• Least Privilege;
• Secrets Management;
• Encryption of Sensitive Data;
• Compliance as code;
• terraform plan;
• pet Infra;
• Storing Terraform State Securely;
• Malicious Terraform Providers or Modules;
• Securing Terraform Executions with Isolation;
• Protecting Sensitive Variables in Terraform Logs;
• Securing API Keys and Archivist URLs in HCP Terraform;
• Use dynamic credentials;
• Terraform Plan vs Terraform Apply;
• Replace blacklisted provider.
#IaC #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователь HaxRob из Doubleagent сообщает об обнаружении новой версии вредоносного ПО FASTCash для Linux, которая помогает красть деньги из банкоматов, заражая платежные системы финансовых учреждений и обеспечивая снятие наличных.
Все задокументированные предыдущие версии FASTCash были нацелены на системы Windows и IBM AIX (Unix) в отличие от новой, нацеленной на дистрибутивы Ubuntu 22.04 LTS.
Впервые о схеме по обналу через банкоматы FASTCash поведала CISA еще в декабре 2018 года, приписав эту деятельность северокорейской хакерской группе, известной как Hidden Cobra.
При этом злоумышленники использовали FASTCash в своих операциях как минимум с 2016 года, похищая десятки миллионов долларов за каждый инцидент в ходе синхронизированных атак с снятием наличных через банкоматы в 30 и более странах.
Позже в 2020 году американские спецслужбы вновь стали рапортовать об угрозах активицизации деятельности FASTCash 2.0, связав дейчтельность с APT38 (Lazarus).
Год спустя в отношении трех граждан Северной Кореи, причастных к реализации схем, были выдвинуты обвинения в хищении более 1,3 млрд долларов из финансовых организаций по всему миру.
Новейший вариант ПО был впервые представлен VirusTotal в июне 2023 года и имеет большое функциональное сходство с предыдущими версиями для Windows и AIX.
Он поставляется в виде общей библиотеки, которая внедряется в запущенный процесс на сервере-коммутаторе платежей с помощью системного вызова «ptrace», подключая его к сетевым функциям.
Коммутаторы выступают посредниками, обеспечивающими связь между банкоматами/терминалами PoS и центральными системами банка, маршрутизируя запросы на транзакции и ответы.
Вредоносная ПО перехватывает и манипулирует транзакционными сообщениями ISO8583, используемыми в финансовой отрасли для обработки дебетовых и кредитных карт.
В частности, вредоносное ПО нацелено на сообщения, касающиеся отклонения транзакций из-за недостатка средств на счете держателя карты, и заменяет ответ «отклонить» на «одобрить».
Поддельное сообщение также содержит случайную сумму денег в размере 350–875 долларов США для авторизации запрошенной транзакции.
После того, как модифицированное сообщение отправляется обратно в центральные системы банка с кодами одобрения (DE38, DE39) и суммой (DE54), банк пропускает транзакцию, а дроп снимает наличные в банкомате.
На момент обнаружения Linux-версия FASTCash не детектировалась на VirusTotal, что означает, что она могла обойти большинство стандартных средств безопасности, что позволяло злоумышленникам беспрепятственно выполнять транзакции.
HaxRob также предупреждает, что сентябре 2024 года на VT была представлена новая версия для Windows, что свидетельствует об активной работе хакеров по совершенствованию своего арсенала.
Все задокументированные предыдущие версии FASTCash были нацелены на системы Windows и IBM AIX (Unix) в отличие от новой, нацеленной на дистрибутивы Ubuntu 22.04 LTS.
Впервые о схеме по обналу через банкоматы FASTCash поведала CISA еще в декабре 2018 года, приписав эту деятельность северокорейской хакерской группе, известной как Hidden Cobra.
При этом злоумышленники использовали FASTCash в своих операциях как минимум с 2016 года, похищая десятки миллионов долларов за каждый инцидент в ходе синхронизированных атак с снятием наличных через банкоматы в 30 и более странах.
Позже в 2020 году американские спецслужбы вновь стали рапортовать об угрозах активицизации деятельности FASTCash 2.0, связав дейчтельность с APT38 (Lazarus).
Год спустя в отношении трех граждан Северной Кореи, причастных к реализации схем, были выдвинуты обвинения в хищении более 1,3 млрд долларов из финансовых организаций по всему миру.
Новейший вариант ПО был впервые представлен VirusTotal в июне 2023 года и имеет большое функциональное сходство с предыдущими версиями для Windows и AIX.
Он поставляется в виде общей библиотеки, которая внедряется в запущенный процесс на сервере-коммутаторе платежей с помощью системного вызова «ptrace», подключая его к сетевым функциям.
Коммутаторы выступают посредниками, обеспечивающими связь между банкоматами/терминалами PoS и центральными системами банка, маршрутизируя запросы на транзакции и ответы.
Вредоносная ПО перехватывает и манипулирует транзакционными сообщениями ISO8583, используемыми в финансовой отрасли для обработки дебетовых и кредитных карт.
В частности, вредоносное ПО нацелено на сообщения, касающиеся отклонения транзакций из-за недостатка средств на счете держателя карты, и заменяет ответ «отклонить» на «одобрить».
Поддельное сообщение также содержит случайную сумму денег в размере 350–875 долларов США для авторизации запрошенной транзакции.
После того, как модифицированное сообщение отправляется обратно в центральные системы банка с кодами одобрения (DE38, DE39) и суммой (DE54), банк пропускает транзакцию, а дроп снимает наличные в банкомате.
На момент обнаружения Linux-версия FASTCash не детектировалась на VirusTotal, что означает, что она могла обойти большинство стандартных средств безопасности, что позволяло злоумышленникам беспрепятственно выполнять транзакции.
HaxRob также предупреждает, что сентябре 2024 года на VT была представлена новая версия для Windows, что свидетельствует об активной работе хакеров по совершенствованию своего арсенала.
haxrob
FASTCash for Linux
Analysis of a newly discovered Linux based variant of the DPRK attributed FASTCash malware along with background information on payment switches used in financial networks.
• Еще немного про шифрование. Кашу маслом не испортишь, как не испортишь безопасность шифрованием. Но так ли это и на что еще обратить внимание, когда шифруешь файлы?
• Первое правило клуба шифровальщиков: никому не говори о клубе шифровальщиков. Ну кроме того, кому ты собираешься передать данные. Он то должен знать. Поэтому нужно шифровать все важные данные, которые вы передаете по открытой сети. Все дело в доверии. Доверяете ли вы Телеге? А Гуглу? А Протону? Никто не мешает нашим любимым операторам связи одной рукой устанавливать P2P соединение и называть это анонимностью, а другой – читать наши переписки. Бэкдоры они такие. Чтобы ваши данные попали в руки третьих лиц – шифруйте содержимое.
• Используйте ключевые файлы. Это как абсолютно надежный ключ от двери. Без него, даже зная пароль, архив не откроешь. Даже квантовым компьютером. Даже квантовым компьютером с паяльником. Его обычно транспортируют отдельно от архива. Создается этот ключ самой VeraCrypt. Вы можете выбрать его длину (в том числе случайную), а также количество. Хоть один, хоть сто, хоть двести. И спрятать можно его где угодно: ему можно присвоить любое расширение.
• Используйте PIM. Считайте, это дополнительный ПИН-код для вашего архива. Если шагнуть в сторону от математики, используя PIM нужно не только угадать ваш пароль, но и повторить его определенное количество раз. Это как если бы дверь открывали не всем, а только тем, кто стучит четыре раза в ля-бемоле. Штука удобная и крайне полезная. Взломостойкость повышается в разы. Быстродействие, конечно, падает, но если архив не терабайтный, то вы этого не особо заметите.
• Так что шифруйте, и да пребудет в сами сила криптографии!
#Криптография #VeraCrypt #PIM
Please open Telegram to view this post
VIEW IN TELEGRAM
• Secrets in private repositories;
- Scenario: An Attacker Scanning a Private Repository for Secrets;
- Example Commands and Codes;
• User Credentials in CI Pipelines;
- Scenario: An Adversary Exploiting CI Pipeline Credentials;
- Example Commands and Codes;
• Azure Key-Vault Authentication Abuse;
- Azure’s Documentation Overview;
• Practical Implementation: Azure’s Authentication Solution;
- Steps for Compromising Azure Key Vault;
• Azure Key Vault RBAC;
• Ansible Vault Secret;
- Generating a Hash for Cracking;
- Cracking the Hash;
- Decrypting the File;
• Vault-Backend-Migrator;
- Threats;
• Kubernetes Sealed Secrets;
• chamber;
• Vault Secrets Operator;
• Buttercup Weak Password;
• teller manipulate files;
• BlackBox;
• Conclusion;
- Attacker's Next Steps.
#devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Критическая уязвимость в Kubernetes может привести к несанкционированному доступу по SSH к виртуальной машине, на которой запущен образ, созданный с помощью Kubernetes Image Builder.
Согласно рекомендациям по безопасности, критическая уязвимость затрагивает образы виртуальных машин, созданные с помощью поставщика Proxmox в Image Builder версии 0.1.37 или более ранней.
Проблема отслеживается как CVE-2024-9486 и обусловлена использованием учетных данных по умолчанию, которые включены в процессе создания образа и не отключаются впоследствии.
Злоумышленник, зная об этом, может подключиться по SSH-соединению и использовать эти учетные данные для получения доступа с привилегиями root к уязвимым виртуальным машинам.
Решением является пересборка затронутых образов виртуальных машин с помощью Kubernetes Image Builder версии v0.1.38 или более поздней, который устанавливает случайно сгенерированный пароль во время процесса сборки, а также отключает учетную запись сборщика по умолчанию.
Если в данный момент обновление невозможно, временным решением является отключение учетной записи сборщика с помощью команды: usermod -L builder.
Более подробную информацию о мерах по смягчению последствий и о том, как проверить, затронута ли ваша система, можно найти на GitHub.
Причем та же проблема характерна и для образов, созданных с помощью Nutanix, OVA, QEMU или raw, но она имеет средний уровень серьезности из-за дополнительных требований для успешной эксплуатации.
Уязвимость также идентифицирована как CVE-2024-9594.
В частности, она может быть использована только в процессе сборки и требует, чтобы злоумышленник получил доступ к виртуальной машине, создающей образ, и выполнил определенные действия для сохранения учетных данных по умолчанию, что позволит получить доступ в будущем.
Те же самые рекомендации по исправлению и смягчению последствий применимы и к CVE-2024-9594.
Согласно рекомендациям по безопасности, критическая уязвимость затрагивает образы виртуальных машин, созданные с помощью поставщика Proxmox в Image Builder версии 0.1.37 или более ранней.
Проблема отслеживается как CVE-2024-9486 и обусловлена использованием учетных данных по умолчанию, которые включены в процессе создания образа и не отключаются впоследствии.
Злоумышленник, зная об этом, может подключиться по SSH-соединению и использовать эти учетные данные для получения доступа с привилегиями root к уязвимым виртуальным машинам.
Решением является пересборка затронутых образов виртуальных машин с помощью Kubernetes Image Builder версии v0.1.38 или более поздней, который устанавливает случайно сгенерированный пароль во время процесса сборки, а также отключает учетную запись сборщика по умолчанию.
Если в данный момент обновление невозможно, временным решением является отключение учетной записи сборщика с помощью команды: usermod -L builder.
Более подробную информацию о мерах по смягчению последствий и о том, как проверить, затронута ли ваша система, можно найти на GitHub.
Причем та же проблема характерна и для образов, созданных с помощью Nutanix, OVA, QEMU или raw, но она имеет средний уровень серьезности из-за дополнительных требований для успешной эксплуатации.
Уязвимость также идентифицирована как CVE-2024-9594.
