• Endpoint Detection and Response (EDR) — класс решений для обнаружения и изучения вредоносной активности на конечных точках: подключенных к сети рабочих станциях, серверах, iot и т.д.
• В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. При этом EDR не может полностью заменить антивирусы, поскольку эти две технологии решают разные задачи.
• Если у Вас есть желание потренироваться обходить детекты EDR, то этот репозиторий станет отличным средством: https://github.com/Xacone/BestEdrOfTheMarket
- NT-Level API Hooking;
- Kernel32/Base API Hooking;
- Active Response w/ YARA rules or simple patterns;
- IAT Hooking;
- Threads Call Stack Monitoring (Stacked parameters + Unbacked addresses);
- Heap Regions Analysis;
- Direct Syscalls Detection;
- Indirect Syscalls Detection;
- AMSI/ETW Patching Mitigation.
• А еще в блоге автора есть очень много полезной информации и описание всех техник, которые перечислены выше:
- Часть 1;
- Часть 2.
#EDR
Please open Telegram to view this post
VIEW IN TELEGRAM
• По ссылке ниже Вы найдете по-настоящему полезную и актуальную информацию для пентестеров. Советы, методы, инструменты, примеры различных техник и множество другой информации, которая поможет Вам в изучении различных аспектов пентеста:
#Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
В компании IBM X-Force приняли решение о создании XOR, новой команды, которая будет специализироваться на исследованиях в области наступательной безопасности.
И уже приступили к набору специалистов.
Как мы говорили несколько лет назад, разрастающееся под влиянием геополитических процессов сегментирование Интернета не только приведет (что мы уже наблюдаем) к недоступности многих сервисов для пользователей "конкурирующего сегмента", но и неизбежно повлечет возникновение "киберкаперов", сетевых пиратов XXI века с патентом того или иного государства.
Своеобразный licence to cyber kill.
Отчасти, это явление мы уже наблюдаем в лице возникновения множества хактивистских движений, получающих как полное одобрямс со стороны медиа, так и благосклонные кивки головой от инфосек экспертов.
И уже приступили к набору специалистов.
Как мы говорили несколько лет назад, разрастающееся под влиянием геополитических процессов сегментирование Интернета не только приведет (что мы уже наблюдаем) к недоступности многих сервисов для пользователей "конкурирующего сегмента", но и неизбежно повлечет возникновение "киберкаперов", сетевых пиратов XXI века с патентом того или иного государства.
Своеобразный licence to cyber kill.
Отчасти, это явление мы уже наблюдаем в лице возникновения множества хактивистских движений, получающих как полное одобрямс со стороны медиа, так и благосклонные кивки головой от инфосек экспертов.
Forwarded from infosec
• В некоторых Telegram-каналах сегодня была опубликована новость про кофеварку, которая майнит крипту и требует выкуп от своего владельца для разблокировки функционала. Дело в том, что этой новости уже 4 года....
• На самом деле эта кофеварка была взломана ИБ-специалистом компании Avast Мартином Хроном, который обнаружил, что устройство несложно перепрошить с помощью смартфона, а вычислительной мощности процессора кофеварки хватает, чтобы запустить майнинг криптовалюты Monero. Исследователь даже опубликовал пошаговое описание своего эксперимента на портале Avast. Ну и сами бинарники прошивки кофеварки и ее модификации залили на GitHub.
➡️ Вот новость на хабре 4 года назад, а еще есть пример работы вымогателя на кофеварке, который доступен на YT: https://youtu.be/bJrIh94RSiI
• Кстати, случай с распространением подобных (старых) новостей в различные группы или блоги уже был в этом году, когда в апреле начала появляться информация о том, что причиной медленного интернета в юго-восточной азии стала акула, которая погрызла кабель на одном из видео. Хотя на самом деле видео было опубликовано 12 лет назад, а причиной медленного интернета стал другой фактор.
• В общем и целом, всегда проверяйте информацию и ищите первоисточник =)
#Новости
• На самом деле эта кофеварка была взломана ИБ-специалистом компании Avast Мартином Хроном, который обнаружил, что устройство несложно перепрошить с помощью смартфона, а вычислительной мощности процессора кофеварки хватает, чтобы запустить майнинг криптовалюты Monero. Исследователь даже опубликовал пошаговое описание своего эксперимента на портале Avast. Ну и сами бинарники прошивки кофеварки и ее модификации залили на GitHub.
