Лаборатория Касперского выпустила новый общедоступный инструмент для платформы Linux под названием KVRT, реализующий сканирование системы на наличие известных угроз и их удаление.

Несмотря на распространенное мнение о защищенности по своей природе систем Linux от угроз, в последние время становится очевидным, что это не более чем заблуждение.

Яркий демонстрирующий сиё пример - бэкдор XZ Utils.

Новый инструмент ЛК — это не инструмент защиты от угроз в режиме реального времени, но и автономный сканер, способный обнаруживать вредоносное и рекламное ПО, задействуемый в вредоносных целях легитимный софт и другие известные угрозы, также обеспечивающий их очистку.

Все копии удаленных или обезвреженных вредоносных файлов сохраняются в карантинном каталоге «/var/opt/KVRT2024_Data/Quarantine» (для пользователей root) в безопасной форме.

Приложение использует часто обновляемую антивирусную базу данных для сканирования всей системы на наличие совпадений иможет сканировать системную память, объекты автозагрузки, загрузочные сектора и все файлы ОС, включая архивные.

При этом KVRT поддерживает только 64-битные системы и для работы требуется активное подключение к Интернету. KVRT может выполняться как в графическом интерфейсе пользователя (GUI), так и в терминале в виде инструмента командной строки.

Инструмент апробирован на популярных дистрибутивах Linux и среди прочего работает на Red Hat Enterprise Linux, CentOS, Linux Mint, Ubuntu, SUSE, openSUSE и Debian.

Исследователи полагают, что несмотря на отсутствие в указанном перечне поддерживаемых систем, с большой вероятностью KVRT будет работать и на других.

Скачать KVRT можно здесь: https://www.kaspersky.com/downloads/free-virus-removal-tool, а подробные инструкции к нему доступны на этой странице.

В Лаборатории Касперского продолжили творить настоящий must have, что впрочем и так делают, но судя по динамике, - перешли почти на круглосуточный режим.

Новая серия отчетов за первый квартал 2024 года охватывает общую аналитику по развитию информационных угроз, а также показатели по мобильной статистике и ПК.

Но и это еще не все, ресерчеры подготовили отдельный весьма содержательный отчет с обзором основных инцидентов, вызванных атаками на промышленные организации.

Всего потерпевшие подтвердили 30 нарушений, что соответствует предыдущим периодам наблюдений (60+ публично подтвержденных случаев за полгода).

37% пострадавших сообщили об отказе в работе или отгрузке продукции из-за инцидента, статистика почти аналогична предыдущему периоду (37,5% за второе полугодие 2023 года).

Почти половина (47%) всех инцидентов привела к нарушению работы публичных цифровых услуг жертв.

Большая часть из которых принадлежат к следующим секторам: обрабатывающая промышленность (включая автомобильную, аэрокосмическую, фармацевтическую, пищевую, косметическую и многие другие подотрасли), коммунальное хозяйство, энергетика, транспорт и логистика, машиностроение и горнодобывающая промышленность.

Причем две трети жертв приходится на производственный сектор. 50% всех пострадавших на производстве сообщили об отказе в работе, что составляет 100% всех жертв, подтвердивших перерыв в работе в результате атаки.

Тут либо сектор менее устойчив к атакам, либо организации просто более откровенны при предоставлении публичной отчетности.

Ни одна из жертв, управляющих критически важной инфраструктурой, например, в энергетическом и коммунальном секторах, не сообщила о каком-либо значительном ущербе – к чему уже все привыкли.

Наиболее пострадавшими странами являются: США – 1/6 всех жертв, Германия – 1/6 всех жертв, Франция, Бельгия, Нидерланды – по 1/10. Но есть и более редкие страны: Северная Македония, Южная Африка, Сингапур.

В отчете приведены кликабельные ссылки на оригинальные источники по каждому конкретному инциденту.

Никогда такого не было и вот опять!

Через журналистов 404 Media в паблик утекла корпоративная база данных Google по инцидентам в области конфиденциальности и безопасности, которую слили им анонимные отправители.

Она содержит подробную информацию в отношении тысячи инцидентов, о которых рапортовали сотрудники Google в период с 2013 по 2018 гг. При этом если большинство проблем возникали без преднамеренного умысла, то некоторые - вызывают вопросы.

Оказалось, что новая функция AI Overview в реальности собирала конфиденциальные данные от пользователей.

Звуковой функционал Google случайно записал голоса 1000 детей, Waze сливал адреса пользователей, Google Street View фактически сканировал, расшифровывал и затем сохранял данные номерных знаков автомобилей.

Принадлежащий Alphabet сервис YouTube пропихивал рекомендации, основывались на удаленной истории просмотров пользователей.

Безусловно, все перечисленное в купе с остальными инцидентами можно было списать случайности, уязвимости сторонних поставщиков и ошибки, допущенные отдельными сотрудниками Google или подрядчиками.

Однако утечка продемонстрировала, как подрядчик Google использовал свои административные привилегии для входа в учетную запись Nintendo на YouTube и слива информации о компании перед ее официальным релизом.

Тогда в 2017 году в обход правообладателя на Reddit раньше срока анонсировали новую игру Yoshi.

Новый ушат помоев на Google, последовал вслед за другой утечкой документов, согласно которым стало понятно, что система поисковой выдачи реализует работу вне соответствия официально заявленным алгоритмам.

Тем не менее, Google подтвердила утечку и заверила, что все зарегистрированные проблемы были решены «собственными силами». Так что дело закрыто, можно расходиться.

🗞 Paged Out!

• Очень ламповый журнал по информационной безопасности и этичному хакингу. Публикуется в формате: 1 страница - 1 статья. На данный момент опубликовано 4 выпуска, которые вы можете скачать тут: https://pagedout.institute

#ИБ

После неугомонных речей микромягких про высокие стандарты безопасности исследователи решили наглядно продемонстрировать, что такое в реальности Windows Recall и как его можно использовать для кражи информации.

Как предполагается, новый функционал будет активирован по умолчанию на всех новых ПК Copilot+, позволяя пользователям Windows серфить историю всех своих прошлых активностей в системе.

Несмотря на мгновенную реактивную критику инфосек-сообщества, Microsoft продолжает причитать все одни и те же мантры про безопасность и необходимость физического авторизованного доступа для кражи данных с помощью Recall.

Но на самом деле все оказалось иначе и куда драматичнее.

Исследователь Марк-Андре Моро смог восстановить из локальной незашифрованной базы данных SQLite пароль менеджера удаленного рабочего стола, который изначально был собран с помощью Recall, упрощающего задачу инфостиллеру.

Другой эксперт Александр Хагена предоставил инструмент с открытым исходным кодом под названием TotalRecall, который может легко извлекать и отображать данные из базы данных Recall.

Несмотря на то, что официальный запуск состоится через две недели, Хагена удалось запустить Windows Recall на ПК, не поддерживающем CoPilot+, внутри ARM Azure и потестить его, прийдя к выводу, что никакой безопасности нет от слова совсем.

Авторитетный Кевин Бомонт также внимательно присмотрелся к безопасности Recall и предупредил, что злоумышленники могут модифицировать средства кражи информации для получения данных посредством новой функции Windows.

Он отметил, что данные, собранные Recall, эффективно сжимаются: для хранения данных за несколько дней требуется менее 100 КБ памяти.

Кроме того, провел тесты с использованием рабочего стиллера и смог выкрасть данные Recall до того, как они были обнаружены Microsoft Defender для Endpoint.

Recall в настоящее время все еще находится на стадии предварительной версии, и у Microsoft еще есть все шансы внести в нее изменения (если конечно, их одобрит вашингтонский обком). Как обычно, будем посмотреть.

На фоне шумихи по поводу «правильной» отработки трендов ИИ, по всей видимости, на основе методичек и целеуказаний от вашингтонского обкома, есть еще вендоры, которых реально интересуют вопросы безопасности.

В частности, разработчики OpenSSH добавили новую функцию безопасности для защиты серверов от эксплойтов и брута, внедрив две опции sshd_config(5): PerSourcePenalties и PerSourcePenaltyExemptList.

Она позволит регулировать тайминг и отключать SSH-клиенты, которые многократно не проходят аутентификацию или приводят к сбою сервера.

Опция по умолчанию отключена, но планируется автоматическая активация в самое ближайшее время.

Новый опции предусматривают таймаут по умолчанию составит 30 секунд, который может быть увеличен для последующих попыток аутентификаций вплоть до полной блокировки.

При этом PerSourcePenaltyExemptList исключить от проверок доверенных клиентов.

Другим позитивным новшеством, по мнению IETF, можно назвать Ephemeral Diffie-Hellman Over COSE (EDHOC), недавно одобренный протокол обмена ключами для устройств IoT.

Исследователи глубоко изучили его и пришли к выводу, что для радиотехнологий IoT с MTU порядка нескольких десятков байт и ограниченных скоростей передачи данных, EDHOC за счет минимального объема памяти кода и данных уверенно обеспечивает поддерживает современный уровень безопасности.

По результатам расследования инцидента со взломом министерства обороны Нидерландов в феврале этого года правительство страны заявило, что причастные к атаке китайские хакеры на самом деле действовали с более широким размахом, чем предполагалось ранее.

Как полагают официальные лица, с использованием CVE-2022-42475 (CVSS: 9,8) им удалось получить доступ к более чем 20 000 системам Fortinet FortiGate по всему миру.

Кампания привела к развертыванию бэкдора COATHANGER и была нацелена на десятки западных правительств, международные организации и большое количество компаний в сфере оборонной промышленности.

Названия структур не разглашаются. При этом также неясно, сколько жертв было заражено имплантатом.

Причем атаки начались в 2022 году, когда уязвимость относилась к 0-day, и продолжались в течение 2023 года.

За т.н. период нулевого дня один только актер заразил 14 000 устройств, а остальные 6 тысяч положили уже после (!), включая голландских военных.

Последние, вообще без комментариев.