В частности, она может быть использована только в процессе сборки и требует, чтобы злоумышленник получил доступ к виртуальной машине, создающей образ, и выполнил определенные действия для сохранения учетных данных по умолчанию, что позволит получить доступ в будущем.
Те же самые рекомендации по исправлению и смягчению последствий применимы и к CVE-2024-9594.
Discuss Kubernetes
[Security Advisory] CVE-2024-9486 and CVE-2024-9594: VM images built with Kubernetes Image Builder use default credentials
Hello Kubernetes Community, A security issue was discovered in Kubernetes where an unauthorized user may be able to ssh to a node VM which uses a VM image built with the Kubernetes Image Builder project (https://github.com/kubernetes-sigs/image-builder).…
• Как вам ксерокс, который при копировании заменяет цифры в оригинале? Вам кажется, что такое невозможно? К сожалению, в современной гонке за оптимизацией алгоритмов работы офисной техники такой фантастический вариант стал реальностью.
• Мы привыкли к тому, что ксерокс, хоть и технологичное устройство, но в общем его функции достаточно банальны — сделать копию с оригинала. Интуитивно мы предполагаем, что ксерокс работает как связка сканера с принтером: отсканировали изображение, получили картинку и отправили её на принтер. Именно так, видимо, и работали ранние ксероксы.
• Но устройства усложнялись, появились МФУ, в которых уже была встроена довольно сложная программная начинка. Видимо, в этом и заключалась причина ошибки, которую в 2013 году обнаружил немец Дэвид Крисель в МФУ фирмы Xerox.
• Совершенно случайно Дэвид заметил, что при ксерокопировании некоторых документов с цифрами устройство периодически заменяло цифру «6» на «8», а цифру «2» на «1». Согласитесь, что это крайне странное поведение для ксерокса. Тем более, что в нём был отключён алгоритм распознавания текста и пользователь выполнял простое ксерокопирование.
• Оказалось, что в устройстве использовался алгоритм компрессии графики JBIG2. Этот алгоритм фактически выполняет распознавание текста и заменяет графическое изображение на символы. При появлении схожих символов алгоритм подбирал им замену из библиотеки уже распознанных букв и цифр.
• Понятно, что распознавание текста позволяет существенно сжать исходный файл. Другой вопрос, зачем этот алгоритм применялся при простом ксерокопировании. Интересно, что при недостаточном качестве сканирования алгоритм может заменить ещё и «2» на «7» или даже «1» на «3».
• Компания Xerox повела себя аналогично Intel — не сразу признала свою ошибку. Поупиравшись какое-то время, Xerox всё-таки выпустили обновлённую прошивку для своих устройств. Но многочисленные пользователи должны её скачать и установить, а это делают далеко не все.
• Кроме того, этот же алгоритм используется не только в большинстве современных устройств фирмы Xerox, но и в устройствах и программах других фирм. Так что проверяйте свои ксерокопии...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Фингерпринт – это чума 21-го века. Беда в том, что от него практически нельзя скрыться. Телеметрию снимают практически все сайты: им же надо знать, кто их аудитория. Java-скрипты используются не только для красивого дизайна, но и для выполнения целевых действий незащищенным браузером. А уж про межсайтовые куки я вообще молчу: поискал телевизор на одном сайте – увидел рекламу этого товара через минуту на другом.
• Хорошо это или плохо – вопрос спорный. Хорошо для бизнеса – продавать стало гораздо удобнее. Плохо для людей: они знают все про ваши потребности, болевые точки и интересы. Не знают только вашего имени. Но найти его – секундное дело. Если вы простой юзер – расслабьтесь и не переживайте. Ничего плохого с вами не случится. Но если вы ведете интересный образ жизни, то вам нужно учиться следы за собой заметать. Так, на всякий случай.
• Сразу говорю, попсу типа Хрома, Огнелиса, Оперы или Яндекс Браузера – даже не рассматриваем. С точки зрения приватности дырок в них больше, чем в швейцарском сыре.
• Могу ли я посоветовать безопасный браузер? Нет, не могу. Почему? Его просто не существует. Есть только условно безопасные, которые можно использовать, но помнить: memento mori (моментально в море).
• Поэтому первый – Brave. Я его использую только для личных дел. Ибо подтекает и не прошел аудит комьюнити. А так – браузер блокирует все, что нужно, красивый, да еще и платит тебе за просмотр рекламы.
• LibreWolf – всем хорош, защищен, прошел аудит. Но я его потыкал и нашел слишком много соединений с Mozilla, на которой он и построен. Ну и еще некоторые сомнительные коннекты при запуске. Мелочь, а неприятно.
• Третий – Mullvad. Он не блокирует фингерпринт, как первые два, а подменяет его на стандартный: все пользователи сайта будут на одно лицо, точнее, на один фингерпринт. Его делала команда Tor и Mullvad VPN. Пока это мой первый выбор.
• Чем пользоваться решать вам. Но помните, абсолютной безопасности не бывает!
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Логически кэш представляет из себя базу типа ключ-значение. Каждая запись в кэше имеет “время жизни”, по истечении которого она удаляется. Это время называют термином Time To Live или TTL. Размер кэша гораздо меньше, чем у основного хранилища, но этот недостаток компенсируется высокой скоростью доступа к данным. Это достигается за счет размещения кэша в быстродействующей памяти RAM. Поэтому обычно кэш содержит самые “горячие” данные.
• Если тема для вас показалось интересной, то вот очень объемная статья о том, как работает кэширование. Всё по полочкам, с картинками и примерами.
#cache
Please open Telegram to view this post
VIEW IN TELEGRAM
• CTF — один из наилучших методов приобрести необходимые навыки взлома различных систем или получить уникальные знания в различных аспектах информационной безопасности.
• По ссылке ниже можно найти очень полезным репо, который содержит в себе актуальные инструменты, скрипты, платформы и видеоматериал по прохождению CTF. Сохраняйте в избранное и пользуйтесь:
#CTF
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Crypto-Cat/CTF: CTF challenge (mostly pwn) files, scripts etc
CTF challenge (mostly pwn) files, scripts etc. Contribute to Crypto-Cat/CTF development by creating an account on GitHub.