• Кстати, случай с распространением подобных (старых) новостей в различные группы или блоги уже был в этом году, когда в апреле начала появляться информация о том, что причиной медленного интернета в юго-восточной азии стала акула, которая погрызла кабель на одном из видео. Хотя на самом деле видео было опубликовано 12 лет назад, а причиной медленного интернета стал другой фактор.
• В общем и целом, всегда проверяйте информацию и ищите первоисточник =)
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
• MITRE ATT&CK Techniques and Tactics;
• Attack Context;
• Methodology;
• Evasion Mechanism;
• Goal;
• Exploitation of Website;
• Privilege Escalation and Lateral Movement;
• Post-Exploitation;
• Automation and Scripting;
• Persistence;
- MITRE ATT&CK Techniques and Tactics Sorted by Tactics;
- Attack Context;
• Scripting;
- Creating and Testing a Bash Reverse Shell;
- Verifying the Reverse Shell;
- Establishing a Reverse Shell Connection;
- Analyzing Root Crontab and Persistence Mechanisms;
— Reviewing Crontab;
— Root Reset Script;
— Log Rotation Configuration;
— Automated Root Login Script;
— Database Cleanup Script;
• Privilege Escalation;
#Red_Team
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи BI.ZONE обнаружили ранее неизвестный кластер Venture Wolf, который активен как минимум с ноября 2023 года и нацелен на промышленность, строительство, IT, телеком и другие отрасли с использованием различных загрузчиков для доставки MetaStealer.
Venture Wolf распространяет архивы, содержащие загрузчик с расширением .com (реже .exe), а также один или несколько фишинговых документов, в качестве которых используются как изображения, например JPG или PNG, так и файлы PDF, DOC/DOCX и ODT.
После запуска загрузчик либо создает dummy-файл .NET, в который внедряется вредоносная нагрузка, либо внедряет ее в процесс RegAsm.exe.
Загрузчики являются исполняемыми файлами формата PE (Portable Executable). Их код обфусцирован, имена WinAPI-функций, использующихся для внедрения вредоносного кода, зашифрованы.
Вредоносная нагрузка и dummy-файл .NET, в зависимости от типа загрузчика, содержатся в его теле и зашифрованы алгоритмом RC4.
В зависимости от типа загрузчика, осуществляется расшифровка и создание dummy-файла .NET со случайным именем в каталоге %TEMP%.
Имя формируется случайным образом из заданной в загрузчике строки алфавита, поэтому имя dummy-файла .NET может содержать китайские иероглифы. При этом dummy-файл .NET не содержит какого-либо кода в функции Main.
Расшифровываются имена WinAPI-функций, использующихся для внедрения кода в запущенный процесс, а именно: CreateProcessW, VirtualAllocEx, WriteProcessMemory, Wow64SetThreadContext/SetThreadContext, ResumeThread.
Затем расшифровывается и внедряется в процесс вредоносная нагрузка - MetaStealer. ВПО реализовано на C# и является форком другого стилера - RedLine.
Важное отличие MetaStealer от RedLine заключается в том, что разработчики MetaStealer не запрещают применять его для реализации атак на Россию и страны СНГ.
В процессе выполнения MetaStealer осуществляет сбор информации о системе, получение данных из браузеров, криптокошельков, клиентов электронной почты, а также из различных приложений, таких как Steam и FileZilla.
Также стоит отметить, что Venture Wolf для обфускации кода MetaStealer использует протектор .NET Reactor.
Технические подробности и индикаторы компрометации - в отчете.
Venture Wolf распространяет архивы, содержащие загрузчик с расширением .com (реже .exe), а также один или несколько фишинговых документов, в качестве которых используются как изображения, например JPG или PNG, так и файлы PDF, DOC/DOCX и ODT.
После запуска загрузчик либо создает dummy-файл .NET, в который внедряется вредоносная нагрузка, либо внедряет ее в процесс RegAsm.exe.
Загрузчики являются исполняемыми файлами формата PE (Portable Executable). Их код обфусцирован, имена WinAPI-функций, использующихся для внедрения вредоносного кода, зашифрованы.
Вредоносная нагрузка и dummy-файл .NET, в зависимости от типа загрузчика, содержатся в его теле и зашифрованы алгоритмом RC4.
В зависимости от типа загрузчика, осуществляется расшифровка и создание dummy-файла .NET со случайным именем в каталоге %TEMP%.
Имя формируется случайным образом из заданной в загрузчике строки алфавита, поэтому имя dummy-файла .NET может содержать китайские иероглифы. При этом dummy-файл .NET не содержит какого-либо кода в функции Main.
Расшифровываются имена WinAPI-функций, использующихся для внедрения кода в запущенный процесс, а именно: CreateProcessW, VirtualAllocEx, WriteProcessMemory, Wow64SetThreadContext/SetThreadContext, ResumeThread.
Затем расшифровывается и внедряется в процесс вредоносная нагрузка - MetaStealer. ВПО реализовано на C# и является форком другого стилера - RedLine.
Важное отличие MetaStealer от RedLine заключается в том, что разработчики MetaStealer не запрещают применять его для реализации атак на Россию и страны СНГ.
В процессе выполнения MetaStealer осуществляет сбор информации о системе, получение данных из браузеров, криптокошельков, клиентов электронной почты, а также из различных приложений, таких как Steam и FileZilla.
Также стоит отметить, что Venture Wolf для обфускации кода MetaStealer использует протектор .NET Reactor.
Технические подробности и индикаторы компрометации - в отчете.
BI.ZONE
Venture Wolf использует MetaStealer в атаках на российские компании
Что известно о ранее не отслеживаемой группировке и как распознать атаки
• BadUSB — это целое семейство атак на USB-порт, при которых подключаемое устройство выдает себя за другой девайс, например:
- HID-устройство (клавиатура или мышка);
- Ethernet — сетевая карта;
- Mass storage (съемный накопитель).
• Реализовать такую хакерскую железку можно и на одноплатниках (вроде Raspberry Pi), но это все равно что перевозить ноутбук на фуре. Есть "браться меньшие" не такие известные, но не менее "злые" и опасные в руках из плеч. По сути, для выполнения HID-атаки нам необходим микроконтроллер, USB-порт и минимальная электронная обвязка, что бы это всё работало.
• Хорошая альтернатива — семейство плат Teensy, совместимых с Arduino. С ними также можно использовать Arduino IDE. Например, плата Teensy LC размером 17х35 мм. оснащена процессорным ядром ARM Cortex-M0+ и 64 кб. памяти.
• В данной статье мы рассмотрим процесс создания устройства Bad USB с использованием платы на базе Arduino - Teensy 2.0. Разберемся с созданием и программированием этого маленького, но мощного устройства, способного провести атаку на компьютерную систему, обойти защитные механизмы и получить несанкционированный доступ к данным.
#Пентест #Arduino
Please open Telegram to view this post
VIEW IN TELEGRAM
• У Project Discovery есть очень объемная коллекция opensource инструментов, которая является ценным дополнением к стандартному набору утилит Kali Linux. Эти тулзы не только повысят глубину анализа в рамках веб-пентеста, но и могут предложить функции для сканирования портов, фаззинга, исследования уязвимостей и других узкоспециализированных задач: https://github.com/orgs/projectdiscovery/repositories?type=all
• Все инструменты я описывать не буду, эту информацию можете найти по ссылке выше, но хотелось бы затронуть относительно новую тулзу — CVEMap. Её создали для быстрого и удобного поиска по всем известным базам данных уязвимостей. Тулза объединяет данные из нескольких известных источников и умеет возвращать наличие PoC. Если заинтересовались и хотите более подробно изучить данный инструмент, то переходите по нужной ссылке:
- Особенности;
- Установка;
- Пример использования;
- Сообщество в Discord.
#Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
• Что такое SSH. Утилиты SSH:
- Что такое и для чего нужен SSH;
- Утилиты SSH;
- Как установить OpenSSH;
- Управление службой OpenSSH;
- Как проверить журнал событий SSH службы;
- Как увидеть неудачные попытки входа SSH;
- Как просмотреть журнал подключений пользователей SSH;
• Настройка сервера OpenSSH:
- Как настроить SSH сервер (sshd);
- Перезапуск службы SSH;
- Как изменить порт, на котором работает сервер OpenSSH;
- Как выбрать интерфейс (IP) для прослушивания;
- Почему пользователь root не может подключиться по SSH с верным паролем. Как запретить или разрешить подключение root по SSH;
- Запрет и разрешение входа в SSH по паролю обычным пользователям;
- Разрешение входа без пароля;
- Как разрешить или запретить пользователям входить через SSH;
- Шаблоны в файле настроек SSH;
- Как разрешить подключение только с определённого IP или группы IP. Как заблокировать определённые IP для SSH;
- Настройка журналов SSH сервера;
- Запуск SSH без отсоединения от терминала;
- Запуск сервера SSH с другим конфигурационным файлом;
- Как проверить конфигурационный файл сервера SSH без запуска службы;
- Другие важные опции командной строки сервера SSH;
- Другие опции sshd;
• Как подключиться к SSH. Настройка клиента OpenSSH:
- Подключение к SSH из Linux;
- Подключение к SSH из Windows;
- Подключение по SSH с мобильного телефона;
- Как подключиться к SSH;
- Подключение к SSH по имени хоста;
- Подключение по SSH к хосту в VPN;
- Выполнение команд на удалённом сервере без создания сессии шелла;
- Передача стандартного вывода с локальной машины на удалённую по ssh;
- Опции командной строки клиента SSH;
- Конфигурационные файлы клиента SSH;
- Конфигурационные директивы файлов /etc/ssh/ssh_config и ~/.ssh/config;
- Как указать файл ключа для подключения;
• Создание и настройка ключей OpenSSH:
- Вход в SSH без пароля (с использованием файлов ключей);
- Типы ключей;
- Утилита ssh-keygen;
- Как поменять количество бит в ключах ssh-keygen;
- Добавление комментариев в ключи ssh-keygen;
- Изменение паролей в ssh-keygen;
- Показ публичного ключа из приватного;
- Управление приватными ключами на клиенте SSH;
- Управление публичными ключами на сервере SSH;
- Как конвертировать .ppk ключ в OpenSSH ключ;
• Копирование файлов с помощью scp и sftp:
- Копирование с удалённого компьютера и на удалённый компьютер (scp и sftp);
- Как пользоваться утилитой scp;
- Как скопировать файл с одного удалённого хоста на другой удалённый хост;
- Как выгрузить на сервер или скачать с сервера папку;
- Как указать порт для scp;
- Как использовать другой файл настройки для scp и как указать файл ключей аутентификации;
- Как ограничить скорость передачи данных в scp;
- Как сохранить метки времени при передаче по scp;
- Отключение строгой проверки имён файлов;
- Тихий режим;
- Как пользоваться sftp;
- Интерактивные команды sftp;
- Опции sftp;
- Графический интерфейс SFTP;
• Подсказки и сложные случаи использования OpenSSH:
- Туннелирование с SSH. Открытие графической программы, расположенной на удалённом компьютере, по SSH;
- Использование SSH в качестве прокси для доступа к локальным ресурсам удалённого компьютера;
- Установка VPN через SSH;
- Как редактировать файл на другом компьютере через ssh;
- Как сравнить файлы на удалённом компьютере (выполнить команду diff) через SSH;
- Как настроить VNC через ssh;
- Как включить форвардинг (пересылку) X11 с использованием ssh;
- Сохранение запущенной команды после закрытия SSH;
- Сетевая файловая система SSHFS.
#SSH
Please open Telegram to view this post
VIEW IN TELEGRAM
S.E.Book
Photo
• Еще до официального релиза Windows 98, на мероприятии под названием Windows Hardware Engineering Conference руководитель корпорации Microsoft Билл Гейтс во всеуслышание заявил о том, что эта версия ОС станет последней в линейке 9х, и все последующие редакции Windows будут разрабатываться на платформе NT. Однако он все-таки слегка обманул уважаемую публику. Уже 5 мая 1999 года случилось «второе пришествие» в виде Windows 98 Second Edition, а 14 сентября 2000-го, неожиданно вышла она — Windows ME, Millennium Edition, которую русскоязычные пользователи сразу же нежно окрестили «линолеум эдишн», а их заокеанские коллеги — «Mistake Edition» (версия-ошибка).
