• В этой статье описан процесс разработки расширения Chrome, которое будет собирать максимально возможное количество данных:
- Куки;
- История;
- Скриншоты;
- Захват ввода;
- Трафик страниц;
- Захват геолокации;
- Захват буфера обмена;
- Пользовательская навигация и т.д.
• Читать статью [10 min].
• GitHub.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
- Ansible Inventory Structure;
- Ansible Playbook Structure;
- Running the Playbook;
- Ansible Playbook: SSH Audit;
- Linux Kernel Audit;
- Nginx Audit;
- Apache Audit;
- Environment Secret Audit;
- SCM (GitLab) Audit;
- Docker Container Audit;
- Kubernetes Pod Audit;
- Database Audit (MySQL and PostgreSQL);
- Manage AWS Security Group Rules;
- Monitor Critical Files;
- Log Collection and Analysis;
- Firewall Rules Management with iptables;
- Backup and Restore Procedures.
#ansible #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Продолжаем следить за исследованиями в отношении уязвимостей и связанных с ними угроз.
1. Исследователи AppOmni обнаружили более 1000 серверов ServiceNow, которые раскрывают базы знаний клиентов (KB).
2. Tenable обнаружила уязвимость, которая могла позволить злоумышленникам запускать вредоносный код на серверах Google Cloud, позволяя перехватить внутреннюю зависимость ПО, которую Google предварительно устанавливает на серверах Google Cloud.
Она повлияла на Google Composer. Google устранила проблему и заявила, что не нашла никаких доказательств активной эксплуатации.
3. Varonis опубликовала подробности об атаке с внедрением SOQL (Salesforce Object Query Language), которая позволяла извлечь данные и сведения о клиентах Salesforce через API Aura компании. Выявлена в январе и оперативно исправлена месяц спустя.
4. Исследователи AmberWolf обнаружили Skeleton Cookie (CVE-2024-45488), обход аутентификации в устройстве PAM Safeguard for Privileged Passwords компании One Identity.
Уязвимость может быть использована для получения полного административного доступа к приложению и извлечения паролей и резервных копий.
Поставщик заявляет, что исправит проблему в предстоящей версии приложения 8.0.
5. Исследователи Horizon3 опубликовали технический анализ CVE-2024-8190, активно эксплуатируемой 0-day в Ivanti Cloud Service Appliance (CSA).
Правда, в предыдущий раз Horizon3 некосячила и исправила прошлонедельное сообщение в блоге с предполагаемыми подробностями по недавней ошибке Ivanti (CVE-2024-29847).
На самом деле в отчете фигурировала CVE-2023-28324, которая была исправлена в июне прошлого года.
Исследователи из Summoning Team утверждают, что Horizon3 в спешке пыталась присвоить себе раскрытие одной из ошибок, о которой они сообщали у себя в блоге.
6. Бизоны представили подробный технический анализ уязвимости CVE‑2024‑7965 (некорректная имплементация в V8), которая позволяет исполнять произвольный код в рендерере Google Chrome, показав как ее можно проэксплутатировать (PoC).
1. Исследователи AppOmni обнаружили более 1000 серверов ServiceNow, которые раскрывают базы знаний клиентов (KB).
2. Tenable обнаружила уязвимость, которая могла позволить злоумышленникам запускать вредоносный код на серверах Google Cloud, позволяя перехватить внутреннюю зависимость ПО, которую Google предварительно устанавливает на серверах Google Cloud.
Она повлияла на Google Composer. Google устранила проблему и заявила, что не нашла никаких доказательств активной эксплуатации.
3. Varonis опубликовала подробности об атаке с внедрением SOQL (Salesforce Object Query Language), которая позволяла извлечь данные и сведения о клиентах Salesforce через API Aura компании. Выявлена в январе и оперативно исправлена месяц спустя.
4. Исследователи AmberWolf обнаружили Skeleton Cookie (CVE-2024-45488), обход аутентификации в устройстве PAM Safeguard for Privileged Passwords компании One Identity.
Уязвимость может быть использована для получения полного административного доступа к приложению и извлечения паролей и резервных копий.
Поставщик заявляет, что исправит проблему в предстоящей версии приложения 8.0.
5. Исследователи Horizon3 опубликовали технический анализ CVE-2024-8190, активно эксплуатируемой 0-day в Ivanti Cloud Service Appliance (CSA).
Правда, в предыдущий раз Horizon3 некосячила и исправила прошлонедельное сообщение в блоге с предполагаемыми подробностями по недавней ошибке Ivanti (CVE-2024-29847).
На самом деле в отчете фигурировала CVE-2023-28324, которая была исправлена в июне прошлого года.
Исследователи из Summoning Team утверждают, что Horizon3 в спешке пыталась присвоить себе раскрытие одной из ошибок, о которой они сообщали у себя в блоге.
6. Бизоны представили подробный технический анализ уязвимости CVE‑2024‑7965 (некорректная имплементация в V8), которая позволяет исполнять произвольный код в рендерере Google Chrome, показав как ее можно проэксплутатировать (PoC).
AppOmni
Enterprise ServiceNow Knowledge Bases at Risk | AppOmni
Read the blog to learn about ServiceNow’s Knowledge Base data exposure risks and how to mitigate these issues.
• У Microsoft есть бесплатный курс (Security-101) для изучения основ кибербезопасности. Благодаря этому курсу можно освоить только базовые принципы, и в нём не учат работать с определёнными инструментами или разрабатывать вредоносные скрипты.
• Курс состоит из семи уроков, включающих небольшое видео, статью и ссылки для более глубокого изучения темы. В некоторых уроках есть вопросы для самопроверки усвоенного материала. Большие темы разделили на несколько частей, чтобы их было удобнее изучать.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Когда-то давно, я обращал внимание на то обстоятельство, что в отличие от винды сообщения об ошибках здесь не особо информативны, а порой система просто не желает делать то, что тебе нужно, по непонятным причинам. В Suicide Linux эта философия доведена до абсолюта: любую ошибку при вводе команд в консоли ОС воспринимает, как запрос на очистку жесткого диска «
rm -rf /». Вероятно, что это самая "своеобразная" ОС, с которой мне доводилось сталкиваться.• Suicide Linux — нечто вроде игры, позволяющей понять, насколько долго вы сможете пользоваться системой прежде, чем потеряете все свои данные. Заодно он позволит хорошенько отточить свои навыки работы в терминале и как следует выучить синтаксис команд Linux. К слову, для удобства пользователя разработчики распространяют Suicide Linux в виде контейнера Docker.
#Разное #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Специалисты F.A.C.C.T. раскрыли новый необычный способ доставки майнера Xmrig при помощи настроенных автоматических ответов почтового адреса.
Рассылка autoreply-писем велась с скомпрометированных почтовых адресов.
Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании.
Зафиксировано около 150 подобных писем.
При этом в самих письмах находилась ссылка на облако, куда был сохранен файл, содержащий вредоносное ПО Xmrig.
Xmrig – это кросплатформенный майнер криптовалют, который работает с видеокартами обоих производителей (AMD/Nvidia), поддерживает популярные алгоритмы майнинга и, в основном, используется для добычи Monero.
Анализ почтовых адресов, на которых был установлен «вредоносный» автоответ показал, что раньше они использовались в легитимных целях и свидетельствовал о потенциальной массовой компрометации этих почтовых адресов, после чего ими и воспользовались злоумышленники.
В процессе изучения используемых адресов было выяснено, что все они фигурировали в утечках как в открытом виде, так и в виде хэшей.
Также многие пользователи взломанных почт, судя по данным из утечек, использовали одинаковые пароли в разных сервисах.
Среди пользователей, чьи почтовые ящики были скомпрометированы, были замечены, в основном, физлица, однако также почты арбитражных управляющих, торговых и строительных компаний, мебельной фабрики и КФХ.
Для маскировки атакующие также использовали скан реального счета на оплату оборудования, не совпадающего с тематикой писем.
Таким образом жертвой может стать не только компания, но и обычные пользователи, которые будут взаимодействовать со взломанной почтой.
Данный способ доставки ВПО опасен тем, что потенциальная жертва первая инициирует коммуникацию — вступает в переписку и ждет ответное письмо.
В этом состоит главное отличие от традиционных рассылок, где получатель часто получает нерелевантное для него письмо и игнорирует.
В данном случае, хотя письмо не выглядит убедительным, коммуникация уже установлена и сам факт распространения файла может не вызывать особого подозрения, а лишь пробудить интерес у жертвы.
Рассылка autoreply-писем велась с скомпрометированных почтовых адресов.
Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании.
Зафиксировано около 150 подобных писем.
При этом в самих письмах находилась ссылка на облако, куда был сохранен файл, содержащий вредоносное ПО Xmrig.
Xmrig – это кросплатформенный майнер криптовалют, который работает с видеокартами обоих производителей (AMD/Nvidia), поддерживает популярные алгоритмы майнинга и, в основном, используется для добычи Monero.
Анализ почтовых адресов, на которых был установлен «вредоносный» автоответ показал, что раньше они использовались в легитимных целях и свидетельствовал о потенциальной массовой компрометации этих почтовых адресов, после чего ими и воспользовались злоумышленники.
В процессе изучения используемых адресов было выяснено, что все они фигурировали в утечках как в открытом виде, так и в виде хэшей.
Также многие пользователи взломанных почт, судя по данным из утечек, использовали одинаковые пароли в разных сервисах.
Среди пользователей, чьи почтовые ящики были скомпрометированы, были замечены, в основном, физлица, однако также почты арбитражных управляющих, торговых и строительных компаний, мебельной фабрики и КФХ.
Для маскировки атакующие также использовали скан реального счета на оплату оборудования, не совпадающего с тематикой писем.
Таким образом жертвой может стать не только компания, но и обычные пользователи, которые будут взаимодействовать со взломанной почтой.
Данный способ доставки ВПО опасен тем, что потенциальная жертва первая инициирует коммуникацию — вступает в переписку и ждет ответное письмо.
В этом состоит главное отличие от традиционных рассылок, где получатель часто получает нерелевантное для него письмо и игнорирует.
В данном случае, хотя письмо не выглядит убедительным, коммуникация уже установлена и сам факт распространения файла может не вызывать особого подозрения, а лишь пробудить интерес у жертвы.