• Open Policy Agent — это open-source-инструмент контроля доступа, основанный на политиках, который создан в 2016 году и с тех пор стабильно развивается. Сейчас он входит в каталог дипломированных проектов Cloud Native Computing Foundation (CNCF). Его используют Netflix, Pinterest, TripAdvisor и другие компании.
• В этой статье перечислены определенные векторы атак, которые могут быть вызваны неправильной конфигурацией Open Policy Agent:
• Allowed Repositories;
• Automount Service Account Token for Pod;
• Block Endpoint Edit Default Role;
• Block Services with type LoadBalancer;
• Block NodePort;
• Block Wildcard Ingress;
• Disallow Interactive TTY Containers;
• Step-by-Step Instructions;
• Allow Privilege Escalation in Container;
• Step-by-Step Instructions;
• Privileged Container;
• Read Only Root Filesystem;
• Host Networking Ports;
• App Armor;
• SELinux V2;
• Resources.
#devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Продолжаем отслеживать наиболее трендовые уязвимости и начнем с «трендовой».
1. Trend Micro выпустила обновление для исправления RCE-уязвимости в своем устройстве безопасности Cloud Edge с CVSS 9,8/10.
CVE-2024-48904 может быть использована неаутентифицированными злоумышленниками для внедрения и запуска команд на устройстве, в связи с чем поставщик попросил клиентов исправить ее как можно скорее.
2. VMware предпринимает вторую попытку для исправления RCE-уязвимости в vCenter Server, обнаруженной еще в июне на Matrix Cup 2024 в КНР.
Как оказалось, исправления vCenter, выпущенные 17 сентября 2024 года, не полной мере устраняли CVE-2024-38812 с CVSS 9,8/10, подробностей по этому поводу поставщик не предоставил.
Уязвимость связана с переполнением кучи в реализации протокола распределенной вычислительной среды/удалённого вызова процедур (DCERPC) в vCenter Server.
Злоумышленник, имеющий сетевой доступ к vCenter Server, может активировать эту уязвимость, отправив специально созданный сетевой пакет, потенциально приводящий к удаленному выполнению кода.
При этом новый патч VCenter Server также устраняет уязвимость CVE-2024-38813 (CVSS 7,5/10), связанную с EoP и также вызываемую отправкой специально созданного сетевого пакета.
3. Разработчики античит-системы BattlEye сообщают о нейтрализации эксплойта, который позволял злоумышленникам банить аккаунты других игроков.
Уязвимость затронула сразу несколько игр, включая PvP-игры, такие как PUBG, Rainbow Six Siege и Escape from Tarkov.
Команда проекта сейчас работает совместно с производителями игр над аннулированием «кривых» банов.
При этом ошибка BattlEye была раскрыта на следующий день после того, как Activision исправила аналогичный баг в античите Call of Duty.
4. Atlassian выпустила исправления для уязвимостей высокой степени серьезности в Bitbucket, Confluence и Jira Service Management.
Обновления Bitbucket Data Center и Server устраняют уязвимость серьезную CVE-2024-21147 в Java Runtime Environment (JRE), которая может привести к несанкционированному доступу к критически важным данным и их изменению.
Обновления Confluence Data Center и Server затрагивают четыре серьезные проблемы, в том числе две в библиотеке дат JavaScript Moment.js, которые были публично раскрыты в 2022 году.
CVE-2022-24785 и CVE-2022-31129 описываются как уязвимости обхода пути и ReDoS, которые можно эксплуатировать без аутентификации.
Компания также анонсировала исправления для CVE-2024-4367, ошибки XSS, которая может позволить аутентифицированным злоумышленникам выполнить произвольный код HTML или JavaScript в браузере пользователя, а также для CVE-2024-29131, уязвимости Apache Commons Configuration, которая может привести к DoS.
Обновления для Jira Service Management Data Center и Server устраняют CVE-2024-7254 - проблему переполнения буфера Protobuf, которая может позволить злоумышленникам повлиять на доступность сервиса.
Данных об эксплуатации в реальных условиях не получено, во всяком случае пока.
1. Trend Micro выпустила обновление для исправления RCE-уязвимости в своем устройстве безопасности Cloud Edge с CVSS 9,8/10.
CVE-2024-48904 может быть использована неаутентифицированными злоумышленниками для внедрения и запуска команд на устройстве, в связи с чем поставщик попросил клиентов исправить ее как можно скорее.
2. VMware предпринимает вторую попытку для исправления RCE-уязвимости в vCenter Server, обнаруженной еще в июне на Matrix Cup 2024 в КНР.
Как оказалось, исправления vCenter, выпущенные 17 сентября 2024 года, не полной мере устраняли CVE-2024-38812 с CVSS 9,8/10, подробностей по этому поводу поставщик не предоставил.
Уязвимость связана с переполнением кучи в реализации протокола распределенной вычислительной среды/удалённого вызова процедур (DCERPC) в vCenter Server.
Злоумышленник, имеющий сетевой доступ к vCenter Server, может активировать эту уязвимость, отправив специально созданный сетевой пакет, потенциально приводящий к удаленному выполнению кода.
При этом новый патч VCenter Server также устраняет уязвимость CVE-2024-38813 (CVSS 7,5/10), связанную с EoP и также вызываемую отправкой специально созданного сетевого пакета.
3. Разработчики античит-системы BattlEye сообщают о нейтрализации эксплойта, который позволял злоумышленникам банить аккаунты других игроков.
Уязвимость затронула сразу несколько игр, включая PvP-игры, такие как PUBG, Rainbow Six Siege и Escape from Tarkov.
Команда проекта сейчас работает совместно с производителями игр над аннулированием «кривых» банов.
При этом ошибка BattlEye была раскрыта на следующий день после того, как Activision исправила аналогичный баг в античите Call of Duty.
4. Atlassian выпустила исправления для уязвимостей высокой степени серьезности в Bitbucket, Confluence и Jira Service Management.
Обновления Bitbucket Data Center и Server устраняют уязвимость серьезную CVE-2024-21147 в Java Runtime Environment (JRE), которая может привести к несанкционированному доступу к критически важным данным и их изменению.
Обновления Confluence Data Center и Server затрагивают четыре серьезные проблемы, в том числе две в библиотеке дат JavaScript Moment.js, которые были публично раскрыты в 2022 году.
CVE-2022-24785 и CVE-2022-31129 описываются как уязвимости обхода пути и ReDoS, которые можно эксплуатировать без аутентификации.
Компания также анонсировала исправления для CVE-2024-4367, ошибки XSS, которая может позволить аутентифицированным злоумышленникам выполнить произвольный код HTML или JavaScript в браузере пользователя, а также для CVE-2024-29131, уязвимости Apache Commons Configuration, которая может привести к DoS.
Обновления для Jira Service Management Data Center и Server устраняют CVE-2024-7254 - проблему переполнения буфера Protobuf, которая может позволить злоумышленникам повлиять на доступность сервиса.
Данных об эксплуатации в реальных условиях не получено, во всяком случае пока.
UnKnoWnCheaTs
BannleEye - Banning arbitrary players using BE
Epic tutorial on how to permanently ban any player on (mostly) any game that uses The Golden Standard - BattleEye. Shortly an explanation how BEClient
🦜 Parrot OS.
• Дистрибутивов для пентеста множество. Одни популярны, другие — не очень, но все они преследуют цель дать специалистам удобный и надежный инструмент на все случаи жизни. На этот раз мы поговорим об очень красивой и функциональной ОС — Parrot.
• Parrot базируется на Debian и по концепции близок к Kali Linux, но предлагает больше предустановленного ПО для «мирного» повседневного использования. Впрочем, внутри хватает и специализированных утилит: в состав дистрибутива включено больше 600 инструментов для Red и Blue Teaming, сгруппированных в меню по назначению.
• Parrot доступен в виде образов VirtualBox, Parallels и VMware. Также эту ОС можно развернуть в Docker-контейнере. Она поддерживает криминалистический режим, в котором не оставляет следов на хост-системе. Пускай Parrot менее популярна, но не уступает #Kali по удобству использования.
• Стоит отметить, что Parrot OS подходит не только для тестов на проникновение, она может и служить ОС для ежедневного использования тем, кто знает, зачем им это нужно. Ну и в качестве дополнения держите ссылки, которые помогут найти единомышленников или найти нужную документацию по установке:
Полезные ссылки:
- ParrotOS Download Page;
- ParrotOS Mirror List;
- Official ParrotOS Gitlab repo;
- Official ParrotOS Github repo;
- Official ParrotOS SubReddit;
Гайды и документация:
- ParrotOS Installation Guide;
- Dualboot with Windows;
- Fix guide for the Kernel Panic issue;
- ParrotOS Documentation;
- Parrot OpenBooks.
Комьюнити:
- Telegram;
- Facebook;
- Twitter;
- Instagram;
- Discord;
- LinkedIn.
#Разное #ИБ
• Дистрибутивов для пентеста множество. Одни популярны, другие — не очень, но все они преследуют цель дать специалистам удобный и надежный инструмент на все случаи жизни. На этот раз мы поговорим об очень красивой и функциональной ОС — Parrot.
• Parrot базируется на Debian и по концепции близок к Kali Linux, но предлагает больше предустановленного ПО для «мирного» повседневного использования. Впрочем, внутри хватает и специализированных утилит: в состав дистрибутива включено больше 600 инструментов для Red и Blue Teaming, сгруппированных в меню по назначению.
• Parrot доступен в виде образов VirtualBox, Parallels и VMware. Также эту ОС можно развернуть в Docker-контейнере. Она поддерживает криминалистический режим, в котором не оставляет следов на хост-системе. Пускай Parrot менее популярна, но не уступает #Kali по удобству использования.
• Стоит отметить, что Parrot OS подходит не только для тестов на проникновение, она может и служить ОС для ежедневного использования тем, кто знает, зачем им это нужно. Ну и в качестве дополнения держите ссылки, которые помогут найти единомышленников или найти нужную документацию по установке:
Полезные ссылки:
- ParrotOS Download Page;
- ParrotOS Mirror List;
- Official ParrotOS Gitlab repo;
- Official ParrotOS Github repo;
- Official ParrotOS SubReddit;
Гайды и документация:
- ParrotOS Installation Guide;
- Dualboot with Windows;
- Fix guide for the Kernel Panic issue;
- ParrotOS Documentation;
- Parrot OpenBooks.
Комьюнити:
- Telegram;
- Facebook;
- Twitter;
- Instagram;
- Discord;
- LinkedIn.
#Разное #ИБ
Forwarded from SecAtor
Исследователи SentinelOne предупреждают о негативной тенденции, связанной с появлением нового штамме лansomware, созданного на основе кода LockBit и нацеленного на системы macOS, который получил условное наименование macOS.NotLockBit.
Впервые об обнаружении образца на прошлой неделе сообщала Trend Micro. Он имел неплохие возможности блокировки файлов и эксфильтрации данных, маскировался под вымогателя LockBit при успешном шифровании файлов пользователя.
До сих пор угрозы вымогателей для компьютеров Mac были в лучшем случае являлись лишь «доказательством концепции», а в худшем — совершенно неспособными достичь своей очевидной цели.
Несмотря на то, что одна из наиболее близких попыток ранее была предпринята самими LockBit, это последнее открытие, по-видимому, связано с совершенно другим субъектом угрозы, присвоившим себе авторитетное имя.
Исследователи SentinelOne обнаружили пять связанных между собой образцов Mach-O в дополнение к тому, о котором сообщили предыдущие исследователи.
Программа-вымогатель написана на Go и распространяется как двоичный файл x86_64, что означает, что она будет работать только на компьютерах Mac на базе Intel или Apple Silicon с установленным программным обеспечением для эмуляции Rosetta.
При выполнении программа-вымогатель собирает системную информацию с хоста (имя продукта, версию и сборку, сборку архитектуры).
Поиск заголовков Magic в бинарном файле реализует обнаружение встроенного открытого ключа. Это допускает возможность асимметричного шифрования, делая расшифровку невозможной без доступа к закрытому ключу, хранящемуся у злоумышленника.
Вредоносная ПО использует этот встроенный открытый ключ для шифрования случайно сгенерированного главного ключа, который, в свою очередь, используется в последующем процессе шифрования файлов и записывается в README.txt, размещенный в каждой папке с зашифрованными файлами.
После завершения процесса шифрования вредоносная ПО пытается заменить фоновый рисунок рабочего стола баннером LockBit 2.0.
Перед операцией блокировки файла вредоносная ПО пытается извлечь данные пользователя на удаленный сервер. Для этой цели злоумышленник использует облачное хранилище AWS S3 с учетными данными, жестко закодированными в двоичном файле.
Во всех версиях этого вредоносного ПО злоумышленникам в некоторой степени будут мешать средства защиты TCC от Apple. Однако учитывая, что обход TCC является достаточно тривиальным, развитие ПО по этой части, вероятно, будет отражено в будущих версиях.
К настоящему времени вредоносное ПО NotLockBit находится в стадии активной разработки. На данный момент учетные записи злоумышленников AWS удалены, и нет никаких известных жертв или методов распространения.
Тем не менее, как заключили в SentinelOne, учитывая объем работы, который был проделан на данный момент, следует ожидать проявление злоумышленника в краткосрочной или среднесрочной перспективе.
Индикаторы компрометации и технический разбор изученных образцов - в отчете.
Впервые об обнаружении образца на прошлой неделе сообщала Trend Micro. Он имел неплохие возможности блокировки файлов и эксфильтрации данных, маскировался под вымогателя LockBit при успешном шифровании файлов пользователя.
До сих пор угрозы вымогателей для компьютеров Mac были в лучшем случае являлись лишь «доказательством концепции», а в худшем — совершенно неспособными достичь своей очевидной цели.
Несмотря на то, что одна из наиболее близких попыток ранее была предпринята самими LockBit, это последнее открытие, по-видимому, связано с совершенно другим субъектом угрозы, присвоившим себе авторитетное имя.
Исследователи SentinelOne обнаружили пять связанных между собой образцов Mach-O в дополнение к тому, о котором сообщили предыдущие исследователи.
Программа-вымогатель написана на Go и распространяется как двоичный файл x86_64, что означает, что она будет работать только на компьютерах Mac на базе Intel или Apple Silicon с установленным программным обеспечением для эмуляции Rosetta.
При выполнении программа-вымогатель собирает системную информацию с хоста (имя продукта, версию и сборку, сборку архитектуры).
Поиск заголовков Magic в бинарном файле реализует обнаружение встроенного открытого ключа. Это допускает возможность асимметричного шифрования, делая расшифровку невозможной без доступа к закрытому ключу, хранящемуся у злоумышленника.
Вредоносная ПО использует этот встроенный открытый ключ для шифрования случайно сгенерированного главного ключа, который, в свою очередь, используется в последующем процессе шифрования файлов и записывается в README.txt, размещенный в каждой папке с зашифрованными файлами.
После завершения процесса шифрования вредоносная ПО пытается заменить фоновый рисунок рабочего стола баннером LockBit 2.0.
Перед операцией блокировки файла вредоносная ПО пытается извлечь данные пользователя на удаленный сервер. Для этой цели злоумышленник использует облачное хранилище AWS S3 с учетными данными, жестко закодированными в двоичном файле.
Во всех версиях этого вредоносного ПО злоумышленникам в некоторой степени будут мешать средства защиты TCC от Apple. Однако учитывая, что обход TCC является достаточно тривиальным, развитие ПО по этой части, вероятно, будет отражено в будущих версиях.
К настоящему времени вредоносное ПО NotLockBit находится в стадии активной разработки. На данный момент учетные записи злоумышленников AWS удалены, и нет никаких известных жертв или методов распространения.
Тем не менее, как заключили в SentinelOne, учитывая объем работы, который был проделан на данный момент, следует ожидать проявление злоумышленника в краткосрочной или среднесрочной перспективе.
Индикаторы компрометации и технический разбор изученных образцов - в отчете.
SentinelOne
macOS NotLockBit | Evolving Ransomware Samples Suggest a Threat Actor Sharpening Its Tools
An unknown threat actor is developing ransomware to lock files and steal data on macOS, and it's not LockBit.
• Вы когда-нибудь задумывались над тем, по какому принципу нам показывают таргетированную рекламу? Почему, даже ничего не лайкая во время сёрфинга пользователь, возвращаясь в любимую социальную сеть, видит рекламу, связанную с посещёнными им сайтами? И кто заинтересован в том, чтобы отслеживать пользователей?
• Веб маяк («web beacon», или «1x1 pixel image») — это крошечная или прозрачная картинка, которая встраивается в страницу и используется для отслеживания действий пользователей. Такие невидимые маяки могут использоваться не только для веб аналитики, но и для сбора агрегированной информации с целью продажи её сторонним сайтам, для построения социальных графов.
• В этой статье эксперты Лаборатории Касперского расскажут, что такое веб-маяки (web beacons, web bugs, трекинговые пиксели), какие компании, как и для чего используют их на веб-сайтах и в электронной почте.
#Разное #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔑 «Пароль неверный». Парольные менеджеры глазами хакера.
• Пароль и безопасность для многих людей могут казаться синонимами. Но когда возникает вопрос о безопасности самих паролей, то непосредственно безопасность выходит на первое место. В конкурентной борьбе вендоры предлагают различные решения, чья надежность на первый взгляд не подлежит сомнению, однако за разрекламированными менеджеры паролей могут скрывать банальные уязвимости, что может сыграть с ними злую шутку.
• Любой из Вас знает, что самое надежное хранилище паролей — это голова. В то же время, большинство программ, требующих авторизации пользователя, предоставляют возможность сохранения пароля в программе для ускорения процесса входа в систему в дальнейшем.
• Разработчики реализуют такой функционал по разному — кто-то хранит пароль в файлах настроек, кто-то в реестре, кто-то в защищенном хранилище Windows (тот же реестр, но доступный лишь пользователю System). Вариантов хранения масса. Впрочем, как и методов кражи паролей из этих мест. К чему это приводит, все понимают. А как происходит такая компрометация — читайте в сегодняшней статье:
➡️ https://habr.com/ru/post/713284/
#Разное #ИБ
• Пароль и безопасность для многих людей могут казаться синонимами. Но когда возникает вопрос о безопасности самих паролей, то непосредственно безопасность выходит на первое место. В конкурентной борьбе вендоры предлагают различные решения, чья надежность на первый взгляд не подлежит сомнению, однако за разрекламированными менеджеры паролей могут скрывать банальные уязвимости, что может сыграть с ними злую шутку.
• Любой из Вас знает, что самое надежное хранилище паролей — это голова. В то же время, большинство программ, требующих авторизации пользователя, предоставляют возможность сохранения пароля в программе для ускорения процесса входа в систему в дальнейшем.
• Разработчики реализуют такой функционал по разному — кто-то хранит пароль в файлах настроек, кто-то в реестре, кто-то в защищенном хранилище Windows (тот же реестр, но доступный лишь пользователю System). Вариантов хранения масса. Впрочем, как и методов кражи паролей из этих мест. К чему это приводит, все понимают. А как происходит такая компрометация — читайте в сегодняшней статье:
#Разное #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Port Shadow-2024-0070.pdf
3.4 MB
• Группа исследователей из канадских и американских университетов разработала технику атаки Port Shadow, позволяющую через манипуляцию с таблицами трансляции адресов на стороне VPN-сервера добиться отправки ответа на запрос другому пользователю, подключённому к тому же VPN-серверу.
• Метод может быть использован для организации перехвата или перенаправления шифрованного трафика, проведения сканирования портов и деанонимизации пользователей VPN. В качестве примера показано как можно использовать метод для перенаправления на хост атакующего DNS-запросов пользователя, работающего через VPN-сервер, к которому в качестве клиента имеет возможность подключиться атакующий.
#Новости #vpn #wifi
Please open Telegram to view this post
VIEW IN TELEGRAM
• Случай, о котором пойдет речь, произошел в 2008 году. Во время разработки первой части игры LittleBigPlanet — оригинального паззл-платформера, который должен быть стать эксклюзивом для PlayStation 3 — разработчикам компании пришлось столкнуться с воистину неуловимым багом.
• Обычно для получения «зелёного света» на выпуск игры на консолях требуется пройти сертификацию — выполнить некоторый набор требований, которые устанавливает платформодержатель. Сертификация может предполагать и такие условия, как стабильная работа игры в течение суток без вылетов.
• Процесс разработки LittleBigPlanet практически подошел к концу и оставалось всего две недели до того, как игра должна была «уйти на золото». Внезапно, тестировщик из отдела QA в Японии сообщил о том, что игра стабильно «падает», когда он оставляет ее работать на ночь. Естественно, теперь до исправления бага ни о каком выпуске игры не могло быть и речи.
• Время шло, а команда все никак не могла воспроизвести баг. Несколько дней ушло на то, чтобы удостовериться, что девкиты разработчиков и тестировщиков идентичны – что в них одинаковое «железо», на них стоит одна и та же версия ОС и одинаково настроено окружение. Из-за разницы в часовых поясах, каждая попытка воспроизвести баг занимала более 24 часов, что продолжало накалять обстановку.
• В ходе расследования разработчикам удалось выяснить, что к девкиту тестировщика подключена цифровая камера EyeToy, которая работала в режиме записи аудио — впрочем, особой пользы сам по себе этот факт не принес. Наконец, кто-то заметил странную закономерность: каждый раз игра «падала» в одно и то же время — в 4 утра. Но что же такого могло происходить в Японии в 4 утра?..
• Ответ оказался неожиданным: это были уборщики, добросовестно исполнявшие свой трудовой долг. В игру был встроен голосовой чат – сделано это было для синхронизации губ персонажей с речью, которую игроки могли использовать при кооперативном прохождении игры. В течение того времени, пока велась уборка, возле записывающей звук EyeToy работал пылесос, и при компрессии аудио в игровом чате происходила утечка нескольких байтов памяти — причем возникала она только от «белого шума». Достаточно было просто пылесосить комнату в течение часа, и «креш» был гарантирован.
• Неудивительно, что когда Media Molecule попробовали воспроизвести этот баг в своем офисе при помощи радио, настроенного на «белый шум», у них это сразу же получилось. В итоге, на то, чтобы устранить сам баг, разработчикам понадобилось лишь около пяти минут...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Автор данной статьи столкнулся с ситуацией, когда на его банковский счет пришла определенная сумма денег от неизвестных отправителей, а затем последовал соответствующий звонок с просьбой вернуть деньги обратно. Что делать в таком случае? Поверить на слово неизвестным людям и отправить деньги в неизвестном направлении? Где гарантия, что через 5 минут не последует звонок от кого-то ещё?
• В общем и целом, в статье описан алгоритм действий автора и несколько полезных ссылок, которые помогут разобраться в случившемся и не попасть в подобную ситуацию. Рекомендую добавить статью в избранное:
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователь SafeBreach Алон Левиев продолжает наседать на Microsoft, которая до сих пор не устранила уязвимости, приводящие к понижению версий компонентов ядра Windows, позволяя обходить проверку подписи драйверов и развернуть руткиты на полностью исправленных системах.
Это реализуется путем взятия под контроль процесса обновления Windows и установки устаревших, уязвимых компонентов ПО на обновленную машину без изменения операционной системой статуса полностью исправленного ПО (CVE-2024-21302 и CVE-2024-38202).
Microsoft опровергла уязвимость, заявив, что она не пересекает определенную границу безопасности, хотя и возможна при получении доступа к выполнению кода ядра от имени администратора.
На конференциях по безопасности BlackHat и DEFCON в этом году Левиев продемонстрировал, что атака осуществима, тем не менее проблема не устранена полностью, что оставляет открытыми возможности для атак с понижением версии/откатом.
Исследователь представил инструмент под названием Windows Downdate, который позволяет создавать пользовательские понижения версии и подвергать, казалось бы, полностью обновленную целевую систему через устаревшие компоненты, такие как библиотеки DLL, драйверы и ядро NT.
Несмотря на то, что безопасность ядра значительно улучшилась за последние годы, Левиеву удалось обойти функцию принудительной подписи драйверов DSE, показав, как злоумышленник может загрузить неподписанные драйверы ядра для развертывания вредоносного руткита.
Исследователь поясняет, что хотя новые меры защиты затрудняют взлом ядра, возможность понижения версии компонентов, находящихся в ядре, значительно упрощает задачу злоумышленникам.
Левиев называет свой метод обходом DSE ItsNotASecurityBoundary, поскольку он представляет собой более раннюю версию одноименного эксплойта, использующего ложные уязвимости неизменности файлов.
В новом исследовании Левиев показал, как злоумышленник с правами администратора на целевом компьютере может использовать процесс обновления Windows, чтобы обойти защиту DSE путем понижения версии компонента, даже на полностью обновленных системах Windows 11.
Атака возможна путем замены ci.dll, файла, отвечающего за реализацию DSE, на неисправленную версию, которая игнорирует подписи драйверов, что по сути обходит защитные проверки Windows.
Кроме того, Левиев также описал возможности отключения или обхода Microsoft Virtualization-based Security (VBS).
VBS обычно использует средства защиты (блокировки UEFI и конфигурации реестра для предотвращения несанкционированных изменений), но их можно отключить, если не настроен максимальный уровень безопасности, выполнив целевое изменение раздела реестра.
При частичном включении ключевые файлы VBS, такие как SecureKernel.exe, могут быть заменены поврежденными версиями, которые нарушают работу VBS и открывают путь для обхода ItsNotASecurityBoundary и замены ci.dll.
Работа Левиева показывает, что атаки с понижением уровня безопасности все еще возможны, даже если для них иногда требуются серьезные привилегии.
Пока одни работают, другие микромягко разрабатывают меры по снижению рисков, но пока безуспешно.
Это реализуется путем взятия под контроль процесса обновления Windows и установки устаревших, уязвимых компонентов ПО на обновленную машину без изменения операционной системой статуса полностью исправленного ПО (CVE-2024-21302 и CVE-2024-38202).
Microsoft опровергла уязвимость, заявив, что она не пересекает определенную границу безопасности, хотя и возможна при получении доступа к выполнению кода ядра от имени администратора.
На конференциях по безопасности BlackHat и DEFCON в этом году Левиев продемонстрировал, что атака осуществима, тем не менее проблема не устранена полностью, что оставляет открытыми возможности для атак с понижением версии/откатом.
Исследователь представил инструмент под названием Windows Downdate, который позволяет создавать пользовательские понижения версии и подвергать, казалось бы, полностью обновленную целевую систему через устаревшие компоненты, такие как библиотеки DLL, драйверы и ядро NT.
Несмотря на то, что безопасность ядра значительно улучшилась за последние годы, Левиеву удалось обойти функцию принудительной подписи драйверов DSE, показав, как злоумышленник может загрузить неподписанные драйверы ядра для развертывания вредоносного руткита.
Исследователь поясняет, что хотя новые меры защиты затрудняют взлом ядра, возможность понижения версии компонентов, находящихся в ядре, значительно упрощает задачу злоумышленникам.
Левиев называет свой метод обходом DSE ItsNotASecurityBoundary, поскольку он представляет собой более раннюю версию одноименного эксплойта, использующего ложные уязвимости неизменности файлов.
В новом исследовании Левиев показал, как злоумышленник с правами администратора на целевом компьютере может использовать процесс обновления Windows, чтобы обойти защиту DSE путем понижения версии компонента, даже на полностью обновленных системах Windows 11.
Атака возможна путем замены ci.dll, файла, отвечающего за реализацию DSE, на неисправленную версию, которая игнорирует подписи драйверов, что по сути обходит защитные проверки Windows.
Кроме того, Левиев также описал возможности отключения или обхода Microsoft Virtualization-based Security (VBS).
VBS обычно использует средства защиты (блокировки UEFI и конфигурации реестра для предотвращения несанкционированных изменений), но их можно отключить, если не настроен максимальный уровень безопасности, выполнив целевое изменение раздела реестра.
При частичном включении ключевые файлы VBS, такие как SecureKernel.exe, могут быть заменены поврежденными версиями, которые нарушают работу VBS и открывают путь для обхода ItsNotASecurityBoundary и замены ci.dll.
Работа Левиева показывает, что атаки с понижением уровня безопасности все еще возможны, даже если для них иногда требуются серьезные привилегии.
Пока одни работают, другие микромягко разрабатывают меры по снижению рисков, но пока безуспешно.
Blackhat
Black Hat USA 2024
• Объемная книга (CheatSheet) для изучения командной строки Linux. Материал пригодиться не только начинающим, но и опытным пользователям Linux. Содержание следующее:
• Basics;
- File Hierarchy Standard (FHS);
- Commands;
• Disk and File System Management;
- General Disk Manipulation (non-LVM);
- Globs (Wildcards);
- Regex;
- Stream redirection;
• Text Readers & Editors;
- Less;
- VI;
• User and Group Management;
• File System Permissions;
• SSH;
• Cronjobs;
• Package Management;
- RPM;
- YUM;
• List of commands by category:
- Directory Navigation;
- File Commands;
- File and Directory Manipulation;
- Package archive and compression tools;
- System commands;
- Networking Commands;
- Package Management;
- User Information commands;
- Session commands;
- Getting Help;
- Applications.
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM