S.E.Book

Исследователи из Лаборатории Касперского раскрыли масштабную вредоносную кампанию по майнингу StaryDobry, нацеленную на геймеров по всему миру и задействовала троянизированные пиратские версии таких игр, как Garry's Mod, BeamNG.drive и Dyson Sphere Program.

Причем игры имеют самые высокие рейтинги и сотни тысяч исключительно положительных отзывов в Steam, что делает их первоклассными целями для вредоносной деятельности.

По данным ЛК, кампания началась в конце декабря 2024 года и закончилась 27 января 2025 года, затронув пользователей из Германии, России, Бразилии, Беларуси и Казахстана.

Злоумышленники распространяли зараженные установщики игр через торрент-файлы в сентябре 2024 года, за несколько месяцев до этого, и активировали полезные нагрузки в период праздничных дней, что снижало вероятность обнаружения.

StaryDobry включала многоступенчатую цепочку заражения, кульминацией которой выступал криптомайнер XMRig.

Пользователи скачивали троянизированные установщики игр с торрент-сайтов, которые выглядели вполне обычно, включая при этом как обещанную игру, так и вредоносный код.

Во время установки вредоносный файл unrar.dll распаковывается и запускается в фоновом режиме.

Перед продолжением он проверял, запущен ли он на виртуальной машине, в песочнице или в отладчике.

Вредоносная ПО демонстрирует крайне скрытное поведение и оперативно завершает работу при обнаружении каких-либо средств защиты, возможно, вероятно, чтобы не портить репутации торрента.

Затем вредоносная ПО регистрируется с помощью regsvr32.exe для сохранения и собирает подробную системную информацию, включая версию ОС, страну, ЦП, ОЗУ и сведения о графическом процессоре, отправляя ее на C2 по адресу pinokino[.]fun.

В конечном итоге дроппер расшифровывает и устанавливает загрузчик вредоносного ПО MTX64.exe в системный каталог.

Загрузчик выдает себя за системный файл Windows, реализует подмену ресурсов, обеспечивая легитимность, создает запланированную задачу, которая сохраняется между перезагрузками.

Если хост-машина имеет не менее восьми ядер ЦП, она загружает и запускает XMRig.

Майнер, используемый в StaryDobry, представляет собой модифицированную версию майнера Monero, которая создает свою внутреннюю конфигурацию перед выполнением и не имеет доступа к аргументам.

Майнер постоянно поддерживает отдельный поток, отслеживая работающие на зараженной машине инструменты безопасности, и в случае обнаружения каких-либо инструментов мониторинга процессов отключается.

Задействуемый в кампании XMRig подключается к частным серверам майнинга, что затрудняет отслеживание доходов.

Исследователи Лаборатории Касперского не смогли связать атаки с каким-либо известным актором, но отмечает, что, скорее всего, за атаками стоит русскоязычный злоумышленник.

StaryDobry представляет собой одноразовую кампанию, внедряя майнерский имплант через сложную цепочку выполнения, ориентированную на любителей халявы с мощными игровыми машинами.

Тем не менее такой подход гарантировал злоумышленникам максимализацию прибыли.

Технические подробности и IoCs - отчете.

🖥 Первые операционные системы.

• Первым компьютером для бизнеса, то есть для обработки коммерческих данных, стал LEO I (фото 1) – и этот факт запечатлён в Книге рекордов Гиннесса. J. Lyons & Co. была крупнейшей компанией в отрасли общественного питания Великобритании с ресторанами и кафе по всей стране, а также интересами в производстве продуктов питания! Изначально компьютер LEO I использовали для расчёта цен – он считал стоимость ингредиентов для производства хлеба и пирожных. Затем систему начали использовать для расчёта зарплаты сотрудников и учёта товаров. В 1951 году в компании разработали операционную систему Lyons Electronic Office.

• «Матерью операционных систем» автор журнала Wired называет операционную систему Tape Director от Массачусетского технологического университета. Суть идеи – в создании постоянного набора инструкций о том, как должен работать компьютер. Набор инструкций по программированию содержался на бумажной ленте. Whirlwind (фото 2) стал первым цифровым компьютером, который был способен в реальном времени отображать текст и графику на видеотерминале – экране осциллографа. Для обработки данных компьютер использовал 4500 ламп.

• Одной из первых операционных систем также называют GM-НАА. Её создали Роберт Патрик с General Motors и Оуэн Мок с North American Aviation. В названии зашифрованы названия корпораций: General Motors & North American Aviation Input/Output system. Суть заключалась в том, что в лаборатории General Motors Research пользователю выделялось 15 минут на работу с мэйнфреймом IBM 701 (фото 3); из них 10 минут уходило на подготовку, ещё 5 минут – на исполнение программы. При этом час аренды ЭВМ стоил 300 баксов. Поэтому сотрудники лаборатории задумали создать постоянно исполняемую программу, способную автоматически запускать следующую программу, которая уже загружена в оперативную память ЭВМ.

• В 1956 году программу реализовали для мэйнфрейма IBM 704. Также в 1950-х были Atlas Supervisor для распределения ресурсов компьютера Манчестерского университета, BESYS от лаборатории Белла для IBM 704, IBM 7090 и IBM 7094, операционная система для IBM 704, 709 и 7090, разработанная в Мичиганском университете.

#Разное

😱❗️ Ваш сервер может работать быстрее — докажем на практике!

На открытом уроке «Оптимизация производительности Nginx/Angie» вы узнаете, как выжать максимум из веб-приложения.

Чем займёмся?
— Разберём системные настройки для улучшения работы серверов.
— Научимся оптимизировать TLS, кэширование и клиентскую часть.
— Поймём, какие параметры критичны для производительности.

⭐️ Спикер Николай Лавлинский — PhD Economic Sciences, опытный разработчик, автор курсов по администрированию и оптимизации веб-приложений, ведущий каналов «Ускорение сайтов» и «Поддержка сайтов».

⏰ Встречаемся 24 февраля в 19:00 мск. Урок пройдет перед стартом курса «Administrator Linux. Professional», а все участники получат скидку на обучение.

👉 Успейте зарегистрироваться: https://otus.pw/aQd9/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

☝ Факты о Linux. Часть 2.

• Знаете ли вы, что Linux побывал на Марсе? Операционная система Linux была использована в марсоходе Perseverance от NASA, который успешно приземлился на Красную планету в феврале 2021 года. Этот марсоход, оснащенный по последнему слову техники, включает в себя вычислительный модуль на базе процессора PowerPC 750 с тактовой частотой 200 МГц под управлением ОС Linux. Специально адаптированная версия дистрибутива Linux обеспечивает работу всех бортовых систем марсохода, включая управление, навигацию, сбор и анализ научных данных.

• Выбор Linux для столь ответственной миссии не случаен. Открытость исходного кода, возможность модификации и проверки системы, а также высокая стабильность и надежность Linux стали решающими факторами.

• Помимо космических далей, Linux успешно применяется и в земных высокоскоростных транспортных системах. Знаменитые японские поезда-пули (на фото) используют Linux для управления системой автоматического контроля и безопасности движения.

• Центральная система управления движением поездов построена на базе кластера серверов под управлением Linux. Эта система в реальном времени отслеживает местоположение всех поездов, контролирует скорость, расписание и интервалы движения, а также управляет стрелочными переводами. От надежности и быстродействия этой системы зависят жизни тысяч пассажиров: поезда-пули движутся со скоростью до 320 км/ч и перевозят более 150 миллионов человек в год.

• Интересно, что компания-оператор японских железных дорог JR Group не только использует Linux в своих системах управления, но и активно участвует в разработке самого ядра Linux. Специалисты JR Group регулярно отправляют патчи и улучшения в основную ветку ядра, тем самым внося свой вклад в развитие Linux в целом.

• В общем и целом, Linux прекрасно подходит для применения в критически важных системах реального времени, где требуется высочайший уровень надежности и быстродействия. Вот такие вот факты...

#Разное #Linux

🏓 Пинг-понг: Кто в ответе за сетевую безопасность?

Сетевая безопасность в современных компаниях часто становится предметом разногласий между отделами ИТ и ИБ.

- Кто должен тушить пожар, если началась DDoS-атака?
- Как грамотно распределить зоны ответственности, чтобы минимизировать риски?
- Как построить единую систему управления трафиком, политиками безопасности и мониторинга?

Эти и другие актуальные вопросы мы разберём на вебинаре об оптимальном взаимодействии команд ИТ и ИБ. На примере реального кейса!

Вебинар будет полезен CISO, CIO, CTO, а также ИБ- и ИТ-специалистам.

Зарегистрироваться бесплатно ✅

Реклама. ООО "СЕРВИСПАЙП". ИНН 7708257951.

👩‍💻 Bash Prompt Generator.

• Очень крутой ресурс, где можно сконфигурировать строку для ввода команд в bash. Выбираете параметры, расставляете их в нужной последовательности и копируете готовую конфигурацию.

➡️ https://bash-prompt-generator.org/

#bash

🛡Готовы ли ваши данные к следующей хакерской атаке?

На открытом уроке «Комплексная кибербезопасность компании» вы узнаете, как защитить бизнес от утечек, штрафов и угроз.

Что вас ждёт:
— Многоуровневая защита: почему точечные решения больше не работают.
— Требования регуляторов и грядущие изменения.
— Как соблюдать стандарты ИБ уже сейчас и подготовиться к 2025 году.

Спикер Сергей Терешин — руководитель направления комплексной безопасности, обладатель множества сертификаций. 

Встречаемся 19 февраля в 20:00 мск. Урок проходит перед стартом курса «Информационная безопасность. Professional», а участники получат скидку на обучение.

👉Не ждите, пока будет поздно! Узнайте, как обезопасить данные и избежать финансовых потерь. Регистрируйтесь: https://otus.pw/x9oY/?erid=2W5zFFxdk64 

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

🖥 Компьютерная пресса 90-х годов.

• В самом начале девяностых компьютерщикам было доступно не так уж много развлечений: поиграть в игры, написать для души какую-нибудь программку, почитать на досуге электронные журналы... Стоит отметить, что в 90-х годах такие журналы распространялись на кассетах и дискетах, а воспроизвести их можно было на компьютере ZX Spectrum, который подключался к телевизору.

• На сайтах с архивами софта и старых игр можно отыскать рубрику «газеты и журналы», где заботливо собраны электронные издания для ZX Spectrum, которые когда-то можно было купить, либо позаимствовать у приятеля на кассете или пятидюймовой дискете, как самую обыкновенную игрушку. Такие журналы представляли собой графическую оболочку с системой меню (на фото), открывавших доступ к включённым в номер статьям. Издания содержали анимированные заставки с музыкальным сопровождением, а зачастую — и набор программ с подробными описаниями. Их читатель мог запустить и протестировать, что называется, не отходя от кассы.

• Исторически первым массовым изданием для ZX Spectrum стала бумажная газета «ZX-Ревю», появившаяся на свет ещё в СССР в самом начале 1991 года. Газета, со временем трансформировавшаяся в журнал, печатала материалы по программированию, обзоры игр и софта, а также тексты, присланные читателями. Примерно в 1997 году «ZX-Ревю» перестала выходить в печатном виде и стала полностью электронным изданием. А еще в период с 1996 по 1997 годах был электронный журнал «Хакер» (не путать с текущим журналом ][акер) — под этим названием в Нижнем Тагиле выпускалось своеобразное электронное издание, автором и редактором которого был один человек под ником Alex.

• Со временем "журналы на кассетах" ушли в прошлое. IBM-совместимые персоналки вытеснили «Спектрумы», интернет стал доступнее, появились «домашние странички», ставшие универсальным средством самовыражения для миллионов пользователей сети. Нишу «электронных СМИ» заняли сначала тематические почтовые рассылки, а позже — интернет-порталы, созданием контента для которых занимались уже не любители, а целые команды профессионалов...

#Разное

👩‍💻 Собираем артефакты в Linux.

• Первая задача в цифровой криминалистике — это сбор информации. В данной шпаргалке описан последовательный процесс поиска и сбора артефактов на заведомо взломанной тачке с ОС Linux! Содержание следующее:

• Validate compromised:
- Interviewing client/user/administrator.

• Live response and triage script:
- Linux-CatScale;
- UAC;
- Fennec;
- Other tools in the list.

• Live response commands:
- General information;
- Logon activities;
- Review processes;
- Recover deleted process’s binary;
- Review network;
- Review activities;
- Hunting unusual files;
- Installed programs;
- File investigation;
- Persistent mechanisms;
- Unusual system resources.

• Compromised assestment scanning:
- THOR Lite.

• Hunting rootkit:
- To hunt via 3rd party software;
- Hunting and check files, processes;
- Investigate loaded kernel modules.

• Collect evidences:
- Disk imaging using dd.

• Memory acquisition:
- AVML;
- LIME.

• Investigation and analysis:
- Live response and triage script analysis;
- Memory analysis with Volatility.

• Disk analysis:
- Directories and Files Analysis;
- Log analysis;
- Privilege escalation hunting ideas;
- File recovery;
- Generate Timeline analysis.

#Форензика

В Burp Suite нативно внедрили AI

На деле просто добавили методы для работы с языковой моделью Portswigger через Montoya API, чтобы можно было интегрировать LLM в собственные расширения.

Минусов больше, чем плюсов:
— доступно только в платной версии Burp
— все завязано на походы в API Portswigger
— нельзя подключать локальные модели
— каждый вызов нужно оплачить кредитами

Месяц назад я писал о первом бесплатном AI-расширении burpference, которое успели релизнуть гораздо раньше и бесплатно для всех.

☝ Факты о Linux: cуперкомпьютеры.

• Знаете ли вы, что абсолютно все суперкомпьютеры из топ-500 самых мощных систем мира работают под управлением Linux? Ни одной другой ОС в этом списке нет. Linux безраздельно господствует в мире высокопроизводительных вычислений.

• Суперкомпьютеры используются для решения самых сложных научных и инженерных задач – от моделирования климата и биологических процессов до проектирования новых материалов и лекарств. Эти системы состоят из тысяч серверов, объединенных высокоскоростными сетями, и способны выполнять квадриллионы операций в секунду. Linux легко адаптируется под конкретные вычислительные задачи, поддерживает параллельные вычисления на тысячах узлов и эффективно управляет огромными объемами данных.

• Самые известные суперкомпьютеры мира, такие как Summit в национальной лаборатории Ок-Ридж (США), Sunway TaihuLight в Национальном суперкомпьютерном центре в Уси (Китай), Fugaku в Научно-техническом компьютерном центре RIKEN (Япония) используют специализированные дистрибутивы Linux, оптимизированные под конкретную аппаратную архитектуру и вычислительные задачи.

• Многие коммерческие ЦОДы, облачные платформы и дата-центры также строятся преимущественно на базе Linux. Где нужна предельная вычислительная мощность и надежность – там Linux чувствует себя как дома.

#Разное #Linux

Защищать данные — важный навык! Пройдите бесплатный курс Нетологии, чтобы изучить основы информационной безопасности, найти уязвимости в веб-сервисах и создать свой план развития.

Бесплатный курс Нетологии: информационная безопасность на практике. Найдите уязвимости веб-сервисов, настройте ОС для защиты данных и создайте план развития карьеры.

Реклама. ООО "Нетология". ИНН 7726464125 Erid 2VSb5wAmpdE

🧠 Социальная инженерия в 2024.

• Два очень содержательных отчета от экспертов positive technologies, где описаны сценарии реализации целевых фишинговых атак и обсуждаются полезные нагрузки, которые можно эффективно использовать в качестве векторов получения начального доступа.

• Первый отчет содержит следующую информацию:

1. Почему вложения — моветон.
2. Актуальные способы доставки и хранения полезной нагрузки:
- HTML Smuggling;
- Облачные сервисы;
- WebDAV.
3. Актуальные способы получения начального доступа:
- Контейнеризация;
- LNK;
- MSI.
4. Новые векторы Steal Credentials:
- Атака Browser-in-the-Browser;
- Атака Browser-in-the-Middle.
5. Ключевые тренды.

• Содержание второго отчета:

1. HTML/PDF/SVG Smuggling:
- HTML Smuggling;
- SVG Smuggling;
- PDF Smuggling и PDF Polyglot (aka MalDoc in PDF).
2. URL.
3. PDF Luring.
4. VBA Macro (Hold):
- VBA Purging;
- VBA Stomping;
- VBA Tricks;
- VelvetSweatshop.
5. Разработчикам приготовиться.
6. QR-коды.
7. DLL Side-Loading:
- Примеры атак с использованием DLL Side-Loading.
8. Почему не справляются средства защиты.

#СИ #Отчет

🌍 Сканеры для поиска уязвимостей в веб-серверах.

• В этой подборке собраны различные сканеры, которые позволят повысить безопасность Вашего веб-ресурса. Описание каждого инструменты Вы найдете по соответствующей ссылке. Что касается подборки, то она составлена в определенном порядке: от наиболее популярных решений, к менее известным. Не забудьте сохранить пост в избранное!

• General Purpose Web Scanners:
- ZAP + ZAP Extensions;
- Hetty;
- W3af;
- Arachni;
- Astra;
- Wapiti;
- Skipfish;
- Sitadel;
- Taipan;
- Vega;
- Reaper;
- Tuplar;
- Ugly-duckling;
- BrowserBruter;
- Pākiki.

• Infrastructure Web Scanners:
- Nuclei + Nuclei Templates;
- Tsunami;
- Nikto;
- Striker;
- Jaeles.

• Fuzzers / Brute Forcers:
- dirsearch;
- Ffuf;
- gobuster;
- Wfuzz;
- feroxbuster;
- rustbusterv;
- vaf;
- radamsa.

• CMS Web Scanners:
- WPscan;
- Volnx;
- Droopescan;
- CMSScan;
- JoomScan;
- Clusterd.

• API Web Scanners:
- Cherrybomb;
- Akto;
- Automatic API Attack Tool;
- VulnAPI.

• Specialised Scanners:
- Sqlmap;
- XSStrike;
- Commix;
- Dalfox;
- Xsscrapy;
- Domdig.

#Пентест #Web

🎥 🐧 На открытом уроке «Каталоги /proc, /sys и /dev: виртуальные файловые системы Linux» вы разберётесь в том, что скрыто за системными процессами и как использовать эти данные для диагностики и мониторинга.

Что вы узнаете:
— Как устроены виртуальные файловые системы /proc, /sys и /dev.
— Какие данные помогают решать реальные задачи администрирования.
— Как формируются устройства в /dev и как связаны с ядром Linux.

⭐️ Спикер Андрей Буранов — системный администратор в VK, входит в топ-3 лучших преподавателей образовательных порталов.

⭐️ Встречаемся 17 февраля в 20:00 мск. Урок пройдет перед стартом курса «Administrator Linux. Professional», а все участники получат скидку на обучение.

👉 Участвуйте в вебинаре и добавьте уникальные скиллы в свой арсенал: https://otus.pw/SVqI/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

⏺Первый видеозвонок.

• Идея видеозвонков начала волновать умы уже с конца XIX века, когда был изобретен первый телефон. Людям стало недостаточно просто слышать собеседника, они стремились видеть его. Об этом свидетельствуют многочисленные патенты и эксперименты, проведенные вскоре после появления телефона.

• Однако для реализации этой идеи не хватало технологий и особенно стабильных камер. Прорыв произошел только в апреле 1927 года, когда телекоммуникационный гигант «Bell Labs» представил первый действующий телевизионный комплекс, который транслировал изображение министра торговли Гувера на расстояние более 300 км из Бостона в Нью-Йорк. Правда, связь была односторонней: зрители в Нью-Йорке видели министра, а он их нет.

• Первая двусторонняя видеосвязь появилась в 1931 году, когда «Bell Labs» продемонстрировали видеоразговор между двумя своими офисами. Тогда собеседники впервые увидели друг друга, но Великая депрессия затормозила развитие этих технологий.

• Только в 1959 году «Bell Labs» показала прототип системы двусторонней видеосвязи, который мог передавать лишь один кадр каждые две секунды, но зато обеспечивал четкое изображение. Проект получил название Picturephone Mod I от AT&T. Это название отражало суть устройства — "телефон с изображением". Спустя десять лет компания продемонстрировала усовершенствованную версию Picturephone, способную транслировать 30 кадров в секунду и предназначенную для офисной видеосвязи.

• В 1991 году студенты факультета компьютерных технологий Кембриджского университета изобрели первую веб-камеру, которая передавала изображение в серых оттенках со скоростью один кадр в секунду.

• С наступлением 2000-х годов началась эра смартфонов. В дополнение к уже обычным камерам, стали добавляться фронтальные камеры, специально предназначенные для видеосвязи. Первым пионером был Kyocera Visual Phone VP-200, выпущенный в Японии в 1999 году.

• Технологии видеосвязи постепенно проникали в различные сферы жизни. В 2001 году произошел знаковый случай: первая в мире операция с использованием видеосвязи. Команда врачей из Нью-Йорка успешно провела операцию пациенту, который находился во Франции. Это стало возможным благодаря развитию телемедицины и улучшению качества видеосвязи. Таким образом, технологии видеосвязи продолжали развиваться, открывая новые возможности для различных отраслей...

#Разное

ShadowServer предупреждает о массированном бруте с задействованием 2,8 млн. IP-адресов для нацеливания на сетевые устройства широкого спектра, в том числе Palo Alto Networks, Ivanti и SonicWall.

По данным платформы, атаки продолжаются с прошлого месяца, но недавно она приобрела гораздо большие масштабы с ежедневным вовлечением миллионов различных IoT-устройств и маршрутизаторов MikroTik, Huawei, Cisco, Boa и ZTE.

По состоянию на 9 января 2025 года число участвующих IP-адресов превысило 1,7 млн. Для сравнения, до 18 января 2025 года этот показатель колебался ниже 100 000.

Атакующие IP-адреса распределены по многим сетям и автономным системам и, вероятно, представляют собой ботнет или какую-то операцию, связанную с сетями резидентных прокси.

Ранее нечто подобное детектили в Cisco, предупреждая о широкомасштабной кампании по перебору учетных данных, нацеленной на устройства Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti по всему миру.

Исследователи продолжают следить за ситуацией и призывают сетевых администраторов расследовать вредоносную активность в своих сетях.

Вообще же, столь высокие показатели может и оправданы для атак в отношении Palo Alto Networks и SonicWall, а для успешной эксплуатации Ivanti потребовался, пожалуй, десяток IP.

👩‍💻 Уроки форензики. Большой гид по артефактам Windows

• Объемная шпаргалка о методах поиска информации в операционной системе Windows — с целью выявления различных инцидентов. В этой статье описан последовательный процесс сбора артефактов на заведомо взломанном ПК. Содержание следующее:

• Typical Forensic investigation flow.

• Tools:
- Acquire artifact’s Tools;
- Forensic analysis tools;
- OS / Linux Distros.

• KAPE cheatsheet:
- KAPE target extraction;
- Memory dump;
- Live response command and scanner;
- All in one artifact parsing;
- Event log / log scanning and parsing;
- Program Execution;
- File folder activity;
- NTFS and FileSystem parsing;
- System activity;
- Mounted image scanner.

• Analysis Findings:
- Live Forensics;
- Memory analysis;
- Disk analysis;
- Windows event logs analysis;
- Triage artifacts parsing and analysis;
- Other Artifacts.

• Lateral Movement Detection and Investigation:
- Credential harvesting;
- File sharing;
- Remote login;
- Remote Execution.

#Форензика

Приглашаем на бесплатный онлайн-урок «Скрываем процесс с помощью DKOM» пройдет 18 февраля в 20:00 мск. Все участники получат скидку на обучение на онлайн-курсе «Reverse Engineering»!

На уроке разберём приёмы манипуляции объектами ядра, позволяющие скрыть процесс в системе.

О чём поговорим:
- Ключевые объекты ядра и их роль в управлении процессами.
- Основные функции ядра для взаимодействия с процессами и их особенностей.
- Применение DKOM для скрытия и маскировки процессов.

Кому будет интересно:
Вирусным аналитикам, системным программистам и всем, кто изучает низкоуровневые механизмы Windows.

В результате урока вы получите:
- Навык написания драйвера, способного скрывать процесс с помощью DKOM.
- Практическое понимание техник маскировки и способов их обнаружения.

Регистрируйтесь прямо сейчас, чтобы не пропустить: https://otus.pw/Nzei/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

📶 Uptime Kuma.

• Удобный open source инструмент для мониторинга ресурсов сети. Умеет слать алерты Вам в Telegram, Discord, Gotify, Slack, Pushover, Email и еще кучу разных сервисов. Позволяет мониторить срок действия SSL-сертификатов, сайты по HTTP, DNS записи, открытые TCP порты, статус Docker контейнеров, SQL сервера и еще кучу всего разного: https://github.com/louislam/uptime-kuma

• Из минусов, не хватает мониторинга параметров сервера (место на диске, нагрузка).

• Вы, конечно, можете использовать Zabbix, но для многих он будет тяжеловесным и избыточным решением.

➡️ Сайт проекта | Docker-образ | Демо без установки.

#Мониториг

🔐 Схема карьерных треков в кибербезопасности.

• На интерактивной схеме показаны рабочие роли (трудовые функции) в области кибербезопасности, сформированные на основе анализа текущих вакансий.

• Если Вы задаетесь вопросом "как развиваться в кибербезопасности и к какой должности стремиться? какие задачи я смогу решать через несколько лет? смогу ли я изменить свой карьерный путь, если пойму, что мне становится скучно?", то эта карта Вам обязательно поможет:

➡ https://cybersecurity-roadmap.ru

#Roadmap

• Архив Интернета — некоммерческая организация, которая была основана еще в 1996 году, а для большинства из Вас Архив Интернета известен своей Wayback Machine, которая индексирует архивирует веб-страницы и ежедневно собирает около миллиарда URL...

• Так вот, мало кто знает, что физический архив интернета расположен недалеко от Сан-Франциско и даже есть возможность посетить экскурсию, где можно узнать много фактов и интересных вещей. Забавно, что экскурсию может лично провести сам основатель Архива - Брюстер Кейл.

• Сам архив доверху забит грузовыми контейнерами, которые заполнены старыми книгами и другими материалами. Если честно, я даже и не знал, что ребята собирают еще и книги \ видеокассеты \ диски и т.д., я предполагал, что цель данного проекта только в архиве веб-страниц. Но все гораздо глобальнее..

• Физический архив, как следует из его неформального названия — это хранилище физических носителей: книг, каталогов, старых компьютерных дисков, плёнок, аудиозаписей, кассет и многого другого. Когда в Архив поступает новый носитель, его персонал сначала решает, не является ли он дубликатом чего-то уже имеющегося; этот процесс они называют дедупликацией. Если он оказывается дубликатом, то его выбрасывают или отдают. Если нет, то его оцифровывают, а физический объект архивируют. Что касается музыки, то она традиционно имела разнообразные форматы хранения — винил, компакт-диски, кассеты, MP3 и так далее.

• В этом году Архив Интернета попал в новости из-за юридических атак со стороны как книгоиздательского бизнеса, так и музыкальной индустрии. Основатель поясняет, что выжить Интернет Архиву совсем не просто, и что Архив выживает на пожертвования примерно 110 тысяч человек, в среднем переводящих примерно по $5, а также на средства фондов, переводящих серьёзные суммы денег. А еще Архив предоставляет абонентские услуги библиотекам и другим организациям.

• Что касается серверов, то тут точные данные не раскрываются. Ориентировочно Архив Интернета закупает по 1 стойке в месяц, которая может хранить в себе около 5 петабайт. Вот такие дела...

➡️ Тут есть много фоточек с экскурсии: https://thenewstack.io/a-visit-to-the-physical-internet-archive/

#Разное

Как защитить корпоративные данные? Нужно подключить 2FA!

11 февраля в 11:00 (МСК) присоединяйтесь к вебинару МУЛЬТИФАКТОР и ОБИТ, чтобы узнать о главном инструменте, который помогает не только обезопасить внутренние корпоративные данные, но и защитить служебные учётные записи от несанкционированного входа. 

На вебинаре обсудим:
- Как изменился вектор атак в 2024 и как изменится в 2025 году
- 2FA от MULTIFACTOR: архитектура, функционал и возможности
- Демонстрация работы с сервисами «Яндекс360» с помощью портала самообслуживания
- Подключение по VPN с использованием 2-го фактора

ЗАРЕГИСТРИРОВАТЬСЯ

⚙ Red Team Toolkit.

• Автор этого материала собрал полезный список инструментов и оборудования, которое пригодится при проведении пентеста. У большинства инструментов есть ссылки на магазин и альтернативное решение.

• Спиcок разбит на категории, где Вы найдете всё, что используется в арсенале Red Team специалистов (от инструментов для взлома Wi-Fi, до дронов и наборов для локпикинга):

- Reconnaissance Tools;
- LockPicking & Entry Tools;
- Bypass tools;
- Drops and Implants;
- EDC tools;
- Additional tools;
- Suppliers and Cool websites.

➡ https://www.kitploit.com/2023/03/redteam-physical-tools-red-team-toolkit.html

#Пентест

👩‍💻 Manjaro Linux.

• В декабре 2024 года состоялся релиз дистрибутива Manjaro Linux 24.2, построенного на базе Arch Linux и ориентированного на начинающих пользователей. Но тут речь пойдет не о релизе, а о том, что многие люди при переходе на Linux дома или на работе, обычно ставят Ubuntu, Mint, Fedora, порой даже Debian. И очень зря не пробуют Manjaro Linux — хотя этот дистрибутив гораздо удобнее Убунты и даже удобнее Минта.

• Manjaro — производная от Arch Linux (так же как Ubuntu — производная от Debian), пилится европейской командой Manjaro Team. У Манжары почти такая же структура системы, как у Арча, но с некоторыми особенностями, которые делают его на 146% юзерфрендли.

• Вероятно, что Manjaro является первым дистрибутивом Линукса, который можно использовать, не открывая терминала. Все накладные функции вроде настройки железа и системы реализованы в GUI. Видеодрайвер Nvidia ставится нажатием кнопки, после чего не доставляет проблем. Так же легко ставятся локали и даже версии ядер, включая realtime-ветку и нестабильное ядро из гита. Все нужные сторонние модули ядра, от всяких проприетарных драйверов до ZFS, лежат готовые в основных репозиториях.

• Если столкнулись с какой-либо проблемой, то с ней можно обратиться на официальный форум, там всегда есть кто-нибудь из Manjaro, которые помогут ответить на вопросы. Для искушённых — wiki дистрибутива, а в случае чего можно использовать мощнейшую wiki Арча, ибо Манжара ему почти идентична.

• В общем и целом, если хотели перейти на Linux, то рекомендую начать именно с этого дистрибутива. Если интересно описание релиза, то вот тут можно прочитать о всех изменениях: https://forum.manjaro.org/t/manjaro-24-2-yonada-released/171684

#Linux

ДНК технологического лидерства: Что лежит в основе решений “Лаборатории Касперского”?

Обеспокоенность бизнес-лидеров темой кибербезопасности все чаще используется для продажи решений с сомнительной эффективностью.
Коллеги из «Лаборатории Касперского», категорически против такого подхода и вот уже более 27 лет создают и развивают настоящую экспертизу внутри компании, предлагая проверенные решения для защиты вашего бизнеса и пользователей.

Присоединяйтесь к вебинару 6 февраля в 11:00, где эксперты компании расскажут:
➔ Какие критерии действительно важны при выборе защитных решений, помимо рекламируемых характеристик
➔ Что стоит за экспертизой, на которой основаны продукты и сервисы Kaspersky
➔ Роль Центров экспертизы Kaspersky в создании уникальных технологий и решений

Зарегистрироваться ⟶

👾 DOCGuard.

• Что нужно делать, если перед вами документ сомнительного происхождения? Ответ прост: проверить файлик через определенные инструменты или загрузить на специализированные ресурсы. Одним из таких ресурсов является DOCGuard, который проверит документ на наличие известных уязвимостей, подозрительных скриптов и ссылок на фишинговые ресурсы.

• Но тут немного не об этом. Ценность ресурса представляет совершенно другой функционал, который будет полезен пентестерам и специалистам в области информационной безопасности. У DOCGuard есть очень интересная страница с примерами вредоносных документов, которые не детектят большинство антивирусов, что позволяет мониторить новые техники и методы. Пользуйтесь: https://app.docguard.io/examples

#Malware

📰 Использование досок объявлений в фишинге.

• Фишинг — один из самых распространенных векторов атак на сегодняшний день, и одно из популярнейших направлений Социальной Инженерии.

• В этой статье описаны схемы злоумышленников, которые нацелены на покупателей и продавцов на онлайн-досках объявлений! Содержание следующее:

- Как обманывают пользователей досок объявлений;
- Как злоумышленники выбирают жертв;
- Как обманывают жертву;
- Как выглядят фишинговые страницы;
- Группировки;
- Мошенничество как услуга (Fraud-as-a-Service);
- На какие страны направлен скам с досками объявлений;
- Мануал по ворку;
- Монетизация украденных карт;
- Автоматизация мошенничества с помощью Telegram-бота;
- Как выглядят фишинговые ссылки;
- Обновление ботов;
- Что происходит после перехода по ссылке;
- Прибыль и статистика;
- Как не попасться на удочку воркера.

➡ Читать статью [13 min].

#Фишинг

Исследователи BI.ZONE сообщают об обнаружении широкомасштабной кампании, нацеленной на российские организации разных отраслей, в которой задействуется стиллер NOVA - новый форк SnakeLogger с прайсом от 50$.

В ходе наблюдаемой кампании злоумышленники распространяли NOVA в прикрепленных к фишинговым письмам архивах, маскируя под договоры (например, Договор.exe).

Примечательно, что атакующие не использовали ни двойное расширение, ни иконку, позволяющие замаскировать вредоносный файл под легитимный документ.

После запуска вредоносный файл осуществляет декодирование данных, скрытых с помощью стеганографии, из ресурсов с именем zabawa2, а затем копирует себя под другим именем в AppData\Roaming и запускает PowerShell для добавления файла в исключения Microsoft Defender.

Для закрепления в скомпрометированной системе вредоносный файл использует планировщик заданий Windows.

Далее вредоносный файл запускает себя в состоянии suspended и осуществляет внедрение расшифрованной нагрузки в собственный дочерний процесс.

Цепочка API‑вызовов выглядит следующим образом: CreateProcessInternalA (suspended) - VirtualAllocEx - WriteProcessMemory - SetThreadContext - ResumeThread.

Примечательно, что вредоносный файл содержит строки на польском языке. При этом внедряемая вредоносная нагрузка представляет собой стилер NOVA, форк другого популярного стилера - SnakeLogger.

Для получения информации об IP и стране скомпрометированной системы NOVA осуществляет запросы к веб-ресурсам checkip[.]dyndns[.]org и reallyfreegeoip[.]org.

Стилер собирает сохраненные аутентификационные данные из различных источников, фиксирует нажатия клавиш, а также делает скрины экрана и извлекает данные из буфера обмена.

Эксфильтрация реализуется по SMTP.

Также образец потенциально способен отключать Microsoft Defender, диспетчер задач, редактор реестра и командной строки.

Функции с соответствующими названиями в стиллере присутствуют, однако в них отсутствует код, необходимый для выполнения вредоносных действий.

Кроме того, обнаружена функция, которая ограничивает выполнение ВПО после определенной даты.

NOVA распространяется по модели MaaS (имеется даже свой канал в Telegram) и широко используется в киберподполье как минимум с августа 2024 года.

При этом разработчик предлагает не только стилер, но и криптор.

Стоимость стилера начинается от 50$ за месячную лицензию и доходит до 630$ за бессрочную, у криптора - от 60$ (за месяц) до 150$ (за 3 месяца).

Технические подробности и IoC - в отчете.

🛡Как защитить бизнес от утечек? Присоединяйтесь к открытому вебинару и узнайте, как выстроить многоуровневую защиту. 

5 февраля в 20:00 мск на открытом вебинаре вы узнаете:
- Предмет защиты и специфику среды. Кратко разберём, какие особенности Docker требуют особого внимания с точки зрения безопасности.
- Практические рекомендации по окружению. Поговорим о том, как правильно настраивать среду выполнения для Docker, чтобы минимизировать риски.
- Безопасную сборку образов. Узнаете, на что смотреть при создании Docker-образов и как не допустить критических уязвимостей на этапе сборки.

Регистрируйтесь на открытый урок в преддверие старта курса «Информационная безопасность. Professional». Все участники получат скидку на обучение!

👉Узнать больше: https://otus.pw/xxP9/?erid=2W5zFHqP4vc 

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

👨‍💻 Roadmap для тех, кто собирается в DevOps.

• Многие, кто изучают DevOps, ориентируются на Roadmap.sh. Это классный ресурс, который помогает понять, какие компетенции нужно приобрести в профессии. Но в нём очень много информации, начинающие специалисты рискуют утонуть в деталях.

• Более оптимальный роадмап можно найти на хабре. Он разбит на уровни, фокусирует внимание на том, что в первую очередь понадобится для старта и роста в профессии и содержит ссылки на наши платные и бесплатные курсы. Статья будет полезна разработчикам и системным администраторам, которые хотят перейти в DevOps.

➡️ https://habr.com/ru/post/773618

#DevOps #Roadmap

🐇 Plan 9.

• В 80-х годах XX века компания Bell Labs внезапно решила, что Unix устарел. Эта операционная система, разработанная Кеном Томпсоном и Деннисом Ритчи в недрах Bell ещё в начале 70-х, прекрасно зарекомендовала себя в качестве платформы для обслуживания телефонии, учёта абонентов и автоматизации различных технологических процессов. Но в Bell Labs пришли к выводу, что нужно двигаться дальше — и главного разработчика Unix привлекли к созданию ОС нового поколения, получившей название Plan 9.

• Проектом занялось специализированное подразделение Bell, известное как «Исследовательский центр компьютерных наук» (CSRC), а фактически разработку вела та же команда, которая изначально трудилась над Unix и языком программирования С — Кен Томпсон, Ден Ритчи, Роб Пайк, Дэйв Пресотто и Фил Уинтерботт.

• Plan 9 изначально задумывался как опытная модель для решения различных проблем операционных систем, нежели как реальный коммерческий продукт. Правда, это не помешало владельцам проекта продавать лицензии на систему. Однако не очень успешно и весьма дорого. В течение жизненного цикла ОС было выпущено 4 версии. Первая была доступна только университетам. Вторая продавалась за немалые $350 всем желающим. Третья распространялась бесплатно под лицензией Plan 9 License, а четвертая — под Lucent Public License v1.02. В 2014 году Plan 9 опубликовали под GPLv2.

• С некоторыми допущениями можно сказать, что Plan 9 — прямой потомок Unix: вне графической оболочки система управляется Unix-командами, а в основе новой операционной системы лежал применяемый в Unix принцип «всё есть файл», но здесь он был расширен до идеи «всё есть файл на любом устройстве» — ОС изначально была рассчитана на работу в сети по специальному файловому протоколу 9P. Это общий, независимый от среды протокол, обеспечивающий доставку сообщений в клиент-серверной архитектуре. В Plan 9 у каждого процесса имеется собственное изменяемое пространство имён, которое он может модифицировать, не затрагивая пространства имён связанных процессов. Среди таких модификаций предусмотрена возможность монтировать по протоколу 9Р соединения с серверами, что позволяет локальной ОС гибко использовать различные удалённые ресурсы — как отдельные файлы, так и устройства.

• В общем и целом, эксперимент остался экспериментом, а Plan 9 вдохновил на создание нескольких “потомков”: HarveyOS, Jehanne OS и Inferno OS. Что касается кода системы, то он достаточно компактен и легок. В теории Plan 9 можно портировать практически на любую процессорную архитектуру с аппаратной поддержкой MMU.

• Весьма курьезно происхождение имени ОС: она названа в честь второсортного ужастика 1959 года Plan 9 From Outer Space (в чем-то мысли разработчиков операционных систем сходятся). Посмотреть на работу системы в виртуальной машине можно тут: https://www.youtube.com/watch?v=8Px491QOd1Y

➡️ https://9p.io/plan9/

#Разное

Узнайте, как мигрировать ПО на отечественное с помощью Атом.Порт: https://otus.pw/Hj8V/

Хотите легко перевести рабочие станции на отечественное ПО? Практика на виртуальных стендах, полное освоение SaltStack! «Атом.Порт» и наши эксперты помогут автоматизировать задачи и защитить данные!

Бесплатный курс при поддержке Росатома: освоение «Атом.Порт» и SaltStack. Пройдите путь от установки до управления безопасностью рабочих станций.

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

Продолжается мощный накат на китайскую DeepSeek, у которой исследователи Wiz Research случайно обнаружили общедоступную незащищенную базу данных ClickHouse на oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000.

И, по стечению обстоятельств, в ней размещались миллионы строк конфиденциальной информации, включая историю чатов пользователей, API-ключи, логи и даже данные бэкенда с внутренней информацией о работе инфраструктуры.

Как отметили в Wiz, после простой разведки общедоступной инфраструктуры DeepSeek нашлась общедоступная база данных ClickHouse, которая была полностью открыта и не требовала никакой аутентификации.

Любой мог получить доступ к данным и полный контроль над системой без аутентификации, о чем исследователи оперативно сообщили команде DeepSeek, которая немедленно ограничила доступ к БД из Интернета

При этом в Wiz отметили, что обнаружить утечку специалисты смогли буквально в течении нескольких минут, а занялись этим, поскольку DeepSeek произвел фурор в сфере ИИ.

По всей видимости, к развернувшейся против DeepSeek кампании подключены все имеющиеся ресурсы, будем следить за развитием ситуации.

Открытый вебинар «Hadoop в Docker»

📚На вебинаре вы узнаете:
Как легко и быстро запустить основные компоненты Hadoop в контейнерах Docker, а также получите представление о том, как начать работать с ними в реальных проектах!

Спикер Вадим Заигрин — опытный преподаватель, разработчик, Data Engineer и Data Scientist, Team Lead команд инженеров данных на разных проектах.

⏰12 февраля в 20:00 мск.
🆓Бесплатно.  Вебинар в рамках курса «Data Engineer»

👉Регистрируйтесь по ссылке: https://otus.pw/FaTW/?erid=2W5zFHzDJKS

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

#реклама
О рекламодателе

Forescout выкатили отчет об угрозах за 2024 год, констатируя, что протоколы промышленной автоматизации по-прежнему остаются наиболее уязвимыми для атак, нацеленных на операционные технологии (OT), однако все чаще мишенью становятся системы автоматизации зданий. 

В основу исследования положены результаты анализа, зафиксированные ханипотами компании в прошлом году, включая сканирование портов, атаки методом подбора и попытки эксплуатации уязвимостей.

Отчет охватывает воздействия на веб-сервисы и устройства сетевой инфраструктуры, действия после эксплуатации, а также атаки на системы OT и критическую инфраструктуру.

Исследователи также поделились данными о вредоносном ПО и субъектах угроз, которые инициировали эти атаки. 

Что касается атак OT, то в 2024 году наиболее целевым протоколом был Modbus, за которым следуют Ethernet/IP, Step7, DNP3 и BACnet.

Процент атак на Modbus увеличился с 33% до 40% с 2023 по 2024 год, а в случае Ethernet/IP — с 19% до 28%. Атаки на DNP3 и Step7 снизились с 18% до 8% для обоих протоколов OT.

Наиболее уязвимыми по-прежнему остаются протоколы, связанные с системами промышленной автоматизации: на них приходится 79% атак (по сравнению с 71% в 2023 году), далее следуют коммунальные службы с 12% (по сравнению с 28%) и автоматизация зданий с 9% (по сравнению с 1%)

Как отмечают в Forescout, наиболее существенный рост наблюдается в категории автоматизации зданий - особенно если посмотреть на новые протоколы, подвергающиеся атакам.

При этом в прошлом году атаки на автоматизацию зданий были сосредоточены на эксплуатации уязвимостей, а не на прямом взаимодействии с протоколами.

В 2024 исследователи увидели, что интерес к протоколам автоматизации зданий растет, поскольку злоумышленники по-прежнему используют уязвимости на этих устройствах.

Для этого в их распоряжении представлено множество «удобных» уязвимостей, из которых есть что выбирать при проведении атак.

Например, исследователь Джоко Крстич недавно предупредил, что широко используемый продукт управления зданиями от ABB подвержен более чем 1000 уязвимостям, включая недостатки, которые могут подвергнуть многие объекты удаленному взлому.

В целом Forescout обнаружила, что 73% эксплуатируемых уязвимостей не были включены в список KEV CISA, что на 65% больше, чем в 2023 году.

Если рассматривать конкретно уязвимости, затрагивающие ОТ и промышленные продукты IoT, то по крайней мере 25 уязвимостей, эксплуатируемых ботнетами и автоматизированными атаками, не были включены в каталог KEV. 

Сюда входят CVE с 2018 по 2023 год, затрагивающие продукцию Apsystems, Carel, Chiyu, Contec, Eaton, Ecoa, Emerson, Endress+Hauser, Frangoteam, Honeywell, KevinLab, Linear, Loytec, OAS, Schneider Electric, Teltonika, Viessman, Wago и ZKTeco.

Другие подробности исследования - в отчете.

👩‍💻 picosnitch. Утилита для мониторинга трафика в Linux.

• Смотрите, какая есть крутая тулза для мониторинга трафика в Linux. Покажет нам данные по определенному приложению, хешу, порту, домену и исполняемому файлу. Конфигурируется через json, а инфу выводит в веб-интерфейсе. А еще мы можем настроить различные уведомления, к примеру, когда наше ПО полезет в сеть. В общем и целом, по ссылке ниже (или на скриншоте) Вы сможете найти подробное описание и другую необходимую информацию:

➡️ https://github.com/elesiuta/picosnitch

#Linux

🌥 Зарождение облачных технологий. С чего все начиналось?

• Шестьдесят один год назад, в 1963 году, Управление перспективных исследовательских проектов (DARPA), действующее, как известно, в интересах Министерства обороны США, выделило Массачусетскому технологическому институту грант в размере двух миллионов долларов на очень интересную разработку. Она получила наименование Project on Mathematics and Computation, сокращенно — Project MAC, хотя к «макам» (в современном понимании), никакого отношения не имела.

• Целью исследователей, группу которых возглавили ученые-кибернетики Роберт М. Фано и Фернандо Хосе Корбато, стала разработка принципиально новой системы разделения времени, предназначенной для организации совместного доступа к ресурсам электронно-вычислительных машин нескольким удаленным пользователям. Причина интереса к подобным технологиям со стороны военного ведомства, в общем-то, очевидна: компьютеры в те времена были дорогими, и их насчитывалось относительно мало, а потребность в вычислениях росла стремительными темпами.

• В основу Project MAC легла созданная Фернандо Хосе Корбато за несколько лет до этого экспериментальная система Corbato Compatible Time-Sharing System (CTSS), которая позволяла пользователям нескольких подключенных к ЭВМ терминалов обращаться к одной и той же работающей на такой машине программе. Код CTSS переработали и усовершенствовали, в результате чего уже через полгода 200 пользователей в десяти различных лабораториях MIT смогли подключиться к одному компьютеру и централизованно запускать на нем программы. Это событие можно считать отправной точкой в истории развития облачных технологий, поскольку в рамках данного эксперимента был реализован основной лежащий в их основе принцип — многопользовательский режим доступа по требованию к общим вычислительным ресурсам.

• К 1969 году на основе проекта MAC компании Bell Laboratories и General Electric создали многопользовательскую операционную систему с разделением времени Multics (Multiplexed Information and Computing Service), в фундаменте которой лежали заложенные учеными MIT принципы. Помимо организации доступа к приложениям, Multics обеспечивала совместное использование файлов, а также реализовывала некоторые функции безопасности и защиты данных от случайного повреждения. Именно на основе этой системы в ноябре 1971 года Кен Томпсон создал первую версию UNIX, на долгие годы ставшую самой востребованной многопользовательской операционной системой в мире.

• Можно сказать, что с момента появления UNIX в истории развития облачных технологий на некоторое время наступило затишье, поскольку эта система полностью соответствовала требованиям как многочисленных коммерческих предприятий, так и учебных заведений, где она использовалась в образовательном процессе. Затишье продлилось ровно до тех пор, пока в самой Bell Laboratories не решили заменить UNIX более современной ОС, ориентированной в первую очередь на совместное использование аппаратных и программных ресурсов.

• Это решение стало еще одним шагом к развитию современных облачных технологий. Новая система Plan 9, разработкой которой занималась команда создателей UNIX во главе с Кеном Томпсоном, позволяла полноценно работать с файлами, файловыми системами и устройствами вне зависимости от того, на каком подключенном к сети компьютере они расположены физически. Де-факто, эта ОС превращала всю компьютерную сеть в одну глобальную многопользовательскую вычислительную систему с общими ресурсами, доступ к которым осуществлялся по требованию и в соответствии с правами пользователей — то есть, фактически, в некое подобие современного «облака».

• Следующим важным шагом в эволюции облачных систем стало появление виртуальных машин. Но об этом мы поговорим немного позже....

#Разное

Исследователи CloudSEK расчехлили атаку на цепочку маминых хацкеров, которую удалось провернуть с помощью троянизированного билдера вредоносного ПО, который тайно доставлял бэкдор для кражи данных и захвата компьютеров.

Задействованное в кампании вредоносное ПО XWorm RAT заразило 18 459 устройств по всему миру, большинство из которых расположены в России, США, Индии, Украине и Турции.

При этом он  специально был нацелен на новичков в кибербезе, которые попросту скачивали и использовали инструменты, упомянутые в различных руководствах.

CloudSEK обнаружила, что вредоносное ПО включало функцию аварийного отключения, которая активировалась для удаления вредоносного ПО со многих зараженных машин, но в виду ряда ограничений некоторые из них остались зараженными.

Обнаруженный троянизированный билдер распространялся по различным каналам, включая репозитории GitHub, платформы хостинга файлов, каналы в Telegram, ролики на YouTube и другие сайты.

Для завлечения ничего не подозревающих жертв акторы продвигали билдер в качестве альтернативы бесплатной версии вредоносного ПО.

Однако вместо этого устройства новоиспеченных операторов взламывали. После заражения вредоносная программа XWorm проверяла реестр Windows на наличие признаков виртуализированной среды.

После необходимых тестов вредоносная ПО вносила необходимые изменения в реестр, обеспечивая сохранение между перезагрузками системы.

Каждая зараженная система регистрировалась на сервере C2 на базе Telegram с использованием жестко запрограммированного идентификатора и токена бота Telegram.

Вредоносная ПО также автоматически крала токены Discord, системную информацию и данные о местоположении (с IP-адреса), передавая их на C2 в ожидании команд от операторов.

56 поддерживаемых команд обеспечивали решение широкого диапазона задач, включая кражу сохраненных паролей и cookie из браузеров, кейлоггинг, контроль экрана, шифрование файлов, прекращение запущенных процессов, эксфильтрация файлов и самоудаление.

По данным CloudSEK, операторы вредоносного ПО смогли извлечь данные примерно с 11% зараженных устройств, преимущественно реализуя снимки экрана и похищая данные из браузеров.

В общем, в CloudSEK решили прекратить дальнейшие соития жаб и гадюк, нейтрализовав ботнет через жестко запрограммированные API-токены и встроенную функцию экстренного отключения.

👨‍💻 HTTP Security Headers.

• X-Content-Type-Options Header;
• Reflected File Download (RFD);
• CORS Deception;
• Clickjacking;
• XSS (Cross-Site Scripting);
• SSL/TLS Stripping (MITM);
• Cookie Hijacking;
• CSRF (Cross-Site Request Forgery);
• Information Disclosure Attacks;
• Cache-Control Header;
• Content-Disposition Header;
• Cross-Origin Resource Policy (CORP);
• Extra HTTP Header Injection;
• Content-Encoding Header;
• Access-Control-Allow-Origin Header;
• X-Rate-Limit and X-Forwarded Headers;
• X-Content-Type-Options Header;
• XSS and CSRF Protection;
• Content-Security-Policy (CSP).

#devsecops

👩‍💻 Карманный Linux на базе Raspberry Pi Zero с клавиатурой BlackBerry.

• Разработчик и студент Дрезденского технического университета под ником ZitaoTech представил открытый проект Hackberry-Pi_Zero, включая 3D-модель корпуса и электрическую схему под лицензией MIT.

• Это карманный терминал #Linux на базе микрокомпьютера Raspberry Pi Zero 2W (чип Broadcom BCM2710A1 с четырьмя ядрами Cortex-A53 с рабочей частотой 1 ГГц, объём памяти 512 МБ ОЗУ LPDDR2 SDRAM) с 4" TFT-дисплеем разрешением 720х720 пикселей, оригинальной клавиатурой BlackBerry (Фото 1, модель Q10 или Q20) и питающийся от двух стандартных АКБ (фото 2) типа Nokia BL-5C.

• Следует отметить, что двойную сменную батарею можно поочерёдно заменить за 10 секунд, не отключая питание. Время работы батареи в режиме тестирования: 3,5 часа при использовании в качестве настольного компьютера, 5 часов в режиме работы в командной строке.

• Hackberry-Pi_Zero имеет 3 порта USB2.0, его можно использовать с USB-накопителем или модулем 4G Dongle или любым USB-устройством. Устройство имеет встроенный порт Stemma I2C, куда можно подключать любые датчики I2C. Гаджет имеет внешний слот для карты памяти типа TF.

• На Hackberry-Pi_Zero можно установить Kali Linux, Raspberrypi OS или Retropi и многие другие ОС на базе Linux. В готовом виде Hackberry-Pi_Zero можно приобрести (только без Nokia BL-5C) за $126 с клавиатурой BBQ10 или за $127 с клавиатурой BBQ20.

- Видеообзор устройства доступен на YT;
- Более подробное описание и вся необходимая информация есть на GitHub.

#Raspberry #Kali

📶 Сети в Linux.

• Бесплатный курс от linkmeup, который поможет получить необходимые знания работы сетей в #Linux. Что самое крутое, так это 30% теории и 70% практики, а еще будут домашние задания с ревью. Ну и в качестве выпускной работы нам нужно будет собрать или «‎починить»‎ виртуальную лабораторию!

• Содержание курса:

- Что такое сети на примере Linux: база, OSI ISO, IP, TCP;
- Делаем офисный роутер из Linux: маршрутизация, DHCP/SLAAC, DNS, Firewall, NAT;
- Работа с локальной сетью и серверами: ARP, NDP, Linux Bridge, STP, LACP, VLAN, VRRP;
- Подключаем удалённые офисы. Маршрутизация, VPN-туннели: туннелирование, VPN, IPSec, динамическая маршрутизация;
- Ищем проблемы. Инструменты отладки: на сладкое большая лабораторная работа, где нужно всё починить.

➡ https://seteviki.nuzhny.net

• В общем и целом, мы получим представление о том, как устроена сеть в Linux, познакомимся с протоколами и технологиями, грамотно настроим систему для работы с сетью и научимся пользоваться инструментами для настройки сетевого стека в linux и диагностики его работы. Добавляйте в избранное и изучайте.

• P.S. Не забывайте по наш репозиторий, в котором собран полезный материал для изучения сетей: https://github.com/SE-adm/Awesome-network/tree/main

#Linux #Курс #Сети

⛈ SaaS Security Playbook.

- SAML Enumeration;
- Subdomain Tenant Discovery;
- Example: BambooHR (Subdomain Discovery);
- Slug Tenant Enumeration;
- DNS Reconnaissance;
- Username Enumeration;
- Consent Phishing;
- Poisoned Tenants;
- SAMLjacking;
- Account Ambushing;
- Credential Stuffing;
- App Spraying;
- IM Phishing;
- IM User Spoofing;
- nOAuth;
- MFA Fatigue;
- Device Code Phishing;
- Hijack OAuth Flows;
- AiTM Phishing;
- Device Enrollment;
- Ghost Logins;
- MFA Downgrade;
- Guest Access Abuse;
- Shadow Workflows;
- OAuth Tokens;
- Client-side App Spoofing;
- API Keys;
- OAuth Tokens;
- Evil Twin Integrations;
- Link Backdooring;
- Abuse Existing OAuth Integrations;
- Malicious Mail Rules;
- Password Scraping;
- API Secret Theft;
- App Directory Lookup;
- Link Backdooring;
- Abuse Existing OAuth Integrations;
- API Secret Theft;
- Webhooks;
- Shadow Workflows.

https://blog.redteamguides.com/saas-security-playbook

#SaaS

📟 Гаджет, который ушёл.

• В 1920-е годы в Детройте полиция использовала радио для оповещения мобильных подразделений. Диспетчер передавал информацию, которую слушали все патрульные автомобили. Позже системой начала пользоваться армия США. В процессе эволюции связи появились миниатюрные приемные устройства.

• В 1956 году Motorola представила пейджер (на фото №1) для сотрудников клиник — Handie-Talkie. Теперь вместо того, чтобы объявлять по громкоговорителю имя врача, имя пациента и палату, сообщение посылали на портативные устройства. Врач подносил миниатюрное устройство к уху и слушал сообщение. Под одной системой, состоящей из пейджеров и базы, управляемой операторами, могли работать несколько сотен человек.

• Первая пейджинговая связь в СССР появилась с 1960-х годов — для «скорой помощи» и других государственных структур. Затем в 1979 английская компания Multitone развернула сети для подготовки к Олимпиаде-1980 в Москве. Рядовым гражданам этот тип связи стал доступен только в 1993 году. В апреле 1996 года в стране обслуживались 200 тысяч абонентов.

• В 1990-е годы пейджеры (на фото №2) были признаком достатка, затем стали обыденностью, но к 2000-м сотовые телефоны победили благодаря снижению стоимости на услуги. Зачем пейджер, если можно позвонить или отправить смс-сообщение?

• В 1993 году выручка игроков рынка пейджинговой связи составила 2,6 миллиарда долларов. По всему миру пейджерами пользовались 22 миллиона человек. По прогнозам венчурного фонда MCI к 2003 году количество клиентов должно было увеличиться до 65 миллионов.

• В Канаде в 2013 году продолжали пользоваться пейджерами: 161500 человек заплатили за пейджинговые услуги более 18 миллионов долларов. А в марте 2015 год крупнейший провайдер этого типа связи в Telus перестал оказывать услугу. Что касается США, то на услуги потратили 3,2 миллиарда долларов в 1999 году, после чего выручка компаний за эти услуги стремительно падала до 361 миллиона в 2009 году.

• В настоящее время данная технология является устаревшей, и к настоящему моменту полностью вытеснена технологией подвижной радиотелефонной (мобильной) связи. Такие дела...

#Разное

🚀Узнайте, какие решения можно применять для эффективной автоматизации задач обслуживания 1C!

На бесплатном вебинаре онлайн-курса «DevOps 1C» - «Современные решения для автоматизации задач обслуживания 1С»: регистрация

Обсудим следующие аспекты:
- какие задачи обслуживания могут возникать
- какие инструменты для решения могут применяться
- плюсы и минусы предлагаемых инструментов

Урок будет полезен:
Программистам 1С, Системным администраторам, DevOps-инженерам

🤝После вебинара продолжите обучение на курсе с новогодней скидкой и даже в рассрочку!

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Клиентам Ivanti подъехали рождественские подарочки в виде новых активно эксплуатируемых 0-day, на распаковку позвали исследователей Mandiant из Google Cloud.

В среду Ivanti уведомила клиентов о том, что в ее VPN-устройствах Connect Secure (ICS) были исправлены две уязвимости - CVE-2025-0282 и CVE-2025-0283. 

Первая критическая связана с переполнением буфера в стеке, позволяющее неаутентифицированным удаленным злоумышленникам выполнять произвольный код.

Компания предупредила, что она была успешно реализована в отношении ограниченного числа клиентов, не раскрывая при этом подробностей об атаках.

Затем Mandiant, привлеченная Ivanti к расследованию атак, выявила, что эксплуатация была связана с китайскими злоумышленниками, а началась еще в середине декабря 2024 года.

К настоящему времени исследователям не удалось приписать эксплуатацию CVE-2025-0282 конкретному субъекту угрозы.

Но вместе с тем, было замечено, что злоумышленники развернули семейство вредоносного ПО Spawn, которое было связано ранее с китайской UNC5337.

Spawn включает в себя установщик SpawnAnt, туннелер SpawnMole и SSH-бэкдор под названием SpawnSnail.

В Mandiant со средней уверенностью полагают, что UNC5337 является частью группы угроз UNC5221, ранее замеченной в эксплуатации уязвимостей решений Ivanti (CVE-2023-46805 и CVE-2024-21887). Жертвами этих атак тогда стали MITRE и CISA.

В атаках с новым нулем Ivanti ICS Mandiant также обнаружила ранее неизвестные семейства вредоносных ПО, которые получили названия DryHook и PhaseJam, которые еще не были приписаны к какой-либо известной группе угроз.

По всей видимости, за создание и развертывание этих различных семейств кодов (например, Spawn, DryHook и PhaseJam) отвечают несколько субъектов, но на момент публикации отчета точно оценить число субъектов угроз, нацеленных на CVE-2025-0282, в Mandiant не смогли.

В наблюдаемых атаках хакеры сначала отправляли запросы на целевое устройство, пытаясь определить версию ПО, поскольку эксплуатация зависит от версии.

Затем они эксплуатировали CVE-2025-0282, отключили SELinux, внесли изменения в конфигурацию, выполнили скрипты и развернули веб-оболочки в рамках подготовки к развертыванию вредоносного ПО.

Вредоносная программа PhaseJam - это дроппер, предназначенный для изменения компонентов Ivanti Connect Secure, развертывания веб-оболочек и перезаписи исполняемых файлов для облегчения выполнения произвольных команд.

Вредоносная ПО помогает злоумышленникам создать первоначальный плацдарм, позволяет им выполнять команды, загружать файлы на устройство и извлекать данные.

DryHook использовалось злоумышленниками на этапе постэксплуатации для кражи учетных данных. 

В попытке сохраниться после обновлений системы злоумышленники использовали вредоносное ПО SpawnAnt, которое копирует себя и свои компоненты в специальный раздел обновлений.

Кроме того, вредоносное ПО PhaseJam блокирует обновления системы, но отображает поддельную шкалу прогресса обновления, не вызывая подозрений.

Mandiant предупреждает, что CVE-2025-0282, вероятно, будет использована и другими злоумышленниками после публикации PoC. 

Пока хакеры развлекаются, Ivanti вновь усердно пилит обновления, выпустив исправления лишь для Connect Secure.

Однако Policy Secure и Neurons для ZTA остаются все еще уязвимыми и получат исправления только 21 января. 

🌍 Web-Check.

• Очень удобный сервис для проверки любых веб-ресурсов. Отличается от других аналогичных инструментов тем, что вы можете развернуть его на своем сервере. Подробно о существующих методах проверки и вся необходимая информация по установке есть на Github: https://github.com/Lissy93/web-check

➡️ https://web-check.xyz

#OSINT #Разное

✔️ Научим писать плейбуки и модули ✔️

Один пропущенный шаг — и конфигурация ломается. Члены команды выполняют задачи по-своему, документация не помогает. Добавление новых серверов — это боль и часы работы.

Как этого избежать? Мы научим вас работать с Ansible, чтобы вы смогли:

✅ Настроить автоматизацию: один playbook — и ваши сервера настраиваются в считаные минуты.

✅ Упростить командную работу: код определяет инфраструктуру, каждый шаг прозрачен и воспроизводим.

✅ Масштабировать в одно касание: развёртывание сотен серверов — больше не головная боль.

✅ Экономить время: больше времени на стратегические задачи, меньше — на рутину.

Освоить лучшие практики на курсе «Ansible: Infrastructure as Code» – по ссылке.
Старт 20 января.

erid: 2W5zFJUQ4fJ

🥂 Кто из вас под бой курантов тоже загадал найти работу по душе?

Праздники подходят к концу — пора воплощать задуманное. Если вы настроены решительно и начинаете готовиться к собеседованиям на системного администратора, Слёрм спешит на помощь — делимся журналом с мастхевами для успешного старта в Linux🔝

➡️ Внутри журнала часто задаваемые вопросы на собеседовании в формате загадок и кроссворда — проверять знания будет полезно и не скучно. 

Материалы предоставил Кирилл Казарин — DevOps and SRE global manager в LLC RingСentral Spain и спикер курса «Администрирование Linux». 

А для лучшего результата в боте можно пройти тест на текущий уровень знаний Linux — так вы точно будете готовы к собеседованию на 100%. 

📍Забрать журнал в боте

#реклама
О рекламодателе
erid: 2W5zFJgDwx4

Последний шанс участвовать в розыгрыше от Codeby & S.E.!

Новое задание уже доступно в нашем боте, а всё что нам известно — игрушечная машинка чип шпион попугай... 🕵‍♂

Уже завтра пройдёт розыгрыш призов среди участников CTF 🎁

А если вам понравилось решать задания — то их можно решать круглый год на платформе codeby.games!

📌 Решить задание и участвовать в розыгрыше: @codeby_se_bot

💪 Самый мощный суперкомпьютер 60-х.

• 44 года назад, 5 сентября 1980 года в Университете Бригама Янга был навсегда выключен последний суперкомпьютер IBM Stretch. Этот сверхмощный мейнфрейм, известный также под наименованием IBM 7030, стал результатом научно-исследовательского проекта, который корпорация IBM начала еще в 1955 году — его целью было построить суперкомпьютер, в сотни раз превосходящий по мощности всё, что еще было создано до этого.

• На тот момент этот компьютер считался самым быстрым в мире и оставался таковым еще три года после своего появления, пока не уступил пальму первенства новому CDC 6600. Суперкомпьютер от IBM выполнял сложение 64-разрядных чисел с плавающей запятой за 1,5 микросекунды, а умножение – за 2,7 микросекунды. Невиданная производительность для той эпохи.

• IBM Stretch был первым компьютером, который использовал стандартные модули ферритовой памяти. Интересно, что ферритовым сердечникам для нормальной работы была необходима как можно более стабильная температура, поэтому их помещали в алюминиевый корпус и погружали в масло. Оно помогало плавно охлаждать и при необходимости нагревать магнитные сердечники. Но это было скорее вынужденное решение, которое впоследствии не прижилось.

• Память Stretch позволяла записывать и считывать шесть параллельных потоков, благодаря чему быстродействие ОЗУ составляло около 2 MIPS, так что память IBM 7030 была даже быстрее процессора. Из особенностей можно отметить также то, что в программах для этого компьютера использовался восьмибитный байт (в некоторых архитектурах байт состоял из 7 бит) и разрядность машинных слов 8/32/64 бита — это тоже стало стандартом. Интересно, что в то время советские компьютеры работали с нестандартной разрядностью машинных слов от 22 до 50 бит, зачастую еще и некратных размерам адресуемых ячеек памяти.

• Stretch по праву считался самым быстрым и продвинутым компьютером на всем земном шаре в конце 70-х и начале 80-х годов прошлого века, и в то же время снискал славу провального проекта, принес компании многомиллионные убытки и в итоге был выведен из эксплуатации. Кстати, один из построенных IBM экземпляров Stretch до последнего трудился в частном университете Бригама Янга в Прово, штат Юта, США, но 5 сентября 1980 года был списан на пенсию. Сейчас посмотреть на старичка можно в музее компьютерной истории в Маунтин-Вью, Калифорния.

#Разное

📶Bluetooth 6.0

• История Bluetooth началась ещё в 1994 году: сотрудники компании Ericsson, занимающейся производством телекоммуникационного оборудования, начали искать способ передачи данных без использования кабелей. Через четыре года сформировалась специальная группа инженеров — Bluetooth SIG. В нее вошли специалисты не только из Ericsson, но и из других заинтересованных в технологии компаний: IBM, Intel, Toshiba и Nokia. Вместе они создали первую версию блютуз — она вышла в 1998 году.

• Свое необычное название, которое в переводе с английского означает «синий зуб», новая технология получила в честь датского и норвежского короля, правившего в X веке. Главная заслуга Харальда I — объединение разрозненных и враждующих племен в единое королевство. Но прозвище он получил благодаря темному цвету зубов: в истории он остался Синезубым. Технология объединяет разные устройства, обеспечивает связь между ними, как когда-то король викингов объединил разные племена. Название для нового способа беспроводной связи предложил сотрудник компании Intel Джим Кардаш.

• После 1998 года Bluetooth продолжил развиваться, менялись технологии, связь становилась лучше. Вот некоторые особенности каждой версии:

- Bluetooth 1.0 (1998): при работе с этой версией было сложно соединить устройства разных производителей. Также подключение требовало обмена адресами устройств, делая анонимность невозможной. Качество сигнала было нестабильным, связь часто прерывалась.

- Bluetooth 2.0 (2004): главная особенность версии — ускорение передачи данных с помощью технологии EDR. Производитель заявил о повышении скорости до 3 Мбит/с, но на практике она достигала только 2,1 Мбит/с. По сравнению с первой версией это было существенное улучшение, и при этом версии остались совместимыми. Также стало проще подключать сразу несколько устройств и снизилось потребление энергии.

- Bluetooth 3.0 (2009): для передачи данных при этом стандарте использовали два канала: один поддерживал скорость до 3 Мбит/с, второй — до 24 Мбит/с. Выбор канала зависел от размера файлов: большие передавали по более высокоскоростному. Такое разделение позволяло еще больше снизить потребление энергии.

- Bluetooth 4.0 (2010): данная версия технологии объединила в себе три протокола: классический Bluetooth, высокоскоростной, основанный на Wi-Fi, и с низким энергопотреблением для небольших датчиков носимых устройств.

- Bluetooth 5.0 (2016): по сравнению с 4.0 скорость выросла в два раза, а радиус действия — в четыре.

- Bluetooth 6.0 (2024): главной особенностью стала возможность определить расстояние между устройствами с точностью до сантиметра, что открывает для разработчиков много новых сценариев для использования подключаемых устройств. Описание других нововведений можно найти на хабре, либо на официальном сайте.

#Разное #Bluetooth

🖥 Windows crashed? Dropping you into a linux shell!

• Пятничное: самый правильный синий экран для Windows - тот, который запустит Вам linux, даже без ребута =))

➡️ https://github.com/NSG650/BugCheck2Linux

#Разное #Linux

Хватит выполнять скучную рутину руками ✋

Ansible придумали, чтобы вы вместо возни с однотипными задачами по настройке конфигов:

✅ писали плейбуки и роли,
✅ деплоили Flask-приложения,
✅ настраивали IaC в Gitlab,
✅ автоматизировали процесс управления IT-инфраструктурой,
✅ наводили в ней порядок.

Для всех, кто только начинает свой путь, мы подготовили бесплатный чек-лист по основам Ansible. Он поможет сформировать необходимые навыки для решения реальных задач в короткий срок.

А если вы уже знакомы с Ansible, чек-лист тоже будет полезен — для самопроверки и подготовки к собеседованиям, ведь эти умения точно будут в требованиях к вакансиям 👌

👉 Забрать чек-лист можно бесплатно прямо сейчас в боте.

erid: 2W5zFHYbzMv

До Нового Года остались считанные дни... А у вас ещё есть время поучаствовать в CTF от S.E. & Codeby и выиграть призы! 🎁

В новом задании отправляемся на поиски штаб-домена Санты!

📌 Решить задание и участвовать в розыгрыше: @codeby_se_bot

👨‍💻 File Upload Vulnerabilities.

• Attack Scenario: Insecure File Content:
- 2. Non-Compliant Code: Insecure File Upload Example;
- Issues with Non-Compliant Code;
- 3. Compliant Code: Secure File Upload Example;
- Security Enhancements in Compliant Code;
- 4. Reverse Access Control;
• Magic Byte Exploits and Securing File Uploads:
- Magic Bytes Overview;
- Attack Scenario: Magic Byte Exploit;
- Non-Compliant Code: Insecure File Upload Example;
- Issues with Non-Compliant Code;
- Compliant Code: Secure File Upload Example;
- Security Enhancements in Compliant Code;
- Reverse Access Control;
- Process of Securing File Uploads;
• Config Overwrite:
- Attack Scenario: Configuration Overwrite and Null Byte Injection;
- Non-Compliant Code: Insecure File Upload Example;
- Issues with Non-Compliant Code;
- Compliant Code: Secure File Upload Example;
- Security Enhancements in Compliant Code;
- Reverse Access and Configuration Overwrite;
- Process of Securing File Uploads;
• Insecure Handler:
- Attack Scenario: Insecure Handler Exploit;
- Non-Compliant Code: Insecure File Upload Example;
- Issues with Non-Compliant Code;
- Compliant Code: Secure File Upload Example;
- Security Enhancements in Compliant Code;
- Insecure Handler and Web Shell Exploit;
- Process of Securing File Uploads.

#devsecops

Исследователи Akamai сообшают о появлении нового ботнета Hail Cock на базе наследия Mirai, который нацелен на RCE-уязвимость в сетевых видеорегистраторах DigiEver DS-2105 Pro, которая не получила идентификатор CVE и, по-видимому, остается неисправленной.

Кампания началась в октябре и нацелена на несколько сетевых видеорегистраторов и маршрутизаторов TP-Link с устаревшей прошивкой.

Одна из уязвимостей, использованных в кампании, была задокументирована исследователем TXOne Та-Лун Йеном и представлена в прошлом году на конференции DefCamp в Бухаресте, Румыния.

Akamai заметили, что ботнет начал активно использовать уязвимость в середине ноября, но обнаружили доказательства того, что кампания была активна как минимум с сентября.

Помимо уязвимости DigiEver новый вариант вредоносного ПО Mirai также нацелен на уязвимость CVE-2023-1389 в устройствах TP-Link и CVE-2018-17532 на маршрутизаторах Teltonika RUT9XX.

Ошибка, используемая для взлома сетевых видеорегистраторов DigiEver, представляет собой RCE-уязвимость удаленного выполнения кода, и связана с URI «/cgi-bin/cgi_main.cgi», который неправильно проверяет вводимые пользователем данные.

Это позволяет удаленным неаутентифицированным злоумышленникам вводить команды типа «curl» и «chmod» через определенные параметры, например поле ntp в HTTP-запросах POST.

Akamai полагает, что наблюдаемые со стороны ботнета атаки, похожи на те, что были описаны в презентации Та-Лун Йена.

С помощью инъекции команд злоумышленники получают двоичный файл вредоносного ПО с внешнего сервера и включают устройство в свою ботсеть. Устойчивость достигается путем добавления заданий cron.

После взлома устройство используется для проведения DDoS или для распространения на другие устройства с использованием наборов эксплойтов и списков учетных данных.

По данным Akamai, новый вариант Mirai примечателен использованием шифрования XOR и ChaCha20, а также ориентирован на широкий спектр системных архитектур, включая x86, ARM и MIPS.

Хотя использование сложных методов дешифрования не является чем-то новым, оно предполагает развитие TTPs среди операторов ботнетов на базе Mirai.

Это особенно примечательно, поскольку многие ботнеты на базе Mirai по-прежнему зависят от оригинальной логики обфускации строк из переработанного кода, который был включен в исходный код оригинальной вредоносной программы Mirai.

IoC, связанные с кампанией, а также правила Yara для обнаружения и блокировки угрозы - доступны в отчете Akamai.

✉️ Как появилась электронная почта.

• 2 октября 1971 года инженер вычислительной лаборатории Bolt, Beranek and Newman Technology Рэй Томлинсон был занят важной и полезной работой — он изобретал электронную почту. Компания BBN была одним из подрядчиков DARPA в процессе разработки предшественницы интернета — экспериментальной сети ARPANet, — и Томлинсон принимал в этом проекте непосредственное участие.

• Как многие другие ЭВМ начала 70-х под управлением UNIX, машины в вычислительном центре Bolt, Beranek and Newman были многопользовательские: в разное время на них работали разные операторы, каждый под своей учетной записью. В то время для коммуникации между пользователями существовала утилита SNDMSG, которая позволяла отсылать простые текстовые сообщения, но получить их мог только пользователь того же самого компьютера, с которого они были отправлены. Например, закончивший свою работу программист с помощью SNDMSG мог оставить послание с ценными инструкциями другому пользователю, который придет ему на смену спустя несколько часов. Рэй Томлинсон решил усовершенствовать эту программу таким образом, чтобы она могла отправлять сообщения по сети.

• Наиболее важной проблемой, которая стояла перед этим исследователем, был вопрос адресации сообщений при передаче их между машинами: в обозначении получателя должно присутствовать не только имя компьютера, на который оно передается, но и имя пользователя, которому оно адресовано. Причем одно от другого необходимо отделить каким-либо символом, не встречающимся более нигде: ни в различных языках программирования, ни в коде разметки документов, ни в списке специальных знаков, предназначенных для форматирования текста — во избежание путаницы.

• Рэй Томлинсон внимательно оглядел собственную клавиатуру. Казалось, выбор был невелик: практически все специальные символы так или иначе уже использовались в компьютерных технологиях. И тут его взгляд непроизвольно наткнулся на значок «@», сиротливо затерявшийся во втором, считая сверху, ряду клавиш (В 1971 году Рэй Томлинсон использовал клавиатуру 33 Teletype). Лучшего варианта нельзя было и придумать! Ведь в английском языке символ «@» означает предлог «at», указывающий на принадлежность, приближение и направление, — этот предлог можно перевести на русский язык с помощью слов «на, в, к». Таким образом, адрес «пользователь на компьютере» («user at computer») можно было бы записать в виде user@computer. Так появилась на свет электронная почта, которой мы успешно пользуемся по сей день.

#Разное

⚙ Руководство по использованию Mimikatz.

• Если кто не знает, то Mimikatz — это инструмент, позволяющий извлечь данные аутентификации залогинившегося в системе пользователя в открытом виде.

• В этом канале много раз упоминался данный инструмент и было опубликовано много различного материала для его изучения. Сегодня добавим в нашу коллекцию свежее и актуальное руководство, которое содержит в себе очень много полезной информации. Материал будет полезен пентестерам и этичным хакерам:

• The Standard Credential Extraction;
• Using Mimikatz to Extract Web Credentials;
• Working with LSASS and DPAPI;
• Extracting Credentials with DPAPI;
• Decrypt EFS files;
• scheduled tasks credentials;
• Crypto Module;
• Commands;
• kerberos;
• lsadump;
• sekurlsa;
• Memory Dump;
• Remote Execution;
• Security Researcher.

➡ https://hadess.io/mimikatz-comprehensive-guide/

• Не забывайте про самое объемное и полноценное руководство по использованию Mimikatz в сети на сегодняшний день: https://adsecurity.org

#Mimikatz #Пентест

Исследователи из Лаборатории Касперского раскрывают новую сложную цепочку заражения Lazarus APT, нацеленную как минимум на двух сотрудников неназванной организации в сфере ядерных технологий в течение января 2024 года.

Атаки завершались развертыванием нового модульного бэкдора CookiePlus и являлись частью долговременной кампании кибершпионажа, известной как Operation Dream Job, которая также отслеживается ЛК как NukeSped.

Она активна по крайней мере с 2020 года, когда ее раскрыла ClearSky.

Lazarus крайне заинтересована в проведении атак на цепочки поставок в рамках кампании DeathNote, ограничиваясь двумя методами.

Первый — отправка вредоносного документа или троянизированного инструмента просмотра PDF, которое отображает цели специально подобранные описания вакансий.

Второй способ - доставка троянизированных инструментов удаленного доступа, убеждая жертву подключиться к определенному серверу для оценки навыков.

Последняя серия атак, задокументированная ЛК, реализует второй: задействуется полностью переработанная цепочка заражения с троянизированной VNC под предлогом проведения оценки навыков для ИТ-должностей в крупных аэрокосмических и оборонных компаниях.

Lazarus доставила архивный файл как минимум двум людям в одной организации (назовем их Host A и Host B), а через месяц хакеры предприняли более интенсивные атаки на первую цель.

Предполагается, что приложения VNC, троянизированная версия TightVNC под названием AmazonVNC.exe, распространялись в виде образов ISO и файлов ZIP. В других случаях для загрузки вредоносной DLL, упакованной в архив ZIP, использовалась легитимная версия UltraVNC.

DLL (vnclang.dll) служит загрузчиком для бэкдора, получившего название MISTPEN, который был обнаружен Mandiant в сентябре 2024 года. Он также использовался доставки двух дополнительных полезных нагрузок под названием RollMid и нового варианта LPEClient.

Исследователи ЛК заявили, что также задетектили вредоносное ПО CookieTime, развернутое на хосте A, хотя точный метод, который использовался для его внедрения, остается неизвестным.

Впервые обнаруженный компанией в сентябре и ноябре 2020 года, CookieTime назван из-за использования закодированных значений cookie в HTTP-запросах для получения инструкций с сервера управления и контроля (C2).

Дальнейшее расследование цепочки атак показало, что злоумышленник переместился с хоста A на другую машину (хост C), где CookieTime использовался для доставки полезных нагрузок с февраля по июнь 2024 года, включая: LPEClient, ServiceChanger, Charamel Loader и CookiePlus.

CookiePlus получил свое название в виду маскировки под плагин Notepad++ с открытым исходным кодом под названием ComparePlus, когда он был обнаружен в дикой природе в первый раз. В атаках он был основан на другом проекте под названием DirectX-Wrappers.

Вредоносная программа служит загрузчиком для извлечения полезной нагрузки, закодированной Base64 и зашифрованной RSA, с сервера C2, которая затем декодируется и расшифровывается для выполнения трех различных шеллкодов или DLL с функциями сбора информации.

Предполагается, что CookiePlus является преемником MISTPEN из-за совпадений в поведении двух штаммов вредоносных ПО, включая тот факт, что оба они маскируются под плагины Notepad++.

Длительное время группа Lazarus использовала лишь небольшое количество модульных вредоносных фреймворков, таких как Mata и Gopuram Loader, однако внедрение новыых модульных вредоносных ПО, такие как CookiePlus, говорит о том, что группа продолжает работать над улучшением своего арсенала и цепочек заражения.

🔎 deepdarkCTI.

• Собранная информация об актуальных угрозах и хакерских группировках, позволяет нам изучить цели, тактику, методы и различные инструменты, которые применяются на этапе разведки и проникновения. Такую информацию можно собирать вручную или автоматически из разных источников, в том числе из новостей, форумов, ресурсов даркнета, мессенджеров и т.д. А найти такие источники поможет репозиторий, в котором перечислены различные ресурсы и аккуратно разбиты на категории:

- Discord;
- Telegram;
- Twitter;
- Forum;
- Exploits;
- Phishing;
- Maas;
- Markets;
- Methods;
- Search engines;
- Rat;
- CVE most exploited;
- Ransomware gang;
- Others.

➡️ https://github.com/fastfire/deepdarkCTI

#ИБ #OSINT

🕸 Зарождение Google.

• Чуть больше 24-ти лет назад Google размещался на порядка 100 серверах, которые сами же Ларри Пейдж и Сергей Брин монтировали в стойку и обвязывали между собой! При этом они использовали дешевые комплектующие, что б хоть как то снизить стоимость инфраструктуры их поисковой системы. Первые серверы интернет-гиганта имели довольно необычный вид (на фото), чего только стоили кнопки перезагрузки на передней панели каждого из них и довольно странный, но в тоже время интересный метод пробковой изоляции комплектующих от чего сами серверы получили название «Corkboard».

• На данный момент количество серверов Google, как физических так и виртуальных, далеко перевалило за отметку в 1 млн единиц. Компания вкладывает миллиарды долларов в инфраструктуру и сейчас профит с каждого сервера больше, чем это было в самом начале создания поисковой машины.

• Поскольку комплектующие довольно часто давали сбой, система требовала эффективного отказоустойчивого ПО, потому команда Google больше делала акцент на софт, нежели занималась железом на котором этот софт «крутился».

• В далеком 1999 году Google сделал свой самый объемный заказ на оборудование. Компании King Star Computer необходимо было меньше чем за месяц подготовить порядка 1680 серверов. За каждые 80 серверов Google согласился заплатить $10 тыс предоплаты, а после поставки оплатить еще $99,2 тыс. Как следствие, общая сумма контракта составила почти $2,3 млн, не считая дополнительных бонусов. В заказ входил 21 шкаф, каждый из которых имел по 20 полок и 60 кулеров на задней панели. На каждой полке было размещено по 4 сервера следующей конфигурации:

- материнская плата Supermicro P6SBM;
- процессор x86-совместимой микроархитектуры Intel Pentium II 400;
- оперативная память 256MB PC100;
- 2 жестких диска IBM Deskstar 22GXP;
- сетевая плата Intel 10/100;
- кнопка перезагрузки системы;
- LED-индикатор жестких дисков;
- 2 IDE шлейфа;
- 2,13 м интернет кабеля категории 5.

• Основатели компании Google пришли к выводу, что лучшим способом масштабирования экономической эффективности является самостоятельная разработка аппаратных решений, а не закупка их на стороне. Интернет-гигант и по сей день работает в этом направление, разворачивая самостоятельно дата-центры по всему миру.

#Разное

Разгадайте тайну новогоднего подарка в новом задании!🎄

➡️ @codeby_se_bot

Возвращаясь к ботнетам, исследователи BitSight сообщают, что о резком увеличении BadBox, который смог заразить 192 000 устройств Android после того, как его обезвредили немецкие спецслужбы.

В BitSight предупреждают, что вредоносное ПО, по всей видимости, расширило охват своего воздействия за пределы китайских брендов Android-устройств, заражая теперь более известные и распространенные, такие как телевизоры Yandex и смартфоны Hisense.

BadBox - вредоносное ПО для Android, предположительно, на базе штамма Triada, которое нацелено на устройства посредством атак на прошивки в цепочке поставок, через инсайдеров, либо путем внедрения на этапе распространения продукции.

Впервые был обнаружен на Android TV-приставке T95, купленной на Amazon канадским ИБ-консультантом Дэниелом Милишичем в начале 2023 года. С тех пор вредоносная кампания охватила и другие малоизвестные продукты, продаваемые в Интернете.

Главной целью кампании BadBox является финансовая выгода, которая достигается путем задействования устройства в качестве резидентного прокси или для совершения мошенничества с рекламой.

Кроме того, вредоносное ПО BadBox может использоваться для установки дополнительных вредоносных программ на устройства Android, позволяя выполнять более серьезные вредоносные операции.

На прошлой неделе представители Федеральное ведомство по ИБ Германии (BSI) отрапортовали об успешной операции, в результате которой силовикам удалось нейтрализовать активность BadBox в стране, взломав один из С2-серверов и отключив связь с 30 000 устройств Android.

В числе них были цифровые фоторамки и устройства для потоковой передачи мультимедиа на базе Android, но BSI предупредила, что BadBox, скорее всего, может присутствовать также и в других категориях продуктов.

Аналогичным образом один из С2 удалось похакать исследователям BitSight, которые констатировали, что BADBOX несмотря на усилия немцев живее всех живых.

Только за 24 часа наблюдения Bitsight детектировали более 160 000 зараженных устройств, причем число продолжает расти.

Число обнаруженных устройств значительно превысило ранее наблюдавшееся пиковое значение и достигло 74 000.

В числе зараженных устройств - очень популярный в России телевизор Yandex 4K QLED Smart TV и смартфон Hisense T963.

Основная масса зараженных девайсов располагается в России (до 113 000), затем следуют Китай (до 60 000), Индия, Белоруссия, Бразилия и Украина (от 1800 до 30 000).

BitSight отмечает, что недавняя операция BSI никак фактически не повлияла на телеметрические данные, поскольку действие было географически ограничено, что позволило вредоносному ПО BadBox для Android беспрепятственно продолжить свою деятельность.

Будем следить.