• «Под капотом» у WinME пряталась MS-DOS 8.0, хотя реальный режим MS-DOS в новой ОС как раз был заблокирован. Файл
IO.SYS
в Windows Millennium Edition полностью игнорирует файлы ядра DOS CONFIG.SYS
и COMMAND.COM
, вместо них используется 32-разрядный драйвер диспетчера виртуальных машин VMM32.VXD, который создает среду окружения MS-DOS для системных процессов и приложений Windows. С одной стороны это позволило ускорить загрузку операционной системы за счет отказа от обращений к MS-DOS, с другой сделало невозможным запуск некоторых старых игрушек, в основном из-за того, система не могла загрузить драйверы реального режима, такие как ANSI.SYS.
• Из других нововведений в Windows ME следует отметить обновленный Проигрыватель Windows Media, программу для монтажа видео Windows Movie Maker и обновленную справочную систему, а еще система наконец-то научилась полноценно поддерживать широкий ассортимент устройств USB, чего ей очень не хватало раньше.
• После официального релиза Windows Millennium Edition 14 сентября 2000 года Microsoft начала рекламную кампанию новой системы под лозунгом «Meet Me Tour», в рамках которой американским пользователям Windows 98 и 98SE предлагалось перейти на ME за 59,95 долларов («коробочная» версия стоила 209 долларов). Однако особого ажиотажа по этому поводу, как писали журналисты, не наблюдалось. Кто-то воспользовался столь выгодным предложением, но с появлением в 2001 году Windows XP популярность Millennium Edition начала стремительно падать, как и объемы продаж, которые вскоре и вовсе сошли на нет.
• Еще одно важное нововведение – приложение «Восстановление системы», позволявшее создавать точки восстановления и при необходимости откатить ОС до предыдущего состояния. А пользоваться этой функцией приходилось очень часто. Если Windows 98 по сравнению с Windows 95 отличалась относительно высокой стабильностью, то Windows ME в этом отношении определенно стала большим шагом назад. Система регулярно сбоила и выходила из строя – намного чаще, чем ее предшественница, восстанавливать или переустанавливать ее заново приходилось раз в два-три месяца.
• Главным преимуществом операционных систем линейки Win9x по сравнению с Windows NT и 2000 являлось более высокое быстродействие на машинах с весьма скромной аппаратной конфигурацией, имевших распространение в начале «нулевых». Windows ME и в этом отношении сумела отличиться не в лучшую сторону: она была весьма привередлива к ресурсам, требовала для установки больше дискового пространства чем Windows 98, а со временем свободного места на винчестере становилось еще меньше: папка
%SYSTEMROOT%
имела тенденцию к неконтролируемому разрастанию. По скорости работы Windows ME мало отличалась от Windows 2000 Professional, зато значительно уступала ей в надежности. • Основная поддержка Windows ME завершилась 31 декабря 2003 года, а 11 июля 2006 г. прекратилась расширенная поддержка. Millennium Edition заслуженно считается одной из худших версий Windows после 95, однако эта система все же оставила свой след в истории — пусть он получился и не столь ярким, как у других версий Windows.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Как сделать, чтобы два жестких диска не видели друг друга? Чтобы вирус, попав на одну систему, никоим образом не мог заразить другую. Использовать полнодисковое шифрование, отключить диск в диспетчере устройств и даже поставить переключатель на питание?
• Если взглянуть на задачу совершенно с другого угла и сделать всё средствами самого HDD — взять диск, скажем, на 320 гигов, "переделать" его в 160, а затем перед самым стартом некоторой командой “переключать” половинки. Тогда никто, в том числе и сам ПК, не будет подозревать, что на этом диске есть другая операционная система! Звучит легко, но попробуем на деле:
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• История разработки OSI началась с небольшой группы ученых, которые в начале и середине 1970-х годов были сосредоточены на проектировании и разработке прототипов систем для компании Honeywell Information System.
• В середине 1970-х группа поняла, что для поддержки машин с базами данных распределенного доступа и их взаимодействия необходима более структурированная коммуникационная архитектура. Ученые стали изучать некоторые из существующих тогда решений, в том числе и многоуровневую сетевую архитектуру IBM (SNA). Уже тогда они поняли, что будут конкурировать с ней, так как модель оказалась схожа с той, что разрабатывали в Honeywell. SNA (Systems Network Architecture) была создана IBM для определения общих соглашений связи и передачи данных между аппаратными и программными продуктами IBM. Она представляла собой иерархический подход к системам и имела архитектуру терминал-компьютер.
• Результатом исследований и работы над проектированием собственного решения стала разработка в 1977 году многоуровневой архитектуры, известной как архитектура распределенных систем HDSA (Honeywell Distributed System Architecture). Этот проект создавался, чтобы предоставить виды протоколов «процессор-процессор» и «процессор-терминал», необходимые для взаимодействия произвольного количества машин и произвольного количества людей. Это должно было стать основой для создания системных приложений.
• В 1977 году Британский институт стандартов предложил Международной организации по стандартизации (ISO) создать стандарты для открытого взаимодействия между устройствами. Новые стандарты должны были предложить альтернативу закрытым системам традиционных компьютеров, разработанных без возможности взаимодействия друг с другом.
• В результате ISO сформировала комитет по взаимосвязи открытых систем (OSI). А американскому национальному институту стандартов (ANSI), входящему в ISO, было поручено разработать предложения для первого заседания комитета. Один из ученых (Чарльз Бакман) принял участие во встречах ANSI и представил многоуровневую модель. Она была выбрана как единственное предложение, которое представили комитету.
• С 28 февраля по 2 марта 1978 года в Вашингтоне проходило собрание ISO, где команда Honeywell презентовала свое решение ISO. На встрече собралось множество делегатов из десяти стран и наблюдатели из 4 международных организаций. На этом совещании было достигнуто соглашение, что многоуровневая архитектура HDSA удовлетворяет большинству требований и что ее можно будет расширить позже.
• Для дальнейшей работы над усовершенствованием модели было решено собрать рабочие группы. Их главной целью было составление общего международного архитектурного положения.
• Модель, которую представили на собрании, состояла из шести слоев, куда изначально не входил нижний, физический уровень. И здесь вступает в игру Юбер Циммерманн, председатель OSI и глава архитектурной группы, который и предложил включить в модель физический уровень. Необходимо было узнать, как подавать импульсы на провода.
• Начиная с 1977 года, ISO провела программу по разработке общих стандартов и методов создания сетей, но аналогичный процесс появился в некоммерческой организации по стандартизации информационных и коммуникационных систем (ECMA) и Международном консультативном комитете по телеграфу и телефону (CCITT). Делегаты от этих групп присутствовали на собраниях ISO, и все они работали над одной целью. Позже CCITT приняла документы, которые почти идентичны документам ISO, и группа стала сотрудничать с ISO.
• В 1983 году документы CCITT и ISO были объединены, чтобы сформировать Базовую эталонную модель взаимодействия открытых систем или просто модель OSI. Общий документ был опубликован в 1984 году как стандарт ISO 7498.
#Сети #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• SeAssignPrimaryToken;
• SeAudit;
• SeBackup;
• SeCreatePagefile;
• SeChangeNotify;
• SeCreatePagefile;
• SeSystemtime;
• SeTakeOwnership;
• SeTcb;
• SeTrustedCredManAccess;
• SeCreateToken;
• SeDebug;
• SeImpersonate;
• SeIncreaseBasePriority;
• SeIncreaseQuota;
• SeLoadDriver;
• SeRelabel;
• SE_CHANGE_NOTIFY_NAME (SeChangeNotifyPrivilege);
• Resources.
#Red_Team
Please open Telegram to view this post
VIEW IN TELEGRAM
• Набор инструментов SysInternals — это набор приложений Windows, которые можно бесплатно загрузить из соответствующего раздела веб-сайта Microsoft. В этой серии статей вы познакомитесь с каждым из важных инструментов в комплекте, познакомитесь с ними и их многочисленными функциями, а затем эти инструкции помогут понять, как использовать их в реальных условиях:
- Что такое инструменты SysInternals и как их использовать?
- Знакомство с Process Explorer;
- Использование Process Explorer для устранения неполадок и диагностики;
- Понимание Process Monitor;
- Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра;
- Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО.
#SysInternals #Windows #soft
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи из Лаборатории Касперского выкатили отчет с обзором основных инцидентов в сфере промышленной кибербезопасности за 2 квартал текущего года.
В поле зрения исследователей попали 35 публично подтвержденных инцидентов, половина из которых привела к отказу в работе или поставках продукции.
Большинство жертв - это различные производственные предприятия в сфере электроники, автомобилестроения, сельского хозяйства, медицины и строительства.
Также пострадали компании в сфере ЖКХ, транспорта и логистики, фармацевтики и общепита.
Крупнейший ущерб зафиксирован в результате атаки вымогателей на CDK Global, поставщика ПО для американских автодилеров, в результате которой была нарушена работа почти 15 000 дилерских центров, что привело к совокупным прямым убыткам в размере 1 млрд долл. США.
Причем, как отмечают в ЛК, это не первый и не последний случай, когда кибербезопасность вендоров в нишевых рынках, ориентированных на многие предприятия, в настоящее время серьезно игнорируется.
Другой яркий пример - атака на британского производителя медицинских устройств LivaNova, в ходе которой злоумышленники не только украли персональные данные клиентов компании, но также добрались и до серийных номеров медицинских устройств.
При этом, как показывают исследования уязвимостей, некоторые производители устройств IoT по-прежнему предпочитают практиковать использование таких номеров для генерации ключей шифрования и данных аутентификации, способствуя тем самым развитию атак.
И даже ведущие мировые поставщики сталкиваются с вопиющими проблемами в сфере ИБ своей инфраструктуры и своих решений, подвергая риску данные клиентов и партнеров, как в случае с утечкой, затронувшей корпорацию Dell.
В целом, что касается статистики, количество инцидентов, публично подтвержденных, выросло на 16% по сравнению с первым кварталом 2024 года (30 инцидентов).
Почти половина всех жертв сообщили об отказе ИТ-систем (49%) и отказе в операциях (46%) в результате инцидента. В предыдущем квартале эти показатели составляли 43% и 30% соответственно.
Более половины (51%) всех жертв сообщили, что пострадали от атаки программ-вымогателей. Для сравнения, в предыдущем квартале этот показатель составлял 47%.
Две трети всех жертв (66%) работают в производственном секторе. 57% из них сообщили об утечке данных и персональных данных в результате инцидента.
Одна компания не смогла оправиться от последствий кибератаки и решила прекратить деятельность.
Наиболее пострадавшими странами оказались: США – 26% (9 случаев), Германия – 14% (5), Австралия – 9% (3).
Среди других наиболее пострадавших - Колумбия, Аргентина и Израиль.
Информативный разбор по отраслям и инцидентам - в отчете.
В поле зрения исследователей попали 35 публично подтвержденных инцидентов, половина из которых привела к отказу в работе или поставках продукции.
Большинство жертв - это различные производственные предприятия в сфере электроники, автомобилестроения, сельского хозяйства, медицины и строительства.
Также пострадали компании в сфере ЖКХ, транспорта и логистики, фармацевтики и общепита.
Крупнейший ущерб зафиксирован в результате атаки вымогателей на CDK Global, поставщика ПО для американских автодилеров, в результате которой была нарушена работа почти 15 000 дилерских центров, что привело к совокупным прямым убыткам в размере 1 млрд долл. США.
Причем, как отмечают в ЛК, это не первый и не последний случай, когда кибербезопасность вендоров в нишевых рынках, ориентированных на многие предприятия, в настоящее время серьезно игнорируется.
Другой яркий пример - атака на британского производителя медицинских устройств LivaNova, в ходе которой злоумышленники не только украли персональные данные клиентов компании, но также добрались и до серийных номеров медицинских устройств.
При этом, как показывают исследования уязвимостей, некоторые производители устройств IoT по-прежнему предпочитают практиковать использование таких номеров для генерации ключей шифрования и данных аутентификации, способствуя тем самым развитию атак.
И даже ведущие мировые поставщики сталкиваются с вопиющими проблемами в сфере ИБ своей инфраструктуры и своих решений, подвергая риску данные клиентов и партнеров, как в случае с утечкой, затронувшей корпорацию Dell.
В целом, что касается статистики, количество инцидентов, публично подтвержденных, выросло на 16% по сравнению с первым кварталом 2024 года (30 инцидентов).
Почти половина всех жертв сообщили об отказе ИТ-систем (49%) и отказе в операциях (46%) в результате инцидента. В предыдущем квартале эти показатели составляли 43% и 30% соответственно.
Более половины (51%) всех жертв сообщили, что пострадали от атаки программ-вымогателей. Для сравнения, в предыдущем квартале этот показатель составлял 47%.
Две трети всех жертв (66%) работают в производственном секторе. 57% из них сообщили об утечке данных и персональных данных в результате инцидента.
Одна компания не смогла оправиться от последствий кибератаки и решила прекратить деятельность.
Наиболее пострадавшими странами оказались: США – 26% (9 случаев), Германия – 14% (5), Австралия – 9% (3).
Среди других наиболее пострадавших - Колумбия, Аргентина и Израиль.
Информативный разбор по отраслям и инцидентам - в отчете.
Kaspersky ICS CERT | Kaspersky Industrial Control Systems Cyber Emergency Response Team
Q2 2024 – a brief overview of the main incidents in industrial cybersecurity | Kaspersky ICS CERT
A total of 35 incidents were confirmed by victims. Half of the attacks reportedly resulted in the denial of IT systems and the denial of operations. There is a case of a company that was unable to recover from the impact of a cyberattack and decided to cease…
Please open Telegram to view this post
VIEW IN TELEGRAM
• Энтузиаст опубликовал видеоинструкцию по замене операционной системы любого удаленного сервера Linux только с помощью SSH на NetBSD. Этот процесс занимает менее 10 минут, используя открытый скрипт проекта takeover.sh.
#NetBSD #SSH #Linux
#NetBSD #SSH #Linux
• Не мало было случаев на просторах интернета, где происходила компрометация приложения с последующим шифрованием, в таких случаях обычно спасает бэкап, но что делать если последний бекап файл был на самом сервере?
• В этой статье разберем один интересный кейс, в котором удалось скомпрометировать веб приложение используя тот самый бекап файл, который лежал на сервере в открытом доступе.
#hack
Please open Telegram to view this post
VIEW IN TELEGRAM
• Летом 1988 года один финский программист Яркко “Wiz” Оикаринен написал первый IRC-клиент и сервер, идея которого заключалась в расширении возможностей BBS (электронная доска объявлений). В то время Wiz администрировал BBS на
tolsun.oulu.fi
, и хотел с помощью IRC добавить в нее новости в формате Usenet, диалоги в реальном времени и прочие возможности.• Первым делом он реализовал чат, для чего использовал код, написанный его друзьями Юрки Куоппала и Юккой Пихль. Изначально эта разработка была протестирована на одной машине. Яркко об этом первом пуске позже говорил так:
«День рождения IRC пришелся на август 1988. Точная дата неизвестна, но где-то в конце месяца».
• Первый IRC-сервер получил имя
tolsun.oulu.fi.
• Юрки Куоппала подтолкнул Яркко обратиться к университету, в котором они работали, с просьбой разрешить использовать код IRC за его пределами. Руководство университета не возражало, и после итогового релиза Юрки сразу же настроил сервер, который позже получил адрес
irc.cs.hut.fi.
Так родилась первая «сеть IRC».• У Яркко были кое-какие друзья в других университетах страны, которые помогли запустить дополнительные IRC-сервера, когда число пользователей начало расти.
• Вскоре за ними последовали и другие ВУЗы. Маркку Ярвинен помог с доработкой клиента, и в тот момент Яркко понял, что остальная часть функционала BBS в его программу может не войти.
• Он связался с ребятами из Университета Денвера и Университета штата Орегон. У них также функционировала IRC-сеть (программу они получили от одного из друзей Яркко, Виджая Субраманьям – первого не финна, использовавшего IRC), и они хотели подключиться к основной финской ветке. Рост IRC продолжился, и использовать его начали уже по всей национальной сети Финляндии, Funet, после чего произошло дальнейшее расширение и подключение к скандинавской Nordunet. В ноябре 1988 года IRC распространился уже по всей мировой паутине.
- К середине 1989 года чат насчитывал 40 серверов по всей планете.
- В этом же году Майклом Сандорфом был выпущен ircII (вторая версия irc).
- В июле 1990 года IRC насчитывал в среднем 12 пользователей в день на 38 серверах.
- В 1990 году была настроена новая сеть для разработки обновленной версии ircd (2.6). Эта сеть получила название ChNet и насчитывала около 25 серверов. Правда, просуществовала она всего несколько месяцев, пока разногласия между разработчиками не привели к ее распаду.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM