Друзья мои!
Мы прочитали с вами первую часть книги о душе. Теперь я заканчиваю написание второй и третьей части. После чего она выйдет в бумажном варианте. Если вам интересна эта тема, следите за новостями.
Я напишу, когда книга выйдет из печати!
Полиция изо всех своих полицейских сил мониторит, мониторит и мониторит, кто из жителей штата по ночам смотрит порнографию в интернете.
Гости: Вячеслав Рузов, Юрий Вяльба
Ведущая: Евгения Маслова
Укусить в ответ - сила или слабость? Как оценивать реакцию людей на мои действия? Как гармонично строить отношения с разными людьми в разных ситуациях? Проявление эмоций, в том числе гнева, и смирение - разные крайности или взаимно дополняющие друг друга способы реагировать на ситуацию? Как назвать "карму" привычным языком? В чем секрет времени? Аналитический обзор СМИ с философом, писателем, путешественником Вячеславом Рузовым и психотерапевтом Юрием Вяльбой.
Обзор новостей с Вячеславом Рузовым, философом, писателем, путешественником. Помогает ли ужесточение наказания? Как определить меру наказания, размер штрафа? Поводом для обсуждения послужили поправки в УК РФ об ужесточении мер по противодействию коррупции и ужесточение табачного законодательства.
Уязвимости Telerik Report Server, идентифицированные как CVE-2024-4358 и CVE-2024-1800, позволяют злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код на уязвимых серверах.
Схема атаки
📌Первоначальный доступ: злоумышленник идентифицирует уязвимый экземпляр сервера отчетов Telerik.
📌Использование CVE-2024-4358: Злоумышленник отправляет обработанный запрос на конечную точку /Startup/Register для создания новой учетной записи администратора.
📌Повышение привилегий: Злоумышленник входит в систему, используя только что созданную учетную запись администратора.
📌Использование CVE-2024-1800: Злоумышленник создает вредоносный отчет, который использует уязвимость десериализации для выполнения произвольного кода.
📌Выполнение команды: Злоумышленник выполняет произвольные команды на сервере, добиваясь удаленного выполнения кода.
Сценарий атаки
Идентификация цели:
📌Злоумышленник идентифицирует уязвимый экземпляр сервера отчетов Telerik, как правило, путем сканирования общедоступных экземпляров с помощью таких инструментов, как Shodan.
Обход проверки подлинности (CVE-2024-4358):
📌Злоумышленник использует уязвимость в мастере настройки сервера отчетов Telerik для обхода проверки подлинности. Эта уязвимость позволяет злоумышленнику создать новую учетную запись администратора без предварительной проверки подлинности.
📌Конкретной используемой конечной точкой является Telerik.ReportServer.Web.dll! Telerik.ReportServer.Web.Controllers.StartupController.Register, которая не проверяет, был ли процесс установки уже завершен.
📌Злоумышленник отправляет созданный HTTP-запрос на конечную точку /Startup/Register для создания новой учетной записи администратора:
curl 'http://TARGET_HERE/Startup/Register' -d 'Username=USERNAME_HERE& Password=PASSWORD_HERE& ConfirmPassword=PASSWORD_HERE& Email=backdoor%http://40admin.com& FirstName=backdoor& LastName=user'
Создание учетной записи и проверка подлинности:
📌После успешной эксплуатации злоумышленник получает привилегированный доступ к серверу отчетов Telerik, используя только что созданную учетную запись администратора.
📌Злоумышленник входит в систему, используя учетные данные учетной записи backdoor, созданной на предыдущем шаге.
Эксплойт десериализации (CVE-2024-1800):
📌Имея административный доступ, злоумышленник использует уязвимость десериализации на сервере отчетов Telerik для выполнения произвольного кода на сервере.
📌Злоумышленник создает вредоносный отчет, который запускает ошибку десериализации, позволяя выполнять произвольные команды на сервере.
📌Скрипт PoC автоматизирует этот процесс, включая генерацию случайных имен пользователей и паролей для бэкдорской учетной записи и создание отчета о вредоносных программах:
python http://CVE-2024-4358.py --target http://192.168.253.128:83 -c «whoami»
ОАЭ активно развивают партнерские отношения, особенно с США, и привлекают инвестиции для создания собственного производства передовых полупроводников, которые важны для их стремления стать мировым лидером в области искусственного интеллекта и технологическим центром.
Планы ОАЭ по производству полупроводников
📌ОАЭ активно стремятся к партнерству с Соединенными Штатами для создания передовых полупроводниковых чипов, имеющих решающее значение для приложений искусственного интеллекта (ИИ).
📌Омар Аль-Олама, государственный министр ОАЭ по вопросам искусственного интеллекта, подчеркнул, что «это сработает только в том случае, если мы сможем наладить устойчивые и долгосрочные партнерские отношения с такими странами, как США, где мы можем создавать передовые чипы».
📌ОАЭ стремятся разрабатывать чипы нового поколения, а не конкурировать по цене с более дешевыми аналогами от крупных производителей.
📌Создание производства полупроводников в регионе Персидского залива сталкивается с серьезными препятствиями, такими как получение одобрения правительства США из-за региональных связей с Китаем, привлечение талантов и опыта со всего мира.
Финансирование собственных чипов искусственного интеллекта
📌Государственная группа MGX из Абу-Даби ведет переговоры о поддержке планов OpenAI по разработке собственных полупроводниковых чипов для искусственного интеллекта.
📌OpenAI ищет инвестиции в размере триллионов долларов по всему миру для внутреннего производства чипов для искусственного интеллекта и снижения зависимости от Nvidia.
📌 Потенциальные инвестиции MGX соответствуют стратегии ОАЭ по размещению Абу-Даби в центре «стратегии развития искусственного интеллекта с глобальными партнерами по всему миру».
Стратегическая важность
📌Современные полупроводники являются важнейшими компонентами в цепочке поставок ИИ, необходимыми для обработки огромных объемов данных, необходимых для приложений ИИ.
📌Развитие внутреннего производства полупроводников является ключевой частью стремления ОАЭ стать ведущим технологическим центром и диверсифицировать свою экономику, не ограничиваясь добычей нефти.
📌Партнерство с США в области производства полупроводников помогло бы снять обеспокоенность по поводу связей ОАЭ с Китаем в важных технологических секторах.
В статье «Использование Национальной базы данных уязвимостей для распространения вредоносного ПО» от Nozomi Networks обсуждаются потенциальные риски и уязвимости, связанные с NVD.
📌NVD — палка о двух концах: Предполагается, что NVD — это настоящая сокровищница для профессионалов в области кибербезопасности, но угадайте, что? Это также золотая жила для киберпреступников. Они могут легко получить доступ к подробной информации об уязвимостях, что превращает их работу по разработке эксплойтов в прогулку по парку.
📌Распространение вредоносных программ через NVD: Представьте себе иронию — для распространения вредоносных программ используется база данных, предназначенная для нашей защиты. Киберпреступники могут вставлять вредоносные ссылки в записи NVD, и ничего не подозревающие пользователи могут просто переходить по ним, думая, что получают доступ к легитимным ресурсам.
📌Автоматизированные инструменты и сценарии: Автоматизированные инструменты, которые сканируют сетевую систему на наличие уязвимостей, могут быть взломаны. Этими инструментами, разработанными для обеспечения безопасности организаций, можно манипулировать для загрузки и запуска вредоносного ПО.
📌Проблемы с доверием: Многие доверяют NVD, но этим доверием можно воспользоваться. Если киберпреступникам удастся внедрить вредоносные данные в NVD, они могут использовать это доверие для широкого распространения своих вредоносных программ. Не доверяйте никому, даже своему любимому NVD.
📌Стратегии снижения рисков: Конечно, есть способы снизить эти риски, но они требуют усилий. Организациям необходимо проверять данные, которые они извлекают из NVD, и обеспечивать безопасность своих автоматизированных инструментов.
Проект EvilLsassTwin на GitHub, размещенный в репозитории Nimperiments, посвящен конкретному методу извлечения учетных данных из процесса Local Security Authority Subsystem Service (LSASS) в системах Windows.
📌Цель: Цель проекта — продемонстрировать метод сброса учетных данных из процесса LSASS, который является распространенной целью злоумышленников, стремящихся получить конфиденциальную информацию, такую как пароли и токены.
📌Техника: Метод предполагает создание «двойника» процесса LSASS. Этот двойной процесс используется для обхода определенных механизмов безопасности, которые защищают исходный процесс LSASS от прямого доступа.
📌Внедрение: Проект предусматривает детальную реализацию методики, включая необходимый код и шаги для воспроизведения процесса. Это включает в себя создание дубликата процесса LSASS, использование дублирующего процесса для чтения памяти исходного процесса LSASS, извлечение учетных данных из памяти исходного процесса LSASS.
📌Доступность кода: Полный исходный код и документация доступны на странице GitHub, что позволяет пользователям детально изучить и понять технологию.
Влияние и последствия для отрасли
📌Повышенный риск кражи учетных данных: технология EvilLsassTwin выявляет уязвимость процесса LSASS, в котором хранится конфиденциальная информация, такая как зашифрованные пароли, хэши NT, хэши LM и запросы Kerberos. Злоумышленники, использующие этот метод, могут получить несанкционированный доступ к этим учетным данным, что может привести к потенциальным утечкам данных и несанкционированному доступу к критически важным системам.
📌Распространение и повышение привилегий: Как только злоумышленники получают учетные данные из процесса LSASS, они могут использовать их для распространения по сети, повышая свои привилегии и компрометируя дополнительные системы. Это может привести к широкомасштабной компрометации сети, что затруднит организациям сдерживание атаки.
📌Реальные примеры: Атака программы-вымогателя BlackCat является ярким примером того, как злоумышленники использовали сброс данных из памяти LSASS для извлечения учетных данных. Они изменили конфигурацию WDigest, чтобы считывать пароли учетных записей пользователей, и использовали такие инструменты, как Mimikatz, для выполнения дампа, что позволило им получить дополнительный доступ и перемещаться по сети в поперечном направлении.
Технические подробности и практика использования CVE-2024-24919 в реальных условиях подчеркивают критический характер этой уязвимости и важность оперативного устранения для защиты от потенциальных утечек данных и сетевых компрометаций.
Описание уязвимости
📌 CVE-2024-24919 — уязвимость, связанная с раскрытием информации, которая позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, считывать содержимое произвольных файлов на уязвимом устройстве.
📌 Уязвимость классифицируется как «Передача конфиденциальной информации неавторизованному субъекту».
📌 Уязвимость затрагивает системы с удаленным доступом мобильным или VPN.
Уязвимые Продукты
📌CloudGuard Network
📌Quantum Maestro
📌Quantum Scalable Chassis
📌Quantum Security Gateways
📌Quantum Spark Appliances
Подробности Эксплуатации
📌 Уязвимостью можно воспользоваться, отправив созданный запрос на конечную точку /clients/MyCRL, которая предназначена для обработки статических файлов из файловой системы.
📌 Включая в текст запроса последовательности обхода пути, такие как ././etc/passwd, злоумышленник может считывать конфиденциальные файлы, такие как /etc/shadow, для получения хэшей паролей.
📌 Уязвимость позволяет считывать любой файл в системе, а не только конкретные файлы, указанные поставщиком.
PoC
📌 Исследователи в области безопасности опубликовали общедоступный PoC-эксплойт для CVE-2024-24919, содержащий технические подробности о том, как использовать уязвимость.
📌 PoC демонстрирует способность считывать произвольные файлы, включая извлечение хэшей паролей и другой конфиденциальной информации.
Практическое применение
📌 Компания Check Point наблюдала активную эксплуатацию этой уязвимости вживую с начала апреля 2024 года.
📌 Злоумышленники использовали уязвимость для извлечения хэшей паролей, перемещения по сетям и компрометации серверов Active Directory путем извлечения файла ntds.dit.
Анализ кода
Первоначальный анализ:
📌 Уязвимый код выполняет операции ввода-вывода файлов, на которые указывают ссылки на такие функции, как _fopen и _fread.
📌 Код сравнивает запрошенный URL-адрес со списком жестко заданных строк из таблицы строк, чтобы определить, может ли файл быть обработан.
Ошибка сравнения строк:
📌 В коде используется функция strstr для проверки того, содержит ли запрашиваемый URL-адрес какие-либо строки из таблицы. Эта функция выполняет поиск подстроки, а не строгое сравнение.
📌 Это позволяет злоупотреблять кодом, включив допустимую подстроку в последовательность обхода пути, такую как http://icsweb.cab/././etc/passwd.
Использование обхода пути:
📌 Первоначальные попытки использовать обход пути путем включения в URL-адрес последовательностей типа ././etc/passwd завершились неудачей, поскольку операционная система правильно определила путь как недопустимый.
📌 Была найдена вторая таблица строк, содержащая записи, указывающие на пути к каталогам, такие как CSHELL/.
Эксплуатация:
📌 Создав запрос, который включал строку каталога CSHELL/, за которой следовала последовательность обхода пути, исследователи смогли обойти проверки.
📌 Запрос был выполнен успешно:
POST /clients/MyCRL HTTP/1.1
Host: <redacted>
Content-Length: 39
aCSHELL/./././././././etc/shadow
📌 Этот запрос вернул содержимое файла /etc/shadow, подтвердив уязвимость для произвольного чтения файла.
Последствия:
📌 Возможность чтения файла /etc/shadow указывает на то, что злоумышленник обладает правами суперпользователя, позволяющими ему читать любой файл в файловой системе.
📌 Это более серьезная проблема, чем рекомендация поставщика, которая предполагала ограниченный доступ к информации.
В блоге подробно рассказывается об их участии в двух хакатонах, организованных кампусом киберзащиты armasuisse Science and Technology.
Хакатон ICS
📌Фокус: Криминалистика и обнаружение атак в промышленных системах управления (ICS).
Мероприятия:
📌Реверс-анализ встроенного ПО в сценариях SCADA.
📌Анализ сетевого трафика.
📌Практическое техническое обучение по ICS forensics.
📌Разработка и тестирование атак в имитируемой среде SCADA.
Инструменты и устройства:
📌ABB Relion 670, Elvexys XPG, Omicron Stationguard RBX1 и Omicron CMC256-6.
📌Датчик Guardian от Nozomi Networks использовался для идентификации устройств и версий встроенного ПО.
Результаты:
📌Навыки анализа устройств SCADA.
📌Понимание фирменных протоколов.
📌Вклад в коллективные знания в области кибербезопасности посредством сбора и анализа данных.
Автомобильный хакатон
📌Фокус: Автомобильная кибербезопасность, в частности, направления атак на электромобили и их уязвимости.
Мероприятия:
📌Анализ встроенного программного обеспечения информационно-развлекательной системы автомобиля.
📌Изучение возможностей беспроводных атак.
📌Взаимодействие с электромобилями (Renault Zoes, Skoda Octavia, Skoda Enyaq IV 80, Honda).
Инструменты:
📌Донглы OBD2, адаптеры CAN-to-USB, HackRF, USRP, антенны Wi-Fi/Bluetooth.
Интересная презентация:
📌Атака «Broken Wire» на комбинированную систему зарядки (CCS) электромобилей, демонстрирующая, как воспроизведение специального пакета может нарушить процесс зарядки.
Сотрудничество — ikakprosto.commercial@gmail.com
Мой Бусти — https://boosty.to/ikakprosto
Эксклюзивный контент — https://taplink.cc/ikakprosto
Мой магазин — https://podsas.ru
ВКонтакте — https://vk.com/ikakprosto
На Рутубе — https://rutube.ru/channel/21014334/
Телеграм — https://t.me/ikakprosto
В Дзене –
Аудиоверсия — https://band.link/ikakprosto
Таймкоды:
00:00 Начало
03:24 Новый Шрек
04:20 Шелли Дюваль
04:58 Революция в Нью-Йорке
15:07 Самолёты
25:35 Захват территорий
35:18 Новости спорта
41:51 Шестидневка
43:43 Смерть MTV
44:50 Жизнь WikiLeaks
49:17 Снова выборы
01:00:17 Вован и Лексус
01:03:53 Новые санкции
01:14:03 Иволга 4.0
01:15:53 Иноагенты
01:19:23 Саммит ШОС
01:21:40 Выходки Байдена
01:40:51 Покушение на Трампа
01:50:21 Выборы во Франции
01:52:14 Запрет поцелуев
01:53:07 Слоны в Грузии
01:56:08 «Свобода слова»
01:59:44 Африканские слоны
02:01:27 Новости с фронта
02:18:05 Блокировка YouTube
NSM-22 представляет собой обновление политики безопасности критической инфраструктуры США, в котором особое внимание уделяется обязательному соблюдению требований, усиленному управлению рисками и расширению сотрудничества. Владельцы и операторы критической инфраструктуры должны подготовиться к этим изменениям, чтобы обеспечить безопасность и устойчивость своей деятельности.
Обновленная основа политики:
📌NSM-22 модернизирует основы политики в целях противодействия технологическому прогрессу, растущим угрозам и геополитической напряженности.
📌Министерству внутренней безопасности (DHS) и Агентству по кибербезопасности и защите инфраструктуры (CISA) поручено возглавить скоординированные усилия по управлению рисками в 16 важнейших инфраструктурных секторах.
Агентства по управлению отраслевыми рисками (SRMAS):
📌Меморандум подтверждает определение 16 секторов критической инфраструктуры и соответствующих SRMA, которые координируют деятельность в каждом секторе.
📌SRMA отвечают за разработку планов управления рисками для конкретного сектора и координацию с CISA.
Минимальные требования к безопасности и отказоустойчивости:
📌В NSM-22 особое внимание уделяется разработке минимальных требований к безопасности и отказоустойчивости для объектов критически важной инфраструктуры, переходя от добровольных стандартов к обязательному соблюдению.
📌Перед регулирующими и надзорными органами поставлена задача разработать эти требования и механизмы подотчетности.
Системно важные организации (SIE):
📌CISA поручено определить и поддерживать закрытый для общественности список SIE, которые получат приоритетный доступ к информации о снижении рисков и оперативным ресурсам.
Новый цикл управления рисками:
📌NSM-22 вводит новый цикл управления рисками, требующий от SRMA выявлять, оценивать и определять приоритеты рисков в своих секторах. Кульминацией этого цикла станет разработка Национального плана управления рисками в сфере инфраструктуры на 2025 год.
Последствия для владельцев и операторов критически важной инфраструктуры
Усиление регулирования:
📌NSM-22 знаменует собой значительный сдвиг в сторону регулирования, и в течение следующих 18 месяцев ожидается переход от добровольных стандартов к обязательному соблюдению.
📌Владельцам и операторам следует подготовиться к принятию новых директив и правил в области кибербезопасности, особенно в таких секторах, как аэропорты, трубопроводы, нефтегазовая отрасль и железнодорожный транспорт.
Распределение ресурсов:
📌Соблюдение новых правил и дублирующих друг друга мандатов может быть дорогостоящим и трудоемким процессом. Организациям необходимо будет обеспечить безопасное осуществление инвестиций и их интеграцию в операционную деятельность.
📌В меморандуме не упоминаются дополнительные ресурсы для тех, кто находится на передовой, для чего в будущем может потребоваться финансирование со стороны Конгресса.
Кибер-защита:
📌Владельцы должны усилить свою кибер-защиту, чтобы защитить активы, обеспечить непрерывность работы и выполнить свою общественную миссию. Последствия невыполнения этого требования включают физический, финансовый и репутационный ущерб.
Сотрудничество:
📌Эффективное управление рисками потребует сотрудничества между федеральными агентствами, органами государственной власти штатов и местного самоуправления, организациями частного сектора и другими заинтересованными сторонами.
📌Владельцам и операторам следует взаимодействовать с отраслевыми координационными советами и соответствующими регулирующими органами, чтобы быть в курсе новых требований и соответствовать им.
В статье «QNAP QTS — QNAPping за рулем (CVE-2024-27130 и другие уязвимости)» от WatchTowr Labs представлен подробный анализ нескольких уязвимостей, обнаруженных в устройствах QNAP NAS.
CVE-2024-27130. Переполнение стека в share.cgi: Уязвимость возникает из-за небезопасного использования функции strcpy в функции No_Support_ACL, которая доступна через функцию get_file_size в share.cgi. Это приводит к переполнению стека и возможности удаленного выполнения кода (RCE)
Сценарий атаки:
📌Шаг 1: Первоначальный доступ: Злоумышленнику нужна действительная учетная запись пользователя NAS, чтобы воспользоваться этой уязвимостью. Учётная запись может быть получена с помощью фишинга, утечки учетных данных или использования другой уязвимости для получения первоначального доступа.
📌Шаг 2: Общий доступ к файлам: Злоумышленник предоставляет общий доступ к файлу с пользователем. Это действие запускает функцию get_file_size в share.cgi.
📌Шаг 3: Использование: далее происходит вызов No_Support_ACL, которая небезопасно использует strcpy, что приводит к переполнению буфера. Переполнение достигается засчёт вредоносной полезной нагрузки, которая и переполняет буфер, с последующим внедрением вредоносного кода.
📌Шаг 4: Удаленное выполнение кода: Переполненный буфер позволяет выполнить произвольный код на устройстве NAS, потенциально предоставляя полный контроль над системой.
Связанные уязвимости
📌CVE-2024-27129: Небезопасное использование strcpy в функции get_tree в utilRequest.cgi, приводящее к переполнению статического буфера и RCE с требованием наличия действительной учетной записи на устройстве NAS.
📌CVE-2024-27131: Спуфинг «x-forwarded-for» приводит к возможности загрузки файла из произвольного исходного местоположения при наличии возможности загрузки файла.
📌WT-2024-0004: Stored XSS с помощью удаленных сообщений системного журнала при наличии настроек не по умолчанию.
📌WT-2024-0005: Stored XSS с помощью удаленного обнаружения устройств без каких-либо условий для выполнения.
📌WT-2024-0006: Отсутствие ограничения скорости в API аутентификации без каких-либо условий для выполнения
Патчи:
📌Доступны исправления: Первые четыре уязвимости (CVE-2024-27129, CVE-2024-27130, CVE-2024-27131 и WT-2024-0004) были исправлены в следующих версиях: QTS 5.1.6.2722, сборка 20240402 и более поздние версии, QuTS hero h5.1.6.2734, сборка 20240414. и более поздней
📌Ответ поставщика: Поставщик признал наличие уязвимостей и работает над их устранением.
28 мая 2024 года Управление по контролю за иностранными активами Министерства финансов США (OFAC) объявило о внесении изменений в Правила контроля за активами Кубы (CACR), направленных на продвижение свободы Интернета, поддержку независимых кубинских предпринимателей частного сектора и расширение доступа к финансовым услугам для граждан Кубы. Эти изменения включают в себя обновленные определения, авторизацию банковских счетов в США для кубинских предпринимателей, восстановление ряда транзакций и новое требование к отчетности по электронной почте для транзакций, связанных с телекоммуникациями
📌Официальное заявление OFAC: 28 мая 2024 года Управление по контролю за иностранными активами Министерства финансов США (OFAC) решило проявить некоторую щедрость, внеся поправки в Правила контроля за кубинскими активами (CACR). Предполагается, что эти изменения со всем демократическим благородством направлены на продвижение свободы Интернета на Кубе и поддержку независимых кубинских предпринимателей частного сектора.
📌Интернет-сервисы: OFAC любезно расширил список разрешенных интернет-сервисов. Теперь кубинцы могут пользоваться платформами социальных сетей, видеоконференциями, электронными играми, аутентификацией пользователей и услугами мгновенного перевода. Ведь ничто так не говорит о свободе и демократии, как увеличение количества социальных сетей и видеоигр… ах, да и Apple Pay.
📌Независимые предприниматели в частном секторе: термин «самозанятое физическое лицо» был заменен на «независимый предприниматель в частном секторе». Это новое определение включает в себя самозанятых физических лиц, частные кооперативы и малые частные предприятия. Но не волнуйтесь, демократия со всей строгостью не забыла, что надо исключать некоторые категории: запрещенные должностные лица кубинского правительства и члены коммунистической партии.
📌Банковские счета в США: Кубинские предприниматели теперь могут открывать и использовать банковские счета в США, включая платформы онлайн-платежей, для авторизованных транзакций. Однако, если вы являетесь кубинским предприятием, принадлежащим правительственному чиновнику или члену коммунистической партии, вам не повезло!
📌Запрещённые транзакции (U-Turn операции): OFAC восстановил авторизацию для ряда операций и теперь банки США могут обрабатывать денежные переводы, которые начинаются и заканчиваются за пределами США, при условии, что ни отправитель, ни получатель не подпадают под юрисдикцию США. Любители офшоров, вас ждут на Кубе.
📌Требования к отчетности по электронной почте: OFAC вступает в 21 век, заменяя процесс составления отчетов по факсу и бумажной почте отчетами по операциям, связанным с телекоммуникациями, на отчеты по электронной почте. OFAC держит руку на пульсе развития цивилизации, ведь только в США определяют, когда кому-то разрешено войти в век цифровых технологий!
📌 Усилия администрации Байдена: Эти поправки являются частью продолжающихся усилий администрации Байдена по смягчению экономического давления на частный сектор Кубы при сохранении напряженности в отношениях с кубинским правительством. В конце концов, «всё очень сложно» и «нельзя ничего не делать — надо что-то уже сделать».
📌Исторический контекст: Этот шаг напоминает политику администрации Обамы в 2015 году, которая ослабила торговые ограничения в отношении Кубы, которые были частично отменены администрацией Трампа в 2017 году.
CVE-2024-3400 (+ url + github url#1, url#2) — это критическая уязвимость при внедрении команд в программное обеспечение Palo Alto Networks для PAN-OS, которая, в частности, влияет на функцию GlobalProtect. Эта уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с правами суперпользователя на уязвимом брандмауэре. Уязвимость затрагивает версии PAN-OS 10.2, 11.0 и 11.1 при настройке с помощью GlobalProtect gateway или GlobalProtect portal.
Первоначальное обнаружение и использование:
📌Уязвимость была впервые обнаружена Volexity 26 марта 2024 года.
📌Злоумышленники, идентифицированные как поддерживаемая государством группа UTA0218, воспользовались уязвимостью для получения несанкционированного доступа к устройствам брандмауэра.
Вектор атаки:
📌Уязвимость используется с помощью ошибки фильтрации команд в функции GlobalProtect. Злоумышленники могут манипулировать cookie SESSID для создания произвольных файлов в системе, которые затем могут быть использованы для выполнения команд с правами суперпользователя.
📌Атака не требует аутентификации, что делает ее чрезвычайно опасной ввиду низкой сложности применения.
Последовательность действий:
Шаг 1: Разведка:
📌Злоумышленники сканируют уязвимые устройства PAN-OS, настроенные с помощью GlobalProtect gateway или портала.
📌Они используют простые команды для размещения в системе файлов размером в ноль байт для проверки уязвимости.
Шаг 2: Первоначальное использование:
📌Злоумышленники отправляют на уязвимое устройство специально созданные сетевые запросы, манипулируя cookie-файлом SESSID для создания файла в определенном каталоге.
📌Пример: Cookie: SESSID=/./././var/appweb/sslvpndocs/global-protect/portal/images/poc.txt.
Шаг 3: Выполнение команды:
📌Созданный файл используется для ввода и выполнения произвольных команд с правами суперпользователя.
📌Злоумышленники создают reverseshell и устанавливают дополнительные инструменты, такие как пользовательский Python-бэкдор UPSTYLE, для обеспечения закрепления в системе.
Шаг 4: Последующая эксплуатация:
📌Злоумышленники извлекают конфиденциальные данные, включая текущую конфигурацию брандмауэра и учетные данные пользователя.
📌Они также могут использовать взломанное устройство для распространения по сети.
Обнаруженная вредоносная активность:
📌Всплеск вредоносной активности наблюдался вскоре после публичного раскрытия уязвимости и публикации сценария эксплойта на GitHub.
📌Злоумышленники использовали бэкдор UPSTYLE для косвенного взаимодействия со взломанным устройством, отправляя команды через журналы ошибок и получая выходные данные через общедоступную таблицу стилей.
Кто бы мог подумать, что спасителями промышленных систем управления и критически важной инфраструктуры станут искусственный интеллект и машинное обучение? Традиционные меры безопасности с их причудливыми подходами, основанными на правилах, по-видимому, остались в прошлом веке.
Эти волшебные технологии позволяют устанавливать базовые нормы поведения, просеивать горы данных, находя те досадные признаки атаки, которые простые смертные пропустили бы мимо ушей.
Контролируемое обучение, неконтролируемое обучение, глубокое обучение — о боже! Эти методы подобны швейцарским армейским ножам кибербезопасности, каждый из которых впечатляет больше предыдущего. Конечно, есть несколько незначительных проблем, таких как отсутствие высококачественных размеченных данных и сложность моделирования среды OT, но кого это волнует?
Искусственный интеллект и машинное обучение легко интегрируются в решения для обеспечения безопасности OT, обещая будущее, в котором видимость киберрисков и защита от них будут проще простого.
📌OT-системы, подобные тем, которые используются в промышленных системах управления и критически важной инфраструктуре, все чаще становятся объектами киберугроз.
📌Традиционные решения безопасности, основанные на правилах, недостаточны для обнаружения сложных атак и аномалий в среде OT.
📌Технологии искусственного интеллекта (ИИ) и машинного обучения (ML) используются для обеспечения более эффективной кибербезопасности систем OT:
📌AI/ML может точно определять исходные параметры нормального поведения системы OT и выявлять отклонения, указывающие на киберугрозы.
📌Алгоритмы AI/ML могут анализировать большие объемы данных OT из разных источников, чтобы выявлять едва заметные признаки атак, которые люди могут не заметить.
📌AI/ML обеспечивает автоматическое обнаружение угроз, более быстрое реагирование на инциденты и профилактическое обслуживание для повышения устойчивости системы OT.
📌Модели контролируемого обучения, обученные на основе данных об известных угрозах для обнаружения вредоносных программ и шаблонов вредоносной активности.
📌 Обучение без контроля для обнаружения аномалий путем выявления отклонений от нормальных профилей поведения активов OT.
📌 Модели глубокого обучения, такие как нейронные сети и графические нейронные сети, для более продвинутого обнаружения угроз.
📌Сохраняются проблемы с обучением эффективных моделей искусственного интеллекта/ML из-за нехватки высококачественных маркированных данных OT и сложности моделирования сред OT.
📌Возможности AI/ML интегрируются в решения по мониторингу безопасности OT и управлению активами для повышения видимости и защиты от киберрисков
Репозиторий GitHub «darkPulse» представляет собой шелл-код, написанный на Go.
📌Назначение: dark Pulse предназначен для создания различных загрузчиков шеллкодов, которые помогают избежать обнаружения китайскими антивирусными программами, такими как Huorong и 360 Total Security.
📌Формирование загрузчиков шеллкодов: Генерирует различные типы загрузчиков шеллкодов.
📌Противодействие антивирусам: позволяет избежать обнаружения популярными китайскими антивирусными программами, такими как Huorong и 360 Total Security.
📌Шифрование и обфускация: поддерживает шифрование AES и XOR, а также обфускацию UUID/words для уменьшения энтропии.
📌Методы загрузки: Поддерживает несколько методов загрузки, включая callback, fiber и earlybird. Их можно использовать в режимах indirect syscall и unhook.
📌Кодирование: Использует кодировщик Shikata ga nai, портированный в Go с несколькими улучшениями.
📌SysWhispers3: Использует SysWhispers3 для реализации непрямого системного вызова.
Здравствуйте, друзья!
❗Новость значимая. Постараюсь изложить как можно короче.
Многие из вас пользуются банковскими переводами между физ. лицами, обменниками криптовалют, оплачивают игры, программы, фишки в онлайн-казино или пополняют счёта брокеров без лицензии (в том числе и криптобиржи) с помощью P2P.
У меня для вас неприятная новость.
С 25 июля 2024 года, в целях защиты граждан (!), банки получили полномочия не проводить любые платежи, если они покажутся им подозрительными.
Давайте рассмотрим чуть подробнее.
Что такое P2P?
Peer-to-peer — «равный к равному». По сути, это перевод от одного физического лица другому.
Используется и при обычной оплате услуг и при обмене-покупке чего-либо.
✅Пример:
Вам нужна криптовалюта.
Через обменник вы находите того, кто готов обменять вам крипту на рубли. Совершаете банковский перевод по номеру телефона или цифрам карты — получаете на свой счёт необходимый токен. Практика повсеместная и очень распространённая.
✅Пример 2:
Вы постоянно заказываете различные услуги и оплачиваете, что естественно, в большинстве случаев, обычным переводом.
Всё это P2P. Примеров можно привести огромное количество.
Что нового?
Ранее было несколько причин, по которым переводы не проводились и можно было нарваться на блокировку карты:
Новое:
Почему, собственно?
✅Одна из причин — вступление в силу закона обязывающего банки возвращать клиентам украденные мошенниками деньги, если они не заблокировали подозрительные переводы.
Есть и другие.
Резюмирую:
Помните, выражение Виктора Степановича?
❗«Хотели как лучше, а получилось как всегда».
Думаю, что так будет и на этот раз. Количество блокировок клиентов со стороны банков вырастет в разы. Хорошо, если в такой ситуации вам удастся быстро решить вопрос. А если нет? Количество дней для разбора может варьироваться от одного до шестидесяти (!).
💲Что касается непосредственно возможностей работы с обменниками — то вопрос открытый. Безусловно, это создаст дополнительные сложности. Вполне вероятно, что, в конечном итоге, непреодолимые.
Репозиторий GitHub «V-i-x-x/AMSI-BYPASS» предоставляет информацию об уязвимости, известной как «AMSI WRITE RAID», которая может быть использована для обхода интерфейса проверки на вредоносное ПО (Antimalware Scan Interface, AMSI).
📌Описание уязвимости: Уязвимость «AMSI WRITE RAID» позволяет злоумышленникам перезаписывать определенные доступные для записи области в стеке вызовов AMSI, эффективно обходя защиту AMSI.
📌Области, доступные для записи: В репозитории подчеркивается, что несколько областей в стеке вызовов AMSI доступны для записи и могут быть использованы для обхода и описаны в скриншотах, как «vulnerable_entries.png» и «writable_entries_part_1.png».
📌Подтверждение концепции: В хранилище имеется документ в формате PDF (Amsi.pdf), в котором подробно описывается уязвимость, дается исчерпывающее объяснение икак можно обойти AMSI.
📌Влияние: Успешное использование этой уязвимости позволяет вредоносному коду избегать обнаружения AMSI, что является серьезной проблемой безопасности, поскольку AMSI предназначена для обеспечения дополнительного уровня защиты от вредоносных программ.
Влияние на отрасли
📌Повышенный риск заражения вредоносными программами: методы обхода AMSI позволяют злоумышленникам выполнять вредоносный код незамеченными, что увеличивает риск заражения вредоносными программами, включая программы-вымогатели и атаки без использования файлов. Это особенно актуально для отраслей, работающих с конфиденциальными данными, таких как финансы, здравоохранение и государственный сектор.
📌Нарушенный уровень безопасности: Обход AMSI может привести к нарушению уровня безопасности, поскольку традиционные антивирусные решения и средства обнаружения и реагирования на конечные точки (EDR) могут не обнаруживать и предотвращать вредоносные действия. Это может привести к утечке данных, финансовым потерям и ущербу репутации.
📌Сбои в работе: Успешные атаки в обход AMSI могут привести к значительным сбоям в работе, особенно в таких критически важных секторах инфраструктуры, как энергетика, транспорт и коммунальные услуги. Эти сбои могут оказывать комплексное воздействие на предоставление услуг и общественную безопасность.
Новая стратегия Госдепартамента США в киберпространстве полностью посвящена «цифровой солидарности», поскольку очевидно, что лучший способ защитить Интернет — это заставить всех — правительства, компании и гражданское общество — взяться за руки, одновременно борясь с киберугрозами и продвигая права человека.
Общие положения:
📌Продвижение открытого, совместимого, безопасного и надежного Интернета: пропаганда глобального Интернета, доступного для всех, свободного от неоправданных ограничений и устойчивого к сбоям. Ведь кто бы не хотел утопического Интернета, где все работает идеально, и все ведут себя хорошо?
📌Продвижение многостороннего управления Интернетом: поддержка модели управления, которая включает правительства, частный сектор, гражданское общество и техническое сообщество для обеспечения разнообразных точек зрения и общей ответственности. Давайте вовлечем всех в процесс принятия решений, потому что больше поваров и разнообразие взглядов на рецепт блюда всегда означает идеальный результат?
📌Усиление кибербезопасности: реализация мер по защите критической инфраструктуры, улучшение киберзащиты и эффективное реагирование на киберугрозы. США поставили перед собой задачу сделать Интернет более безопасным, по одной политике за раз. Потому что очевидно, что текущее состояние кибербезопасности — это всего лишь незначительный сбой, из-за которого США почему-то стало неуютно.
📌Содействие инновациям и экономическому росту: поощрение политики, поддерживающей технологические инновации, цифровое предпринимательство и рост цифровой экономики. Или поощрение технологических инноваций и экономического процветания, потому что Кремниевой долине нужно больше стартапов стоимостью в миллиарды долларов.
📌Защита прав человека и основных свобод: обеспечение того, чтобы цифровая политика уважала и поощряла права человека, включая свободу выражения мнений, конфиденциальность и доступ к информации. Обеспечение того, чтобы каждый мог пользоваться своими цифровыми правами, если они соответствуют интересам США.
📌Содействие международной безопасности и стабильности в киберпространстве: работа над нормами ответственного поведения государства в киберпространстве и снижение риска конфликта, возникающего из-за киберактивности. Когда даже США проронили романтическую слезу от сказанного ими.
📌 Создание международных партнерств: сотрудничество с международными партнерами для решения общих киберпроблем и укрепления коллективной безопасности, ведь глобальное сотрудничество всегда проходит без проблем.
📌 Противодействие вредоносной кибердеятельности: принятие мер по сдерживанию, пресечению и реагированию на вредоносную кибердеятельность государственных и негосударственных субъектов, ведь хакеры сразу сдадутся как увидят приближение США.
Расширенные детали брифинга:
📌 Цифровая солидарность: новое модное словечко «цифровая солидарность», поскольку ничто не говорит о «мы настроены серьезно» так, как броская фраза, означающая, что все должны просто ладить и делиться своими игрушками в цифровой песочнице и в первую очередь с США.
Три руководящих принципа: потому что двух было бы недостаточно:
📌Позитивное видение: США никого не заставляют выбирать сторону; они просто предлагают «более убедительный вариант» — потому что кто бы не хотел присоединиться к крутому детскому клубу?
📌Интеграция: кибербезопасность, устойчивое развитие и технологические инновации — все в одном аккуратном пакете. Это как цифровой швейцарский армейский нож.
📌Вся цифровая экосистема: от облака до кабелей — каждая часть архитектуры Интернета важна. Да, даже те подводные камни у берегов ваших границ, ведь США уже внедрили туда систему слежки.
Четыре направления действий:
📌Открытая, инклюзивная, безопасная и устойчивая цифровая экосистема: США отстаивают это десятилетиями безрезультативно, просто спичрайтеры в отличие от Стэнфорда не уличены ещё в плагиате
📌Управление цифровыми технологиями с соблюдением прав: согласование с международными партнерами для обеспечения того, чтобы все играли по одним и тем же правилам — правилам, которые написали США.
📌Ответственное поведение государства: поощрение хорошего поведения в киберпространстве, потому что строгий выговор всегда останавливает киберпреступников, а если им отключить Apple Watch…
📌Наращивание потенциала: помощь другим странам в укреплении их киберзащиты, потому что ничто не говорит «мы вам доверяем» так, как предоставление инструментов для самозащиты, подконтрольных США.
📌Необычные подозреваемые № 1. Россия: Россия по-прежнему плохо себя ведёт и запускает кибератаки налево и направо, но не волнуйтесь, уж НАТО об этом позаботится, когда наберётся смелости и получит кредиты от США.
📌Необычные подозреваемые № 2. Китай: «самая постоянная киберугроза», подвергающая риску критически важную инфраструктуру. Но эй, давайте поговорим о безопасности ИИ и, может быть, посотрудничаем над какой-нибудь крутой технологией. Правда, перед этим попросим Стэнфорд украсть для ИИ технологии у Китая, а потом тряхнём демократическими мускулами ИИ.
📌ИИ: ИИ усилит как кибератаки, так и киберзащиту. Это гонка вооружений, но с алгоритмами. Дайте денег, уже проигрываем.
📌Глобальное сотрудничество: США хотят работать со всеми — правительствами, компаниями, гражданским обществом — для создания безопасного, инклюзивного и уважающего права цифрового мира. Потому что если мы все просто возьмемся за руки, все будет хорошо, но только у США.
Vkontakte
Twitter
Одноклассники