Хабр
Вредоносный ответ: эксперты ЦК F.A.C.C.T. обнаружили необычный способ рассылки майнера
Специалисты Центра кибербезопасности компании F.A.C.C.T. зафиксировали новый необычный способ доставки майнера Xmrig — вредоносного ПО, предназначенного для скрытой добычи криптовалют...
Forwarded from Security Vision
Security Vision Vulnerability Management (VM) является комплексным продуктом по управлению уязвимостями, включающим обнаружение уязвимостей на активах, предоставление максимально подробной информации по выявленным уязвимостям и рекомендаций по их устранению, процесс контроля с подтверждением устранения, мониторинг сроков и SLA.
Please open Telegram to view this post
VIEW IN TELEGRAM
• Как известно, #Docker умеет создавать виртуальные сети для безопасного и удобного сетевого взаимодействия внутри контейнеров. В этой статье мы рассмотрим, как именно он это делает на примере базовых манипуляций с сетью в рамках одного хоста с операционной системой #Linux.
• По итогу мы получим:
- http-сервер, запущенный в изолированном сетевом пространстве;
- Доступ к этому серверу по порту 8000 из loopback (localhost) интерфейса хоста;
- Перенаправление пакетов от других машин по tcp порту 8000 в наш http-сервер.
• Дополнительный материал: в этой статье автор рассказывает о том, как работает сеть в контейнерах и разбирает следующие вопросы:
- Как виртуализировать сетевые ресурсы, чтобы контейнеры думали, что у них есть отдельная сетевая среда?
- Как превратить контейнеры в дружелюбных соседей и научить общаться друг с другом?
- Как выйти во внешний мир (например, в Интернет) изнутри контейнера?
- Как связаться с контейнерами, работающими на хосте Linux, из внешнего мира?
- Как реализовать публикацию портов, подобную Docker?
#Сети #DevOps #Docker
Please open Telegram to view this post
VIEW IN TELEGRAM
• Компания Postgres Professional разместила в свободном доступе книгу "PostgreSQL 16 изнутри" (PDF, 665 стр.). В книге детально рассматривается устройство СУБД PostgreSQL. Книга будет полезной администраторам и разработчикам, желающим разобраться во внутреннем устройстве PostgreSQL, а также тем, кто хорошо знаком с устройством другой СУБД, но переходит на PostgreSQL и хочет разобраться в отличиях.
• Здесь вы не найдете готовых рецептов. Ведь на все случаи жизни их все равно не хватит, а понимание внутренней механики позволяет критически переосмысливать чужой опыт и делать собственные выводы. Именно поэтому автор объясняет, как что устроено, возможно даже более подробно, чем на первый взгляд может показаться практичным.
• Большая часть сведений будет актуальна еще довольно долго. Обдумывайте, экспериментируйте, проверяйте. В PostgreSQL для этого есть все инструменты, и автор старался показать, как ими пользоваться.
• Часть I. Изоляция и многоверсионность:
- Изоляция;
- Страницы и версии строк;
- Снимки данных;
- Внутристраничная очистка и hot-обновления;
- Очистка и автоочистка;
- Заморозка;
- Перестроение таблиц и индексов.
• Часть II. Буферный кеш и журнал:
- Буферный кеш;
- Журнал предзаписи;
- Режимы журнала.
• Часть III. Блокировки:
- Блокировки отношений;
- Блокировки строк;
- Блокировки разных объектов;
- Блокировки в памяти.
• Часть IV. Выполнение запросов:
- Этапы выполнения запросов;
- Статистика;
- Табличные методы доступа;
- Индексные методы доступа;
- Индексное сканирование;
- Вложенный цикл;
- Хеширование;
- Сортировка и слияние.
• Часть V. Типы индексов:
- Хеш-индекс;
- B-дерево;
- Индекс GiST;
- Индекс SP-GiST;
- Индекс GIN;
- Индекс BRIN.
#PostgreSQL
Please open Telegram to view this post
VIEW IN TELEGRAM
- Uncovering Hidden Information in AI Security;
- Model Extraction: A Red Teamer's Guide;
- Model Fingerprinting;
- Prompt Injection;
- Restricted Prompting;
- Tabular Attack;
- Tree of Attacks (TAP) Jailbreaking;
- Data Augmentation, and Model Training in NLP.
#LLM #Red_Team
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Украл, выпил и в тюрьму! - именно так сложилась судьба хакеров, которым сначала удалось виртуозно заполучить 243 млн. долл. и хорошенько оттянуться, а потом присесть на скамью подсудимых.
Вообще же, юным мошенникам стоило глянуть давнишний сериал про полицейских из Майами и быть может что-то в их судьбе сложилось иначе.
Однако вместо этого, они решили нехило затариться и ни в чем себе не отказывать.
Во время успешной атаки 18 августа двум обвиняемым 20-летнему Мэлоуну Лэму (aka Greavys, Anne Hathaway, $$$) и 21-летнему Жандиэль Серрано (aka Box, VersaceGod, SkidStar) в составе группы с другими участниками удалось развести на 4100 биткоинов жертву из Вашингтона.
Согласно судебным документам, банда получила несанкционированный доступ к счетам клиента криптобиржи Genesis, переведя средства на контролируемые ими криптокошельки, после чего успешно отмыли украденные активы.
Выдавая себя за поддержку Gemini, под легендой взлома учетной записи они обманом заставили жертву сбросить 2FA и предоставить доступ к экрану через AnyDesk, что позволило получить доступ к закрытым ключам Bitcoin Core и украсть средства.
Куш был оперативно поделен между каждым из участников, после чего средства разошлись по более чем 15 биржам и криптомиксерам с использованием VPN и цепочек транзакций.
Привлеченный к расследованию ресерчер ZachXBT смог выследить одного из грабителей под псевдонимом Wiz, который наварился на схеме на $41 млн., но спалился на OpSec.
Помимо этого косвенными признаками причастности лица стали покупки люксовых автомобилей, дизайнеских сумок часов и ювелирных изделий.
Его подельники также допустили критические ошибки, связав отмытые средства с изначально украденными траншами.
При этом парни вообще не стеснялись и постили в свои соцсети все атрибуты роскошной жизни, по которым оперативники установили их местоположение.
После чего на этой неделе в Майами их арестовали по обвинению в сговоре с целью хищения и отмывания более 230 миллионов долларов в криптовалюте.
Вообще же, юным мошенникам стоило глянуть давнишний сериал про полицейских из Майами и быть может что-то в их судьбе сложилось иначе.
Однако вместо этого, они решили нехило затариться и ни в чем себе не отказывать.
Во время успешной атаки 18 августа двум обвиняемым 20-летнему Мэлоуну Лэму (aka Greavys, Anne Hathaway, $$$) и 21-летнему Жандиэль Серрано (aka Box, VersaceGod, SkidStar) в составе группы с другими участниками удалось развести на 4100 биткоинов жертву из Вашингтона.
Согласно судебным документам, банда получила несанкционированный доступ к счетам клиента криптобиржи Genesis, переведя средства на контролируемые ими криптокошельки, после чего успешно отмыли украденные активы.
Выдавая себя за поддержку Gemini, под легендой взлома учетной записи они обманом заставили жертву сбросить 2FA и предоставить доступ к экрану через AnyDesk, что позволило получить доступ к закрытым ключам Bitcoin Core и украсть средства.
Куш был оперативно поделен между каждым из участников, после чего средства разошлись по более чем 15 биржам и криптомиксерам с использованием VPN и цепочек транзакций.
Привлеченный к расследованию ресерчер ZachXBT смог выследить одного из грабителей под псевдонимом Wiz, который наварился на схеме на $41 млн., но спалился на OpSec.
Помимо этого косвенными признаками причастности лица стали покупки люксовых автомобилей, дизайнеских сумок часов и ювелирных изделий.
Его подельники также допустили критические ошибки, связав отмытые средства с изначально украденными траншами.
При этом парни вообще не стеснялись и постили в свои соцсети все атрибуты роскошной жизни, по которым оперативники установили их местоположение.
После чего на этой неделе в Майами их арестовали по обвинению в сговоре с целью хищения и отмывания более 230 миллионов долларов в криптовалюте.
X (formerly Twitter)
ZachXBT (@zachxbt) on X
1/ An investigation into how Greavys (Malone Iam), Wiz (Veer Chetal), and Box (Jeandiel Serrano) stole $243M from a single person last month in a highly sophisticated social engineering attack and my efforts which have helped lead to multiple arrests and…
Acoustic Manipulation of Underwater Data Center Operations.pdf
5.2 MB
• Учёные Университета Флориды опубликовали интересное исследование, в котором говорится о том, каким образом можно организовать акустические атаки на подводные центры хранения данных, не прибегая к военным средствам.
• Обратите внимание на документ к этой публикации, в нем подробно описывают, как звук на резонансной частоте жёстких дисков (HDD), установленных в погружных корпусах, может привести к снижению пропускной способности систем хранения RAID и даже к сбою приложений.
• Исследователи моделировали ситуации с воздействием атак как на системы только с HDD, так и на гибридные платформы с SSD и HDD. Они обнаружили, что звук правильной резонансной частоты вызывает вибрации в головке чтения-записи и дисках за счёт распространения вибрации, пропорциональной акустическому давлению или интенсивности звука. Это влияет на производительность чтения/записи диска.
• Учёные использовали сервер Supermicro CSE-823 с RAID5-массивом из SATA-накопителей Seagate Exos 7E2, дополненным SSD Intel D3-S4510. Его помещали в металлические контейнеры в лаборатории и открытых водоёмах, а звук генерировали с помощью подводного динамика. Пропускная способность RAID-массива снижалась при воздействии звуком с некоторыми частотами, в том числе с 2, 3,7, 5,1–5,3 и 8,9 кГц. Однако в диапазоне 5,1–5,3 кГц наблюдалось «постоянное ухудшение пропускной способности». Нарушения возникали уже после 2,4 минут устойчивого акустического воздействия, которое приводило к росту задержек доступа к базе данных на 92,7 %. Некоторые жёсткие диски полностью выходили из строя.
• Подобные атаки можно выполнять с помощью модулей, подключаемых к лодкам или подводным аппаратам. Кроме того, подводные ЦОД могут пострадать и от случайных воздействий, например от взрыва гидролокатора подводной лодки.
• Чтобы смягчить угрозу такого рода исследователи рассмотрели несколько методов. Один из них заключался в использовании звукопоглощающих материалов для ослабления вибрации, вызванной звуком, но результатом стало повышение температуры сервера при выполнении рабочих нагрузок, и было обнаружено, что злоумышленник мог преодолеть эту защиту, увеличив громкость звука.
• Более продвинутый метод защиты, предложенный в документе, представляет собой модель машинного обучения для обнаружения нескольких одновременных снижений пропускной способности при небольших объемах путем анализа пропускной способности кластеров, находящихся в непосредственной физической близости внутри модуля ЦОД.
• В документе описано, что после обнаружения система управления ресурсами может использовать методы репликации данных и стирающего кодирования для миграции запросов ввода-вывода на незатронутые узлы за пределами зоны воздействия шума.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Позитивы делятся секретными приемами фаззинга, который может быть адаптирован под задачи поиска уязвимостей.
В публичном пространстве огромное количество материалов о том, как находить дефекты ПО, но при этом почти нет материалов о том, как искать уязвимости с помощью фаззинга.
В исследовании автор приводит достаточно дельные мысли и практические рекомендации по части того, как искать уязвимости в ядре Linux с помощью фаззинга, в том числе с использованием ядерного фаззера syzkaller.
В общем еще один годный материал в копилку, особенно будет полезен тем, кто специализируется на данном направлении.
В публичном пространстве огромное количество материалов о том, как находить дефекты ПО, но при этом почти нет материалов о том, как искать уязвимости с помощью фаззинга.
В исследовании автор приводит достаточно дельные мысли и практические рекомендации по части того, как искать уязвимости в ядре Linux с помощью фаззинга, в том числе с использованием ядерного фаззера syzkaller.
В общем еще один годный материал в копилку, особенно будет полезен тем, кто специализируется на данном направлении.
Хабр
Адаптируем фаззинг для поиска уязвимостей
Фаззинг — очень популярная методика тестирования программного обеспечения случайными входными данными. В сети огромное количество материалов о том, как находить дефекты ПО с его помощью. При этом в...
• Nmap — эталон среди сканеров портов и один из важнейших инструментов пентестера. В первую очередь используется для сканирования портов, но, кроме этого, имеет огромную массу полезных функций, что, по сути, делает Nmap супер-комбайном для исследования сетей.
• В Nmap есть поддержка скриптов для сканирования (NSE — Nmap Scripting Engine). С использованием скриптов мы можем автоматизировать свою работу и сократить время на выполнение определенных задач. Согласитесь, ведь удобнее же «нажать одну кнопку» и получить результат, чем постоянно проделывать одну и ту же последовательность действий, верно?
• Первая статья освещает базовую информацию о том, как работать со скриптами в Nmap: https://www.stationx.net/nmap-scripting-engine/
• Вторая статья от журнала ][акер, которая поможет не только разобраться с основами, но еще и даст необходимую информацию по написанию собственных скриптов. Содержание следующее:
- Постановка задачи;
- Структура NSE-скрипта;
- Описание скрипта (description);
- Категории, в которых находится скрипт (categories);
- Информация об авторе (author);
- Информация об использующейся лицензии (license);
- Зависимости от других скриптов (dependencies);
- Хост и порт (host & port);
- Подключение библиотек;
- Инструкции скрипта (action);
- Настройка PostgreSQL;
- Запуск скрипта;
- Аргументы;
- Расширение;
- Отладка скриптов.
• После прочтения материала по ссылкам выше, обязательно обратите внимание на все доступные сценарии NSE, которые разбиты на 14 категорий:
- auth;
- broadcast;
- brute;
- default;
- discovery;
- dos;
- exploit;
- external;
- fuzzer;
- intrusive;
- malware;
- safe;
- version;
- vuln.
#nmap
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Лаборатория Касперского решила преподать мастер-класс своим коллегам, задав высокую планку по исследованиям, теперь не только по части содержания, но и в количественном выражении.
Вышел новый отчет, на этот раз в отношении банды вымогателей Key Group (или keygroup777), которая в основном нацелена на российских пользователей, ведет переговоры с жертвами в Telegram и использует билдер шифровальщика Chaos.
Первый публичный отчет об активности Key Group в 2023 году выпустили BI.ZONE. Тогда злоумышленники привлекли к себе внимание, когда после атаке на российского пользователя оставили записку идеологического характера без требования выкупа.
Однако, по данным телеметрии ЛК, группа действовала и в 2022 году. При этом и до и после атаки, замеченной BI.ZONE, злоумышленники требовали перевести деньги на Bitcoin-кошелек.
Исследователи Лаборатории отследили активность Key Group с первых атак, обнаружив не только Chaos, но и использование других утекших билдеров ransomware.
Проанализировав образцы, ЛК смогли отыскать на GitHub загрузчики и вредоносные URL, которые показали связь группы с ранее неизвестными злоумышленниками.
Первые варианты шифровальщиков в арсенале Key Group были обнаружены в апреле 2022 года: группа использовала исходный код Xorist.
Уже в августе банда добавила в свой инструментарий билдер Chaos сразу после запуска ее RaaS. Для обратной связи - Telegram.
Следующие образцы Key Group на основе Chaos были обнаружены в январе 2023 года. На протяжении всего года группа использовала этот шифровальщик, меняя в основном только содержимое записки.
С апреля 2023 года злоумышленники были активны на DarkStore.
Они атаковали Telegram-каналы спам-рейдами и тестировали общедоступный троянец NjRat с функционалом кейлоггера, стилера, реверс-шелла и распространения через USB.
Летом 2023-го был обнаружен новый образец под названием warnep.exe.
Содержимое записки сильно отличалось от предыдущих и носило идеологический характер. Key Group больше не указывала контактную информацию, но объявляла о своих мотивах.
В августе 2023-го замечено использование шифровальщика Annabelle.
Образец, замеченный в атаках, шифрует файлы и содержит блокировщик MBR и различные встроенные техники обхода средств защиты.
Примерно в тот же период в атаках Key Group был обнаружен образец шифровальщика Slam, его билдер стал общедоступным еще в 2021 году.
Slam использует алгоритм шифрования AES-CBC. Также он использует сервис IP Logger для отслеживания зараженных жертв.
В сентябре 2023 года был обнаружен вайпер на основе билдера RuRansom.
Примерно в то же время, что и экземпляры RuRansom, брендированные под Key Group, в атаках злоумышленников был замечен образец еще одного вымогателя - UX-cryptor.
В феврале 2024 года группа Key Group переключилась с Chaos на шифровальщик Hakuna Matata с AES-CBC шифрованием, а в марте - уже на Judge/NoCry.
Судя по обнаруженным атрефактам, исследователи предполагают, что Key Group - это дочерний проект русскоговорящей группы huis, известной в теневом сообществе.
Таким образом, Key Group, как и многие хактивисты, не разрабатывает собственное вредоносное ПО, а активно использует слитые билдеры ransomware, а в качестве C2 выступает репозитории GitHub.
При этом стоит отметить, что исходники ransomware все чаще оказываются в паблике, увеличивая число групп, использующих утекшие билдеры или код.
По всей видимости, таких групп будет становиться еще больше.
Вышел новый отчет, на этот раз в отношении банды вымогателей Key Group (или keygroup777), которая в основном нацелена на российских пользователей, ведет переговоры с жертвами в Telegram и использует билдер шифровальщика Chaos.
Первый публичный отчет об активности Key Group в 2023 году выпустили BI.ZONE. Тогда злоумышленники привлекли к себе внимание, когда после атаке на российского пользователя оставили записку идеологического характера без требования выкупа.
Однако, по данным телеметрии ЛК, группа действовала и в 2022 году. При этом и до и после атаки, замеченной BI.ZONE, злоумышленники требовали перевести деньги на Bitcoin-кошелек.
Исследователи Лаборатории отследили активность Key Group с первых атак, обнаружив не только Chaos, но и использование других утекших билдеров ransomware.
Проанализировав образцы, ЛК смогли отыскать на GitHub загрузчики и вредоносные URL, которые показали связь группы с ранее неизвестными злоумышленниками.
Первые варианты шифровальщиков в арсенале Key Group были обнаружены в апреле 2022 года: группа использовала исходный код Xorist.
Уже в августе банда добавила в свой инструментарий билдер Chaos сразу после запуска ее RaaS. Для обратной связи - Telegram.
Следующие образцы Key Group на основе Chaos были обнаружены в январе 2023 года. На протяжении всего года группа использовала этот шифровальщик, меняя в основном только содержимое записки.
С апреля 2023 года злоумышленники были активны на DarkStore.
Они атаковали Telegram-каналы спам-рейдами и тестировали общедоступный троянец NjRat с функционалом кейлоггера, стилера, реверс-шелла и распространения через USB.
Летом 2023-го был обнаружен новый образец под названием warnep.exe.
Содержимое записки сильно отличалось от предыдущих и носило идеологический характер. Key Group больше не указывала контактную информацию, но объявляла о своих мотивах.
В августе 2023-го замечено использование шифровальщика Annabelle.
Образец, замеченный в атаках, шифрует файлы и содержит блокировщик MBR и различные встроенные техники обхода средств защиты.
Примерно в тот же период в атаках Key Group был обнаружен образец шифровальщика Slam, его билдер стал общедоступным еще в 2021 году.
Slam использует алгоритм шифрования AES-CBC. Также он использует сервис IP Logger для отслеживания зараженных жертв.
В сентябре 2023 года был обнаружен вайпер на основе билдера RuRansom.
Примерно в то же время, что и экземпляры RuRansom, брендированные под Key Group, в атаках злоумышленников был замечен образец еще одного вымогателя - UX-cryptor.
В феврале 2024 года группа Key Group переключилась с Chaos на шифровальщик Hakuna Matata с AES-CBC шифрованием, а в марте - уже на Judge/NoCry.
Судя по обнаруженным атрефактам, исследователи предполагают, что Key Group - это дочерний проект русскоговорящей группы huis, известной в теневом сообществе.
Таким образом, Key Group, как и многие хактивисты, не разрабатывает собственное вредоносное ПО, а активно использует слитые билдеры ransomware, а в качестве C2 выступает репозитории GitHub.
При этом стоит отметить, что исходники ransomware все чаще оказываются в паблике, увеличивая число групп, использующих утекшие билдеры или код.
По всей видимости, таких групп будет становиться еще больше.
securelist.ru
Key Group использует слитые билдеры шифровальщиков и вайперов
Эксперты «Лаборатории Касперского» изучили активность группы Key Group, использующей общедоступные билдеры шифровальщиков и вайперов, а также GitHub и Telegram.
• Есть причина, по которой TCP является наиболее часто используемым протоколом. Он надежен и гарантирует, что данные будут получены точно так же, как они были отправлены. Его проверенный на наличие ошибок поток информации может немного замедлить его работу, но в большинстве случаев задержка не является решающим фактором.
• Время, когда UDP сияет ярче, чем TCP, — это когда скорость имеет решающее значение, например, при потоковой передаче видео, VPN или онлайн-играх.
#Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
• Если не сильно углубляться в теорию, то Local Security Authority Subsystem Service (он же LSASS) — это процесс (исполняемый файл C:\Windows\System32\lsass.exe), ответственный за управление разными подсистемами аутентификации ОС #Windows. Среди его задач: проверка «кред» локальных и доменных аккаунтов в ходе различных сценариев запроса доступа к системе, генерация токенов безопасности для активных сессий пользователей, работа с провайдерами поддержки безопасности (Security Support Provider, SSP) и др.
• В домене Active Directory правит концепция единого входа Single Sign-On (SSO), благодаря которой процесс
lsass.exe хранит в себе разные материалы аутентификации залогиненных пользователей, например, NT-хеши и билеты Kerberos, чтобы «пользачу» не приходилось печатать свой пароль в вылезающем на экране окошке каждые 5 минут. В «лучшие» времена из LSASS можно было потащить пароли в открытом виде в силу активности протокола WDigest (HTTP дайджест-аутентификация), но начиная с версии ОС Windows Server 2008 R2 вендор решил не включать этот механизм по умолчанию.• При успешном дампе LSASS злоумышленнику чаще всего остается довольствоваться NT-хешами и билетами Kerberos, это все равно с большой вероятностью позволит ему повысить свои привилегии в доменной среде AD за короткий промежуток времени. Реализуя схемы Pass-the-Hash, Overpass-the-Hash и Pass-the-Ticket, злоумышленник может быстро распространиться по сети горизонтально, собирая по пути все больше хешей и «тикетов», что в конечном итоге дарует ему «ключи от Королевства» в виде данных аутентификации администратора домена.
• В этой статье представлены 50 методов извлечения данных аутентификации из памяти LSASS: https://redteamrecipe.com/50-methods-for-lsass-dumprtc0002
#Red_Team #Пентест #AD
Please open Telegram to view this post
VIEW IN TELEGRAM
• ПО для обеспечения безопасности Kubernetes… их так много, и у каждого свои цели, область применения и лицензии... Однако, хочу поведать Вам о некоторых интересных решениях с открытым исходным кодом, которые полностью бесплатны:
• Trivy — простой, но мощный сканер уязвимостей для контейнеров, легко интегрируемый в CI/CD-пайплайн. Его примечательная особенность — простота установки и работы: приложение состоит из единственного бинарника и не требует установки базы данных или дополнительных библиотек. Обратная сторона простоты Trivy состоит в том, что придется разбираться, как парсить и пересылать результаты в формате JSON, чтобы ими могли воспользоваться другие инструменты безопасности Kubernetes.
• Portieris — это admission controller для Kubernetes; применяется для принудительных проверок на доверие к контенту. Portieris использует сервер Notary в качестве источника истины для подтверждения доверенных и подписанных артефактов (то есть одобренных контейнерных образов). При создании или изменении рабочей нагрузки в Kubernetes Portieris загружает информацию о подписи и политику доверия к контенту для запрошенных образов контейнеров и при необходимости на лету вносит изменения в JSON-объект API для запуска подписанных версий этих образов.
• Kube-bench — приложение на Go, проверяющее, безопасно ли развернут Kubernetes. Ищет небезопасные параметры конфигурации среди компонентов кластера (etcd, API, controller manager и т.д.), сомнительные права на доступ к файлам, незащищенные учетные записи или открытые порты, квоты ресурсов, настройки ограничения числа обращений к API для защиты от DoS-атак и т.п.
• Kube-hunter — Kube-hunter «охотится» на потенциальные уязвимости (вроде удаленного выполнения кода или раскрытия данных) в кластерах Kubernetes. Kube-hunter можно запускать как удаленный сканер — в этом случае он оценит кластер с точки зрения стороннего злоумышленника — или как pod внутри кластера. Отличительной особенностью Kube-hunter'а является режим «активной охоты», во время которого он не только сообщает о проблемах, но и пытается воспользоваться уязвимостями, обнаруженными в целевом кластере, которые потенциально могут нанести вред его работе. Так что пользуйтесь с осторожностью!
• Kubeaudit — это консольный инструмент, изначально разработанный в Shopify для аудита конфигурации Kubernetes на предмет наличия различных проблем в области безопасности. Например, он помогает выявить контейнеры, работающие без ограничений, с правами суперпользователя, злоупотребляющие привилегиями или использующие ServiceAccount по умолчанию. У Kubeaudit есть и другие интересные возможности. К примеру, он умеет анализировать локальные файлы YAML, выявляя недостатки в конфигурации, способные привести к проблемам с безопасностью, и автоматически исправлять их.
• Kyverno — движок политик безопасности Kubernetes с открытым исходным кодом, который помогает вам определять политики с помощью простых манифестов Kubernetes. Он может проверять, изменять и генерировать ресурсы Kubernetes. Таким образом, это может позволить организациям определять и применять политики так, чтобы разработчики и администраторы придерживались определенного стандарта.
#Kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
• Полезный плейлист коротких видеороликов для начинающих, об утилитах, которые помогают получить информацию о состоянии системы (iostat, rsyslog, top, vmstat).
• System Logging with rsyslog on Oracle Linux;
• System Logging with logwatch on Oracle Linux;
• System Logging with journald on Oracle Linux;
• Using the sosreport Utility on Oracle Linux;
• Using the iostat Utility on Oracle Linux;
• Using the mpstat Utility on Oracle Linux;
• Using the vmstat Utility on Oracle Linux;
• Using the netstat Utility on Oracle Linux;
• Using the top Utility on Oracle Linux;
• Use Gprofng for Performance Profiling Applications;
• Linux Auditing System on Oracle Linux.
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Киберподполье нацелилось на уязвимости в компоненте печати CUPS, массово сканируя Интернет на предмет наличия в нем систем UNIX с раскрытыми портами печати.
Уязвимости были обнаружены исследователем Симоне Маргарителли еще в начале этого года и раскрыты в конце прошлой недели.
Они отслеживаются как CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 и CVE-2024-47177.
Проблемы затрагивают CUPS, общую систему печати UNIX, компонент с открытым исходным кодом, позволяющий системам UNIX функционировать в качестве серверов печати.
Все они выступают частью цепочки эксплойтов, которая может позволить злоумышленнику развернуть вредоносный принтер, индексировать принтер на сервере CUPS жертвы, внедрить вредоносный код внутри файла PPD и выполнить его из файла PPD, когда пользователь запускает задание печати через (вредоносный) принтер злоумышленника.
К настоящему времени уязвимости нашли отражение в отчетах Akamai, Rapid7, Elastic, Tenable, Qualys, DataDog и AquaSec, но привлекли пристальное внимание после публикации Маргарителли сообщения в X до выпуска исправлений.
Но не так все плохо, ведь ошибкам подвержены не все дистрибутивы Linux (только некоторые), а эксплуатировать их можно лишь в очень ограниченных сценариях, так что степень критичности (CVSS 9,9), по мнению многих исследователей, завышена.
Тем не менее, помимо раскрытия подробностей, в конце прошлой недели Маргарителли и другие опубликовали PoC, что и вызвало сканирования на предмет поиска UDP-порта 631, на котором сервер CUPS прослушивает новые принтеры, сообщающие о своем присутствии.
Несмотря на то, что CUPS отключен по умолчанию в большинстве дистрибутивов, по данным Shodan, в настоящее время более 75 000 систем, работающих под управлением CUPS, доступны через Интернет.
При этом другие показывают более 107 000, но может быть и больше.
Смягчение уязвимости довольно простое. Просто следует отключить, удалить или обновить CUPS.
Но в любом случае без этого не следует его запускать.
Уязвимости были обнаружены исследователем Симоне Маргарителли еще в начале этого года и раскрыты в конце прошлой недели.
Они отслеживаются как CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 и CVE-2024-47177.
Проблемы затрагивают CUPS, общую систему печати UNIX, компонент с открытым исходным кодом, позволяющий системам UNIX функционировать в качестве серверов печати.
Все они выступают частью цепочки эксплойтов, которая может позволить злоумышленнику развернуть вредоносный принтер, индексировать принтер на сервере CUPS жертвы, внедрить вредоносный код внутри файла PPD и выполнить его из файла PPD, когда пользователь запускает задание печати через (вредоносный) принтер злоумышленника.
К настоящему времени уязвимости нашли отражение в отчетах Akamai, Rapid7, Elastic, Tenable, Qualys, DataDog и AquaSec, но привлекли пристальное внимание после публикации Маргарителли сообщения в X до выпуска исправлений.
Но не так все плохо, ведь ошибкам подвержены не все дистрибутивы Linux (только некоторые), а эксплуатировать их можно лишь в очень ограниченных сценариях, так что степень критичности (CVSS 9,9), по мнению многих исследователей, завышена.
Тем не менее, помимо раскрытия подробностей, в конце прошлой недели Маргарителли и другие опубликовали PoC, что и вызвало сканирования на предмет поиска UDP-порта 631, на котором сервер CUPS прослушивает новые принтеры, сообщающие о своем присутствии.
Несмотря на то, что CUPS отключен по умолчанию в большинстве дистрибутивов, по данным Shodan, в настоящее время более 75 000 систем, работающих под управлением CUPS, доступны через Интернет.
При этом другие показывают более 107 000, но может быть и больше.
Смягчение уязвимости довольно простое. Просто следует отключить, удалить или обновить CUPS.
Но в любом случае без этого не следует его запускать.
evilsocket
Attacking UNIX Systems via CUPS, Part I
Hello friends, this is the first of two, possibly three (if and when I have time to finish the Windows research) writeups. We will start with targeting GNU/Linux systems with an RCE. As someone who’s