Telegram Web Link
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
В США назревает серьезный скандал по поводу китайской APT Salt Typhoon, которая, по мнению национальных спецслужб, причастна к атакам на сети AT&T, Lumen и Verizon.

DHS
намерена обратиться в Cyber Safety Review Board (CSRB) с запросом на проверку всех обстоятельств, которые позволили китайцам совершить крупный взлом американских телекоммуникационных компаний и попутно заполучить доступ к системам контроля телефонных переговоров и Интертнет-трафика.

В настоящее время в DHS ожидают окончания расследования ФБР и CISA, в котором наиболее интересная часть будет посвящена участию Salt Typhoon в перехвате звонков Дональда Трампа, Дж.Д. Вэнса, лидера большинства в Сенате Чака Шумера, а также некоторых членов штаба Харрис-Вальца.

Главное в любом расследовании не выйти на самих себя, а по всей видимости - риски такого сценария имеют место быть.

Ведь, согласно недавним разоблачениям китайских партнеров, аналогичная Volt Typhoon оказалась фейком, под флагом которого шпионажем в реальности занималась АНБ США, умело эмулируя «правильную» атрибуцию и привлекая для расследований «ручные» инфосек-компании.

А если это так, то выводы делайте сами.

Уверены, что окончания расследования ФБР и CISA дождутся и в Поднебесной, после чего ознакомят мировую общественность с результатами уже своего.

Но будем посмотреть.
👨🏻‍💻 Awesome Memory Forensics.

• Главная задача в цифровой криминалистике — сбор информации, а именно — получение образов жестких дисков, оперативной памяти и дампов сетевых соединений.

• Если говорить об анализе RAM, то по такому дампу можно определить, какие приложения запускались во время сеанса, потому что, пока человек не выключил или не перезагрузил ПК, в оперативной памяти хранится вся интересующая нас информация (например, данные процессов).

• Для ана­лиза дам­пов памяти сущес­тву­ет множество инструментов, которые собраны в репозитории: https://github.com/digitalisx/awesome-memory-forensics

• Помимо инструментов, в репозитории можно найти массу информации в виде ссылок на мануалы, видеоматериал, книги, презентации и отчеты.

#Форензика
Forwarded from Cyber Media
🗣 Виктор Минин, АРСИБ: Из CTF-движения каждый год вырастают сотни специалистов по обеспечению информационной безопасности

Виктор Минин, Председатель Правления Ассоциации руководителей служб информационной безопасности, рассказал порталу Cyber Media о том, как изменились CTF-соревнования, почему организация соревнований требует большого финансирования, как государство и бизнес относятся к CTF в России.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from infosec
🫠 Уволенный сотрудник Disney устроил кибератаку на систему меню ресторанов в тематическом парке Walt Disney World.

• Бывший сотрудник Disney Майкл Шойер использовал пароли, которые остались у него после увольнения, и скомпрометировал систему для создания меню и инвентаризации. Шойер неоднократно менял информацию в меню, изменяя цены, добавляя в текст ненормативную лексику, а также «внес несколько изменений, которые угрожали здоровью и безопасности людей», изменив информацию об аллергенах.

• А еще наш герой использовал доступ FTP-серверу, который был предназначен для печати больших меню. На этих баннерах он изменил QR-коды, которые отправляли посетителей на сторонние сайты. Кроме того, Шойер заблокировал доступ к учётным данным минимум 14 сотрудникам Disney, а также хранил папку с личной информацией о домах, номерах телефона и родственниках четырех работников компании. Хуже того, в документах сказано, что Шойер появлялся возле дома одного из них ночью (на фото).

• По итогу Шойера поймали. Слушание по делу назначено на 5 ноября 2024 г. Ему грозит до 10 лет лишения свободы.

➡️ https://storage.courtlistener.com

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯 Самая странная ОС: TRON.

• Эта операционная система была задумана доктором Кеном Сакамурой из Токийского университета. TRON (The Real-Time Operating system Nucleus) была задумана кросс-платформенной операционной системой реального времени, способной работать на широчайшем ассортименте различных, прежде всего, встраиваемых и промышленных устройств.

