котором особое внимание уделяется обязательному соблюдению требований, усиленному управлению рисками и расширению сотрудничества. Владельцы и операторы критической инфраструктуры должны подготовиться к этим изменениям, чтобы обеспечить безопасность и устойчивость своей деятельности.
Обновленная основа политики:
📌NSM-22 модернизирует основы политики в целях противодействия технологическому прогрессу, растущим угрозам и геополитической напряженности.
📌Министерству внутренней безопасности (DHS) и Агентству по кибербезопасности и защите инфраструктуры (CISA) поручено возглавить скоординированные усилия по управлению рисками в 16 важнейших инфраструктурных секторах.
Агентства по управлению отраслевыми рисками (SRMAS):
📌Меморандум подтверждает определение 16 секторов критической инфраструктуры и соответствующих SRMA, которые координируют деятельность в каждом секторе.
📌SRMA отвечают за разработку планов управления рисками для конкретного сектора и координацию с CISA.
Минимальные требования к безопасности и отказоустойчивости:
📌В NSM-22 особое внимание уделяется разработке минимальных требований к безопасности и отказоустойчивости для объектов критически важной инфраструктуры, переходя от добровольных стандартов к обязательному соблюдению.
📌Перед регулирующими и надзорными органами поставлена задача разработать эти требования и механизмы подотчетности.
Системно важные организации (SIE):
📌CISA поручено определить и поддерживать закрытый для общественности список SIE, которые получат приоритетный доступ к информации о снижении рисков и оперативным ресурсам.
Новый цикл управления рисками:
📌NSM-22 вводит новый цикл управления рисками, требующий от SRMA выявлять, оценивать и определять приоритеты рисков в своих секторах. Кульминацией этого цикла станет разработка Национального плана управления рисками в сфере инфраструктуры на 2025 год.
Последствия для владельцев и операторов критически важной инфраструктуры
Усиление регулирования:
📌NSM-22 знаменует собой значительный сдвиг в сторону регулирования, и в течение следующих 18 месяцев ожидается переход от добровольных стандартов к обязательному соблюдению.
📌Владельцам и операторам следует подготовиться к принятию новых директив и правил в области кибербезопасности, особенно в таких секторах, как аэропорты, трубопроводы, нефтегазовая отрасль и железнодорожный транспорт.
Распределение ресурсов:
📌Соблюдение новых правил и дублирующих друг друга мандатов может быть дорогостоящим и трудоемким процессом. Организациям необходимо будет обеспечить безопасное осуществление инвестиций и их интеграцию в операционную деятельность.
📌В меморандуме не упоминаются дополнительные ресурсы для тех, кто находится на передовой, для чего в будущем может потребоваться финансирование со стороны Конгресса.
Кибер-защита:
📌Владельцы должны усилить свою кибер-защиту, чтобы защитить активы, обеспечить непрерывность работы и выполнить свою общественную миссию. Последствия невыполнения этого требования включают физический, финансовый и репутационный ущерб.
Сотрудничество:
📌Эффективное управление рисками потребует сотрудничества между федеральными агентствами, органами государственной власти штатов и местного самоуправления, организациями частного сектора и другими заинтересованными сторонами.
📌Владельцам и операторам следует взаимодействовать с отраслевыми координационными советами и соответствующими регулирующими органами, чтобы быть в курсе новых требований и соответствовать им.
CVE-2024-27130 в QNAP: Когда «безопасность» всего лишь маркетинговая уловка
В статье «QNAP QTS — QNAPping за рулем (CVE-2024-27130 и другие уязвимости)» от WatchTowr Labs представлен подробный анализ нескольких уязвимостей, обнаруженных в устройствах QNAP NAS.
CVE-2024-27130. Переполнение стека в share.cgi: Уязвимость возникает из-за небезопасного использования функции strcpy в функции No_Support_ACL, которая доступна через функцию get_file_size в share.cgi. Это приводит к переполнению стека и возможности удаленного выполнения кода (RCE)
Сценарий атаки:
📌Шаг 1: Первоначальный доступ: Злоумышленнику нужна действительная учетная запись пользователя NAS, чтобы воспользоваться этой уязвимостью. Учётная запись может быть получена с помощью фишинга, утечки учетных данных или использования другой уязвимости для получения первоначального доступа.
📌Шаг 2: Общий доступ к файлам: Злоумышленник предоставляет общий доступ к файлу с пользователем. Это действие запускает функцию get_file_size в share.cgi.
📌Шаг 3: Использование: далее происходит вызов No_Support_ACL, которая небезопасно использует strcpy, что приводит к переполнению буфера. Переполнение достигается засчёт вредоносной полезной нагрузки, которая и переполняет буфер, с последующим внедрением вредоносного кода.
📌Шаг 4: Удаленное выполнение кода: Переполненный буфер позволяет выполнить произвольный код на устройстве NAS, потенциально предоставляя полный контроль над системой.
Связанные уязвимости
📌CVE-2024-27129: Небезопасное использование strcpy в функции get_tree в utilRequest.cgi, приводящее к переполнению статического буфера и RCE с требованием наличия действительной учетной записи на устройстве NAS.
📌CVE-2024-27131: Спуфинг «x-forwarded-for» приводит к возможности загрузки файла из произвольного исходного местоположения при наличии возможности загрузки файла.
📌WT-2024-0004: Stored XSS с помощью удаленных сообщений системного журнала при наличии настроек не по умолчанию.
📌WT-2024-0005: Stored XSS с помощью удаленного обнаружения устройств без каких-либо условий для выполнения.
📌WT-2024-0006: Отсутствие ограничения скорости в API аутентификации без каких-либо условий для выполнения
Патчи:
📌Доступны исправления: Первые четыре уязвимости (CVE-2024-27129, CVE-2024-27130, CVE-2024-27131 и WT-2024-0004) были исправлены в следующих версиях: QTS 5.1.6.2722, сборка 20240402 и более поздние версии, QuTS hero h5.1.6.2734, сборка 20240414. и более поздней
📌Ответ поставщика: Поставщик признал наличие уязвимостей и работает над их устранением.
Цифровая благотворительная организация OFAC: кубинцы получают социальные сети и видеоигры
28 мая 2024 года Управление по контролю за иностранными активами Министерства финансов США (OFAC) объявило о внесении изменений в Правила контроля за активами Кубы (CACR), направленных на продвижение свободы Интернета, поддержку независимых кубинских предпринимателей частного сектора и расширение доступа к финансовым услугам для граждан Кубы. Эти изменения включают в себя обновленные определения, авторизацию банковских счетов в США для кубинских предпринимателей, восстановление ряда транзакций и новое требование к отчетности по электронной почте для транзакций, связанных с телекоммуникациями
📌Официальное заявление OFAC: 28 мая 2024 года Управление по контролю за иностранными активами Министерства финансов США (OFAC) решило проявить некоторую щедрость, внеся поправки в Правила контроля за кубинскими активами (CACR). Предполагается, что эти изменения со всем демократическим благородством направлены на продвижение свободы Интернета на Кубе и поддержку независимых кубинских предпринимателей частного сектора.
📌Интернет-сервисы: OFAC любезно расширил список разрешенных интернет-сервисов. Теперь кубинцы могут пользоваться платформами социальных сетей, видеоконференциями, электронными играми, аутентификацией пользователей и услугами мгновенного перевода. Ведь ничто так не говорит о свободе и демократии, как увеличение количества социальных сетей и видеоигр… ах, да и Apple Pay.
📌Независимые предприниматели в частном секторе: термин «самозанятое физическое лицо» был заменен на «независимый предприниматель в частном секторе». Это новое определение включает в себя самозанятых физических лиц, частные кооперативы и малые частные предприятия. Но не волнуйтесь, демократия со всей строгостью не забыла, что надо исключать некоторые категории: запрещенные должностные лица кубинского правительства и члены коммунистической партии.
📌Банковские счета в США: Кубинские предприниматели теперь могут открывать и использовать банковские счета в США, включая платформы онлайн-платежей, для авторизованных транзакций. Однако, если вы являетесь кубинским предприятием, принадлежащим правительственному чиновнику или члену коммунистической партии, вам не повезло!
📌Запрещённые транзакции (U-Turn операции): OFAC восстановил авторизацию для ряда операций и теперь банки США могут обрабатывать денежные переводы, которые начинаются и заканчиваются за пределами США, при условии, что ни отправитель, ни получатель не подпадают под юрисдикцию США. Любители офшоров, вас ждут на Кубе.
📌Требования к отчетности по электронной почте: OFAC вступает в 21 век, заменяя процесс составления отчетов по факсу и бумажной почте отчетами по операциям, связанным с телекоммуникациями, на отчеты по электронной почте. OFAC держит руку на пульсе развития цивилизации, ведь только в США определяют, когда кому-то разрешено войти в век цифровых технологий!
📌 Усилия администрации Байдена: Эти поправки являются частью продолжающихся усилий администрации Байдена по смягчению экономического давления на частный сектор Кубы при сохранении напряженности в отношениях с кубинским правительством. В конце концов, «всё очень сложно» и «нельзя ничего не делать — надо что-то уже сделать».
📌Исторический контекст: Этот шаг напоминает политику администрации Обамы в 2015 году, которая ослабила торговые ограничения в отношении Кубы, которые были частично отменены администрацией Трампа в 2017 году.
Привилегии суперпользователя для чайников: просто используй CVE-2024-3400
CVE-2024-3400 (+ url + github url#1, url#2) — это критическая уязвимость при внедрении команд в программное обеспечение Palo Alto Networks для PAN-OS, которая, в частности, влияет на функцию GlobalProtect. Эта уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с правами суперпользователя на уязвимом брандмауэре. Уязвимость затрагивает версии PAN-OS 10.2, 11.0 и 11.1 при настройке с помощью GlobalProtect gateway или GlobalProtect portal.
Первоначальное обнаружение и использование:
📌Уязвимость была впервые обнаружена Volexity 26 марта 2024 года.
📌Злоумышленники, идентифицированные как поддерживаемая государством группа UTA0218, воспользовались уязвимостью для получения несанкционированного доступа к устройствам брандмауэра.
Вектор атаки:
📌Уязвимость используется с помощью ошибки фильтрации команд в функции GlobalProtect. Злоумышленники могут манипулировать cookie SESSID для создания произвольных файлов в системе, которые затем могут быть использованы для выполнения команд с правами суперпользователя.
📌Атака не требует аутентификации, что делает ее чрезвычайно опасной ввиду низкой сложности применения.
Последовательность действий:
Шаг 1: Разведка:
📌Злоумышленники сканируют уязвимые устройства PAN-OS, настроенные с помощью GlobalProtect gateway или портала.
📌Они используют простые команды для размещения в системе файлов размером в ноль байт для проверки уязвимости.
Шаг 2: Первоначальное использование:
📌Злоумышленники отправляют на уязвимое устройство специально созданные сетевые запросы, манипулируя cookie-файлом SESSID для создания файла в определенном каталоге.
📌Пример: Cookie: SESSID=/./././var/appweb/sslvpndocs/global-protect/portal/images/poc.txt.
Шаг 3: Выполнение команды:
📌Созданный файл используется для ввода и выполнения произвольных команд с правами суперпользователя.
📌Злоумышленники создают reverseshell и устанавливают дополнительные инструменты, такие как пользовательский Python-бэкдор UPSTYLE, для обеспечения закрепления в системе.
Шаг 4: Последующая эксплуатация:
📌Злоумышленники извлекают конфиденциальные данные, включая текущую конфигурацию брандмауэра и учетные данные пользователя.
📌Они также могут использовать взломанное устройство для распространения по сети.
Обнаруженная вредоносная активность:
📌Всплеск вредоносной активности наблюдался вскоре после публичного раскрытия уязвимости и публикации сценария эксплойта на GitHub.
📌Злоумышленники использовали бэкдор UPSTYLE для косвенного взаимодействия со взломанным устройством, отправляя команды через журналы ошибок и получая выходные данные через общедоступную таблицу стилей.
Влияние искусственного интеллекта и машинного обучения на кибербезопасность
Кто бы мог подумать, что спасителями промышленных систем управления и критически важной инфраструктуры станут искусственный интеллект и машинное обучение? Традиционные меры безопасности с их причудливыми подходами, основанными на правилах, по-видимому, остались в прошлом веке.
Эти волшебные технологии позволяют устанавливать базовые нормы поведения, просеивать горы данных, находя те досадные признаки атаки, которые простые смертные пропустили бы мимо ушей.
Контролируемое обучение, неконтролируемое обучение, глубокое обучение — о боже! Эти методы подобны швейцарским армейским ножам кибербезопасности, каждый из которых впечатляет больше предыдущего. Конечно, есть несколько незначительных проблем, таких как отсутствие высококачественных размеченных данных и сложность моделирования среды OT, но кого это волнует?
Искусственный интеллект и машинное обучение легко интегрируются в решения для обеспечения безопасности OT, обещая будущее, в котором видимость киберрисков и защита от них будут проще простого.
📌OT-системы, подобные тем, которые используются в промышленных системах управления и критически важной инфраструктуре, все чаще становятся объектами киберугроз.
📌Традиционные решения безопасности, основанные на правилах, недостаточны для обнаружения сложных атак и аномалий в среде OT.
📌Технологии искусственного интеллекта (ИИ) и машинного обучения (ML) используются для обеспечения более эффективной кибербезопасности систем OT:
📌AI/ML может точно определять исходные параметры нормального поведения системы OT и выявлять отклонения, указывающие на киберугрозы.
📌Алгоритмы AI/ML могут анализировать большие объемы данных OT из разных источников, чтобы выявлять едва заметные признаки атак, которые люди могут не заметить.
📌AI/ML обеспечивает автоматическое обнаружение угроз, более быстрое реагирование на инциденты и профилактическое обслуживание для повышения устойчивости системы OT.
📌Модели контролируемого обучения, обученные на основе данных об известных угрозах для обнаружения вредоносных программ и шаблонов вредоносной активности.
📌 Обучение без контроля для обнаружения аномалий путем выявления отклонений от нормальных профилей поведения активов OT.
📌 Модели глубокого обучения, такие как нейронные сети и графические нейронные сети, для более продвинутого обнаружения угроз.
📌Сохраняются проблемы с обучением эффективных моделей искусственного интеллекта/ML из-за нехватки высококачественных маркированных данных OT и сложности моделирования сред OT.
📌Возможности AI/ML интегрируются в решения по мониторингу безопасности OT и управлению активами для повышения видимости и защиты от киберрисков
Срочные новости: Китайские антивирусы не защищены от Go-шелла
Репозиторий GitHub «darkPulse» представляет собой шелл-код, написанный на Go.
📌Назначение: dark Pulse предназначен для создания различных загрузчиков шеллкодов, которые помогают избежать обнаружения китайскими антивирусными программами, такими как Huorong и 360 Total Security.
📌Формирование загрузчиков шеллкодов: Генерирует различные типы загрузчиков шеллкодов.
📌Противодействие антивирусам: позволяет избежать обнаружения популярными китайскими антивирусными программами, такими как Huorong и 360 Total Security.
📌Шифрование и обфускация: поддерживает шифрование AES и XOR, а также обфускацию UUID/words для уменьшения энтропии.
📌Методы загрузки: Поддерживает несколько методов загрузки, включая callback, fiber и earlybird. Их можно использовать в режимах indirect syscall и unhook.
📌Кодирование: Использует кодировщик Shikata ga nai, портированный в Go с несколькими улучшениями.
📌SysWhispers3: Использует SysWhispers3 для реализации непрямого системного вызова.
Крипте и переводам P2P конец?
Здравствуйте, друзья!
❗Новость значимая. Постараюсь изложить как можно короче.
Многие из вас пользуются банковскими переводами между физ. лицами, обменниками криптовалют, оплачивают игры, программы, фишки в онлайн-казино или пополняют счёта брокеров без лицензии (в том числе и криптобиржи) с помощью P2P.
У меня для вас неприятная новость.
С 25 июля 2024 года, в целях защиты граждан (!), банки получили полномочия не проводить любые платежи, если они покажутся им подозрительными.
Давайте рассмотрим чуть подробнее.
Что такое P2P?
Peer-to-peer — «равный к равному». По сути, это перевод от одного физического лица другому.
Используется и при обычной оплате услуг и при обмене-покупке чего-либо.
✅Пример:
Вам нужна криптовалюта.
Через обменник вы находите того, кто готов обменять вам крипту на рубли. Совершаете банковский перевод по номеру телефона или цифрам карты — получаете на свой счёт необходимый токен. Практика повсеместная и очень распространённая.
✅Пример 2:
Вы постоянно заказываете различные услуги и оплачиваете, что естественно, в большинстве случаев, обычным переводом.
Всё это P2P. Примеров можно привести огромное количество.
Что нового?
Ранее было несколько причин, по которым переводы не проводились и можно было нарваться на блокировку карты:
- Переводы с устройств, которые были задействованы в нелегальных схемах.
- Нетипичные переводы — время, место, периодичность и суммы.
- Переводы на счета которые отражены в базе ЦБ как мошеннические.
Новое:
- Переводы на счета, которые использовались (?) для сомнительных операций, даже если клиенты не жаловались на такие счета и они отсутствуют в базе ЦБ, находясь только в базе банка.
- Перевод на счета клиентов против которых возбуждено уголовное дело по мошенничеству. (Отмечу, что здесь вероятность ошибки очень большая.)
- Переводы между клиентами, подозреваемых в мошенничестве другими организациями. Например, блокировка перевода может произойти, если сотовый оператор заметил необычную активность у абонента. Как вариант, высокий рост входящих SMS, включая мессенджеры.
Почему, собственно?
✅Одна из причин — вступление в силу закона обязывающего банки возвращать клиентам украденные мошенниками деньги, если они не заблокировали подозрительные переводы.
Есть и другие.
Резюмирую:
Помните, выражение Виктора Степановича?
❗«Хотели как лучше, а получилось как всегда».
Думаю, что так будет и на этот раз. Количество блокировок клиентов со стороны банков вырастет в разы. Хорошо, если в такой ситуации вам удастся быстро решить вопрос. А если нет? Количество дней для разбора может варьироваться от одного до шестидесяти (!).
💲Что касается непосредственно возможностей работы с обменниками — то вопрос открытый. Безусловно, это создаст дополнительные сложности. Вполне вероятно, что, в конечном итоге, непреодолимые.