• Проект был основан в 1984 году, и преследовал амбициозную цель: создание идеальной компьютерной архитектуры и сети, способной удовлетворить все потребности общества. Исходный код ядра T-Kernel открыт, и разработчики могут видоизменять его для обеспечения совместимости с различными аппаратными архитектурами.

• Можно было бы предположить, что TRON так и останется экспериментальным проектом группы университетских ученых, однако еще в 90-е эта система (вернее, ее ядро) нашла свое применение во множестве устройств — прежде всего, в автомобильных бортовых компьютерах и промышленных роботах японского производства. Хотя имеются и версии ОС с графическим пользовательским интерфейсом (разумеется, исключительно на японском языке). Отсутствие внятной документации на английском привело к тому, что проект TRON почти неизвестен за пределами Японии, однако на родине он продолжает активно развиваться.

• Дополнительно: cамая странная ОС: Suicide Linux.

#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
В Колорадо случайно выложили в сеть пароли к системе голосования, на сайте секретаря штата они публично размещались в течение нескольких месяцев, прежде чем их обнаружили и удалили.

Но, как заявили в интервью 9News представители избирательной комиссии штата, эта ошибка никаким образом не представляла непосредственной угрозы предстоящим выборам и вообще нет никаких оснований полагать, что имело место нарушение безопасности.

А Колорадо назвали золотым стандартом безопасности выборов, даже вопреки тому, что в прошлом случались некоторые сбои.

Так, под эту категорию попала секретарь округа Тина Питерс, которая была приговорена к девяти годам лишения свободы за мошенничество с утечкой данных в ходе использования машин для голосования в президентской гонке 2020 года.

Так что, все под контролем
👨‍💻 Adaptive DLL Hijacking.

• В операционной системе Windows приложения и службы при запуске ищут DLL, необходимые для их правильного функционирования. Если эти DLL не найдены или их загрузка реализована небезопасным способом (DLL вызываются без использования полного пути), то можно повысить привилегии, заставив приложение загрузить и выполнить вредоносный DLL-файл. В этой статье описаны различные методы, которые можно использовать для перехвата DLL:

- Known DLLs;
- Safe Search;
- What is Export Table;
- How Export Table Cloning Process Work;
- Dynamic IAT patching: Modifying the Import Address Table;
- How Dynamic IAT Patching works?
Advantages of Dynamic IAT Patching;
Example Code Snippet (Simplified);
- Siofra;
- DLLSpy;
- Robbers;
- Explanation of module search order;
- Stack walking: Manipulating the call stack;
Manipulating the Call Stack;
- Run-time table reconstruction: Rebuilding tables during execution;
Adaptive DLL Hijacking Techniques;
Advanced Techniques;
- Security Research.

• В качестве дополнительного материала: Perfect DLL Hijacking. Разбор техники.

#ИБ #DLL #RE
Please open Telegram to view this post
VIEW IN TELEGRAM
👩‍💻 Kubernetes Cluster Security - Nuclei Templates v9.9.0.

Nuclei — очень быстрый сканер уязвимостей с открытым исходным кодом, который можно настроить с помощью шаблонов. Может работать с различными протоколами, такими как: TCP, HTTP, DNS. А еще Nuclei можно настроить под свои нужды, так как сканирование основано на шаблонах, написанных в формате YAML.

• Так вот, в новой версии Nuclei (9.9.0) разработчики добавили темплейты для сканирования Kubernetes кластера и всё подробно описали в своем блоге:

- Deployment Configurations Review;
- Network Policies Enforcement;
- Pod Security Standards;
- Compliance and Configuration Management;
- Security Contexts and Roles;
- Logging and Monitoring;
- Secrets Management;
- Vulnerability Scanning and Patch Management.

➡️ https://blog.projectdiscovery.io/kubernetes/

#Kubernetes #Nuclei
Please open Telegram to view this post
VIEW IN TELEGRAM
🔐 Best EDR Of The Market (BEOTM).

Endpoint Detection and Response (EDR) — класс решений для обнаружения и изучения вредоносной активности на конечных точках: подключенных к сети рабочих станциях, серверах, iot и т.д.

• В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. При этом EDR не может полностью заменить антивирусы, поскольку эти две технологии решают разные задачи.

• Если у Вас есть желание потренироваться обходить детекты EDR, то этот репозиторий станет отличным средством: https://github.com/Xacone/BestEdrOfTheMarket

- NT-Level API Hooking;
- Kernel32/Base API Hooking;
- Active Response w/ YARA rules or simple patterns;
- IAT Hooking;
- Threads Call Stack Monitoring (Stacked parameters + Unbacked addresses);
- Heap Regions Analysis;
- Direct Syscalls Detection;
- Indirect Syscalls Detection;
- AMSI/ETW Patching Mitigation.

• А еще в блоге автора есть очень много полезной информации и описание всех техник, которые перечислены выше:

- Часть 1;
- Часть 2.

#EDR
Please open Telegram to view this post
VIEW IN TELEGRAM
📚 Бесплатная онлайн книга для пентестеров.

• По ссылке ниже Вы найдете по-настоящему полезную и актуальную информацию для пентестеров. Советы, методы, инструменты, примеры различных техник и множество другой информации, которая поможет Вам в изучении различных аспектов пентеста:

https://book.hacktricks.xyz/

#Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
В компании IBM X-Force приняли решение о создании XOR, новой команды, которая будет специализироваться на исследованиях в области наступательной безопасности.

И уже приступили к набору специалистов.

Как мы говорили несколько лет назад, разрастающееся под влиянием геополитических процессов сегментирование Интернета не только приведет (что мы уже наблюдаем) к недоступности многих сервисов для пользователей "конкурирующего сегмента", но и неизбежно повлечет возникновение "киберкаперов", сетевых пиратов XXI века с патентом того или иного государства.

Своеобразный licence to cyber kill.

Отчасти, это явление мы уже наблюдаем в лице возникновения множества хактивистских движений, получающих как полное одобрямс со стороны медиа, так и благосклонные кивки головой от инфосек экспертов.
Forwarded from infosec
• В некоторых Telegram-каналах сегодня была опубликована новость про кофеварку, которая майнит крипту и требует выкуп от своего владельца для разблокировки функционала. Дело в том, что этой новости уже 4 года....

На самом деле эта кофеварка была взломана ИБ-специалистом компании Avast Мартином Хроном, который обнаружил, что устройство несложно перепрошить с помощью смартфона, а вычислительной мощности процессора кофеварки хватает, чтобы запустить майнинг криптовалюты Monero. Исследователь даже опубликовал пошаговое описание своего эксперимента на портале Avast. Ну и сами бинарники прошивки кофеварки и ее модификации залили на GitHub.

➡️ Вот новость на хабре 4 года назад, а еще есть пример работы вымогателя на кофеварке, который доступен на YT: https://youtu.be/bJrIh94RSiI

• Кстати, случай с распространением подобных (старых) новостей в различные группы или блоги уже был в этом году, когда в апреле начала появляться информация о том, что причиной медленного интернета в юго-восточной азии стала акула, которая погрызла кабель на одном из видео. Хотя на самом деле видео было опубликовано 12 лет назад, а причиной медленного интернета стал другой фактор.

• В общем и целом, всегда проверяйте информацию и ищите первоисточник =)

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи BI.ZONE обнаружили ранее неизвестный кластер Venture Wolf, который активен как минимум с ноября 2023 года и нацелен на промышленность, строительство, IT, телеком и другие отрасли с использованием различных загрузчиков для доставки MetaStealer.

Venture Wolf
распространяет архивы, содержащие загрузчик с расширением .com (реже .exe), а также один или несколько фишинговых документов, в качестве которых используются как изображения, например JPG или PNG, так и файлы PDF, DOC/DOCX и ODT.

После запуска загрузчик либо создает dummy-файл .NET, в который внедряется вредоносная нагрузка, либо внедряет ее в процесс RegAsm.exe.

Загрузчики являются исполняемыми файлами формата PE (Portable Executable). Их код обфусцирован, имена WinAPI-функций, использующихся для внедрения вредоносного кода, зашифрованы. 

Вредоносная нагрузка и dummy-файл .NET, в зависимости от типа загрузчика, содержатся в его теле и зашифрованы алгоритмом RC4.

В зависимости от типа загрузчика, осуществляется расшифровка и создание dummy-файла .NET со случайным именем в каталоге %TEMP%.

Имя формируется случайным образом из заданной в загрузчике строки алфавита, поэтому имя dummy-файла .NET может содержать китайские иероглифы. При этом dummy-файл .NET не содержит какого-либо кода в функции Main.

Расшифровываются имена WinAPI-функций, использующихся для внедрения кода в запущенный процесс, а именно: CreateProcessW, VirtualAllocEx, WriteProcessMemory, Wow64SetThreadContext/SetThreadContext, ResumeThread.

Затем расшифровывается и внедряется в процесс вредоносная нагрузка - MetaStealer. ВПО реализовано на C# и является форком другого стилера - RedLine.

Важное отличие MetaStealer от RedLine заключается в том, что разработчики MetaStealer не запрещают применять его для реализации атак на Россию и страны СНГ.

В процессе выполнения MetaStealer осуществляет сбор информации о системе, получение данных из браузеров, криптокошельков, клиентов электронной почты, а также из различных приложений, таких как Steam и FileZilla.

Также стоит отметить, что Venture Wolf для обфускации кода MetaStealer использует протектор .NET Reactor.

Технические подробности и индикаторы компрометации - в отчете.
😈 Teensy 2.0 Bad USB.

• BadUSB — это целое семейство атак на USB-порт, при которых подключаемое устройство выдает себя за другой девайс, например:

- HID-устройство (клавиатура или мышка);
- Ethernet — сетевая карта;
- Mass storage (съемный накопитель).

• Реализовать такую хакерскую железку можно и на одноплатниках (вроде Raspberry Pi), но это все равно что перевозить ноутбук на фуре. Есть "браться меньшие" не такие известные, но не менее "злые" и опасные в руках из плеч. По сути, для выполнения HID-атаки нам необходим микроконтроллер, USB-порт и минимальная электронная обвязка, что бы это всё работало.

• Хорошая альтернатива — семейство плат Teensy, совместимых с Arduino. С ними также можно использовать Arduino IDE. Например, плата Teensy LC размером 17х35 мм. оснащена процессорным ядром ARM Cortex-M0+ и 64 кб. памяти.

В данной статье мы рассмотрим процесс создания устройства Bad USB с использованием платы на базе Arduino - Teensy 2.0. Разберемся с созданием и программированием этого маленького, но мощного устройства, способного провести атаку на компьютерную систему, обойти защитные механизмы и получить несанкционированный доступ к данным.

https://teletype.in/@e1tex/teensybadusb

#Пентест #Arduino
Please open Telegram to view this post
VIEW IN TELEGRAM
👾 CVEMap.

• У Project Discovery есть очень объемная коллекция opensource инструментов, которая является ценным дополнением к стандартному набору утилит Kali Linux. Эти тулзы не только повысят глубину анализа в рамках веб-пентеста, но и могут предложить функции для сканирования портов, фаззинга, исследования уязвимостей и других узкоспециализированных задач: https://github.com/orgs/projectdiscovery/repositories?type=all

• Все инструменты я описывать не буду, эту информацию можете найти по ссылке выше, но хотелось бы затронуть относительно новую тулзу — CVEMap. Её создали для быстрого и удобного поиска по всем известным базам данных уязвимостей. Тулза объединяет данные из нескольких известных источников и умеет возвращать наличие PoC. Если заинтересовались и хотите более подробно изучить данный инструмент, то переходите по нужной ссылке:

- Особенности;
- Установка;
- Пример использования;
- Сообщество в Discord.

➡️ https://github.com/projectdiscovery/cvemap

#Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
📶 Полное руководство по SSH в Linux и Windows.

Что такое SSH. Утилиты SSH:
- Что такое и для чего нужен SSH;
- Утилиты SSH;
- Как установить OpenSSH;
- Управление службой OpenSSH;
- Как проверить журнал событий SSH службы;
- Как увидеть неудачные попытки входа SSH;
- Как просмотреть журнал подключений пользователей SSH;

Настройка сервера OpenSSH:
- Как настроить SSH сервер (sshd);
- Перезапуск службы SSH;
- Как изменить порт, на котором работает сервер OpenSSH;
- Как выбрать интерфейс (IP) для прослушивания;
- Почему пользователь root не может подключиться по SSH с верным паролем. Как запретить или разрешить подключение root по SSH;
- Запрет и разрешение входа в SSH по паролю обычным пользователям;
- Разрешение входа без пароля;
- Как разрешить или запретить пользователям входить через SSH;
- Шаблоны в файле настроек SSH;
- Как разрешить подключение только с определённого IP или группы IP. Как заблокировать определённые IP для SSH;
- Настройка журналов SSH сервера;
- Запуск SSH без отсоединения от терминала;
- Запуск сервера SSH с другим конфигурационным файлом;
- Как проверить конфигурационный файл сервера SSH без запуска службы;
- Другие важные опции командной строки сервера SSH;
- Другие опции sshd;

Как подключиться к SSH. Настройка клиента OpenSSH:
- Подключение к SSH из Linux;
- Подключение к SSH из Windows;
- Подключение по SSH с мобильного телефона;
- Как подключиться к SSH;
- Подключение к SSH по имени хоста;
- Подключение по SSH к хосту в VPN;
- Выполнение команд на удалённом сервере без создания сессии шелла;
- Передача стандартного вывода с локальной машины на удалённую по ssh;
- Опции командной строки клиента SSH;
- Конфигурационные файлы клиента SSH;
- Конфигурационные директивы файлов /etc/ssh/ssh_config и ~/.ssh/config;
- Как указать файл ключа для подключения;

Создание и настройка ключей OpenSSH:
- Вход в SSH без пароля (с использованием файлов ключей);
- Типы ключей;
- Утилита ssh-keygen;
- Как поменять количество бит в ключах ssh-keygen;
- Добавление комментариев в ключи ssh-keygen;
- Изменение паролей в ssh-keygen;
- Показ публичного ключа из приватного;
- Управление приватными ключами на клиенте SSH;
- Управление публичными ключами на сервере SSH;
- Как конвертировать .ppk ключ в OpenSSH ключ;

Копирование файлов с помощью scp и sftp:
- Копирование с удалённого компьютера и на удалённый компьютер (scp и sftp);
- Как пользоваться утилитой scp;
- Как скопировать файл с одного удалённого хоста на другой удалённый хост;
- Как выгрузить на сервер или скачать с сервера папку;
- Как указать порт для scp;
- Как использовать другой файл настройки для scp и как указать файл ключей аутентификации;
- Как ограничить скорость передачи данных в scp;
- Как сохранить метки времени при передаче по scp;
- Отключение строгой проверки имён файлов;
- Тихий режим;
- Как пользоваться sftp;
- Интерактивные команды sftp;
- Опции sftp;
- Графический интерфейс SFTP;

Подсказки и сложные случаи использования OpenSSH:
- Туннелирование с SSH. Открытие графической программы, расположенной на удалённом компьютере, по SSH;
- Использование SSH в качестве прокси для доступа к локальным ресурсам удалённого компьютера;
- Установка VPN через SSH;
- Как редактировать файл на другом компьютере через ssh;
- Как сравнить файлы на удалённом компьютере (выполнить команду diff) через SSH;
- Как настроить VNC через ssh;
- Как включить форвардинг (пересылку) X11 с использованием ssh;
- Сохранение запущенной команды после закрытия SSH;
- Сетевая файловая система SSHFS.

#SSH
Please open Telegram to view this post
VIEW IN TELEGRAM
2025/07/06 20:35:41
Back to Top
HTML Embed Code: