Forwarded from SecAtor
Исследователи из Лаборатории Касперского выкатили аналитику по эксплойтам и уязвимостям в третьем квартале 2024 года.
Как отмечают исследователи, третий квартал 2024 года принес целый набор уязвимостей, обнаруженных в нестандартных для кибератак подсистемах Windows и Linux.
Связано это с тем, что разработчики операционных систем выпускают новые механизмы противодействия целым группам уязвимостей в популярных подсистемах.
Например, в CLFS (Common Log Filing System), подсистеме ведения журналов в Windows, появится проверка целостности логов, поэтому количество эксплойтов для нее будет идти на спад.
Что касается Linux, то для нее существует механизм контроля целостности ядра Linux Kernel Runtime Guard (LKRG), выполненный в виде отдельного модуля ядра.
Несмотря на то, что первая версия LKRG вышла еще в 2018 году, он постоянно совершенствуется. Кроме того, в последнее время его стали активнее использовать в различных сборках.
Возвращаясь к квартальной статистике, в третьем квартале 2024 года сохраняется тренд к обнаружению и регистрации все большего количества уязвимостей: рост как по общему количеству, так и по критическим.
Общее количество PoC, которые были опубликованы впервые по свежим CVE, также увеличилось на 2%, что показывает тенденцию к ускорению создания эксплойтов.
Также рост показателя может быть связан с тем, что исследователи все чаще стали публиковать не только описание уязвимости, но и подробные данные, включающие эксплойты.
Причем львиная доля PoC появляется в течение недели после публикации патчей разработчиками ПО, в котором была обнаружена уязвимость.
Исследователи ЛК отмечают изменения в перечне распространенных в APT-атаках уязвимостей.
Теперь в нем присутствуют уязвимости, позволяющие получать доступ к системам с веб-приложениями и почтовыми серверами.
При этом некоторые уязвимости достаточно свежие: одна из них была зарегистрирована в прошлом году и еще три — в этом.
Однако большую часть списка составляют уязвимости, которым три года и более.
Подробная статистика по CVE, особенности эксплуатации и наиболее трендовые уязвимости квартала - в отчете.
Как отмечают исследователи, третий квартал 2024 года принес целый набор уязвимостей, обнаруженных в нестандартных для кибератак подсистемах Windows и Linux.
Связано это с тем, что разработчики операционных систем выпускают новые механизмы противодействия целым группам уязвимостей в популярных подсистемах.
Например, в CLFS (Common Log Filing System), подсистеме ведения журналов в Windows, появится проверка целостности логов, поэтому количество эксплойтов для нее будет идти на спад.
Что касается Linux, то для нее существует механизм контроля целостности ядра Linux Kernel Runtime Guard (LKRG), выполненный в виде отдельного модуля ядра.
Несмотря на то, что первая версия LKRG вышла еще в 2018 году, он постоянно совершенствуется. Кроме того, в последнее время его стали активнее использовать в различных сборках.
Возвращаясь к квартальной статистике, в третьем квартале 2024 года сохраняется тренд к обнаружению и регистрации все большего количества уязвимостей: рост как по общему количеству, так и по критическим.
Общее количество PoC, которые были опубликованы впервые по свежим CVE, также увеличилось на 2%, что показывает тенденцию к ускорению создания эксплойтов.
Также рост показателя может быть связан с тем, что исследователи все чаще стали публиковать не только описание уязвимости, но и подробные данные, включающие эксплойты.
Причем львиная доля PoC появляется в течение недели после публикации патчей разработчиками ПО, в котором была обнаружена уязвимость.
Исследователи ЛК отмечают изменения в перечне распространенных в APT-атаках уязвимостей.
Теперь в нем присутствуют уязвимости, позволяющие получать доступ к системам с веб-приложениями и почтовыми серверами.
При этом некоторые уязвимости достаточно свежие: одна из них была зарегистрирована в прошлом году и еще три — в этом.
Однако большую часть списка составляют уязвимости, которым три года и более.
Подробная статистика по CVE, особенности эксплуатации и наиболее трендовые уязвимости квартала - в отчете.
securelist.ru
Анализ ландшафта уязвимостей в третьем квартале 2024 года
Отчет содержит статистику уязвимостей и эксплойтов и разбор интересных уязвимостей, обнаруженных в третьем квартале 2024 года, например regreSSHion
• Подробное исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3: какие атаки и уязвимости существуют, и какой инструментарий применяется для их эксплуатации.
• Все эксперименты проводились на ноутбуке с #Kali Linux, при помощи адаптера TP-Link Archer T3U Plus, беспроводного роутера Keenetic-8990 и смартфона в качестве клиента.
• Содержание:
- Краткий экскурс в историю;
- Разбор атак на WPA2-PSK;
- Разбор атак на WPA2-Enterprise;
- Разбор атак на WPA3;
- Стратегии защиты;
- Полезные источники (книги, статьи, презентации).
#WiFi
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Обнаруженная критическая уязвимость в OpenWrt подвергла пользователей риску установки вредоносных образов прошивки, фактически делая сервер обновления уязвимым для злонамеренной эксплуатации.
CVE-2024-54143 имеет CVSS v4: 9,3 и затрагивает функцию OpenWrt Attended Sysupgrade (ASU), которая используется для создания пользовательских образов прошивки по запросу.
Проект OpenWrt - это популярная альтернативная операционка с открытым исходным кодом на базе Linux, разработанная для встраиваемых устройств, в частности сетевых устройств, включая маршрутизаторы, точки доступа и другое оборудование IoT.
Уязвимость внедрения команд и усечения хэша была обнаружена исследователем Flatt Security (RyotaK) во время планового обновления маршрутизатора в домашней лаборатории.
Проблема была исправлена в течение нескольких часов после раскрытия.
OpenWrt включает в себя службу ASU, которая позволяет пользователям создавать собственные сборки прошивки по запросу, включающие ранее установленные пакеты и настройки, обновляя устройство до новой прошивки и сохраняя пакеты и настройки.
RyotaK обнаружил, что служба sysupgrade.openwrt.org обрабатывает входные данные с помощью команд, выполняемых в контейнеризированной среде.
Уязвимость в механизме обработки ввода, возникающая из-за небезопасного использования команды make в коде сервера, позволяет вводить произвольные команды через имена пакетов.
Другая проблема, обнаруженная RyotaK, заключалась в том, что сервис использует 12-символьный усеченный хэш SHA-256 для кэширования артефактов сборки, ограничивая хэш всего 48 битами.
Исследователь объясняет, что это делает возможным перебор коллизий, позволяя злоумышленнику создать запрос, который повторно использует ключ кэша, найденный в легитимных сборках прошивки.
Объединив две проблемы и применив инструмент Hashcat на видеокарте RTX 4090, RyotaK продемонстрировал возможность модификации артефактов прошивки для доставки вредоносных сборок ничего не подозревающим пользователям.
В свою очередь, команда OpenWrt в срочном порядке отреагировала на частный отчет, отключив на три часа службу sysupgrade.openwrt.org 4 декабря 2024 года для применения исправлений.
В OpenWrt полагают, что вряд ли кто-либо смог воспользовался уязвимостью CVE-2024-54143, при этом никаких доказательств того, что эта уязвимость затронула образы с downloads.openwrt.org, также не получено.
Несмотря на это, проблема существует уже некоторое время, поэтому всем пользователям следует предпринять рекомендуемые OpenWrt меры из соображений предосторожности.
CVE-2024-54143 имеет CVSS v4: 9,3 и затрагивает функцию OpenWrt Attended Sysupgrade (ASU), которая используется для создания пользовательских образов прошивки по запросу.
Проект OpenWrt - это популярная альтернативная операционка с открытым исходным кодом на базе Linux, разработанная для встраиваемых устройств, в частности сетевых устройств, включая маршрутизаторы, точки доступа и другое оборудование IoT.
Уязвимость внедрения команд и усечения хэша была обнаружена исследователем Flatt Security (RyotaK) во время планового обновления маршрутизатора в домашней лаборатории.
Проблема была исправлена в течение нескольких часов после раскрытия.
OpenWrt включает в себя службу ASU, которая позволяет пользователям создавать собственные сборки прошивки по запросу, включающие ранее установленные пакеты и настройки, обновляя устройство до новой прошивки и сохраняя пакеты и настройки.
RyotaK обнаружил, что служба sysupgrade.openwrt.org обрабатывает входные данные с помощью команд, выполняемых в контейнеризированной среде.
Уязвимость в механизме обработки ввода, возникающая из-за небезопасного использования команды make в коде сервера, позволяет вводить произвольные команды через имена пакетов.
Другая проблема, обнаруженная RyotaK, заключалась в том, что сервис использует 12-символьный усеченный хэш SHA-256 для кэширования артефактов сборки, ограничивая хэш всего 48 битами.
Исследователь объясняет, что это делает возможным перебор коллизий, позволяя злоумышленнику создать запрос, который повторно использует ключ кэша, найденный в легитимных сборках прошивки.
Объединив две проблемы и применив инструмент Hashcat на видеокарте RTX 4090, RyotaK продемонстрировал возможность модификации артефактов прошивки для доставки вредоносных сборок ничего не подозревающим пользователям.
В свою очередь, команда OpenWrt в срочном порядке отреагировала на частный отчет, отключив на три часа службу sysupgrade.openwrt.org 4 декабря 2024 года для применения исправлений.
В OpenWrt полагают, что вряд ли кто-либо смог воспользовался уязвимостью CVE-2024-54143, при этом никаких доказательств того, что эта уязвимость затронула образы с downloads.openwrt.org, также не получено.
Несмотря на это, проблема существует уже некоторое время, поэтому всем пользователям следует предпринять рекомендуемые OpenWrt меры из соображений предосторожности.
GMO Flatt Security Research
Compromising OpenWrt Supply Chain via Truncated SHA-256 Collision and Command Injection
Introduction
Hello, I’m RyotaK (@ryotkak
), a security engineer at Flatt Security Inc.
A few days ago, I was upgrading my home lab network, and I decided to upgrade the OpenWrt
on my router.1 After accessing the LuCI, which is the web interface of OpenWrt…
Hello, I’m RyotaK (@ryotkak
), a security engineer at Flatt Security Inc.
A few days ago, I was upgrading my home lab network, and I decided to upgrade the OpenWrt
on my router.1 After accessing the LuCI, which is the web interface of OpenWrt…
• Именно в 1971 году родившийся в Индии студент магистратуры MIT Абхай Бхушнан впервые разработал File Transfer Protocol. FTP, появившийся спустя два года после telnet, стал одним из первых примеров работающего пакета приложений для системы, которая в дальнейшем стала известна как ARPANET. Он обогнал электронную почту, Usenet и даже стек TCP/IP. Как и telnet, FTP по-прежнему используется, хоть и ограниченно. Однако в современном Интернете он потерял значимость, в основном из-за проблем с безопасностью, а его место занимают альтернативные протоколы с шифрованием — в случае FTP это SFTP, протокол передачи файлов, работающий поверх протокола Secure Shell (SSH), по большей мере заменившего telnet.
• FTP настолько стар, что появился раньше электронной почты, а в начале он сам играл роль email-клиента. Наверно, неудивительно, что среди множества программ прикладного уровня, созданных для раннего ARPANET именно FTP выделился и проложил себе дорогу в мир современных технологий.
• Причина этого сводится к его базовой функциональности. По сути, это утилита, упрощающая передачу данных между хостами, однако секрет его успеха заключается в том, что он в определённой степени сгладил различия между этими хостами. Как говорит Бхушан в своём рабочем предложении (RFC), самая большая сложность использования telnet в то время заключалась в том, что каждый хост немного отличался от другого.
• Придуманный им протокол FTP пытался обойти сложности непосредственного подключения к серверу при помощи способа, который он назвал «косвенным использованием»; этот способ позволял передавать данные или исполнять программы удалённо. «Первая сборка» протокола, которая десятки лет спустя по-прежнему используется, хотя и в видоизменённом виде, использовала структуру директорий для исследований различий между отдельными системами.
• Автор приступил к разработке протокола из-за очевидной потребности в приложениях для зарождающейся системы ARPANET, в том числе из-за потребности в электронной почте и FTP. Эти первые приложения стали фундаментальными строительными блоками современного Интернета и за последующие десятилетия сильно усовершенствовались.
• Бхушан рассказал, что из-за ограниченных возможностей компьютеров того времени сначала функции электронной почты были частью FTP и позволяли распространять письма и файлы по протоколу в более легковесной формате. И в течение четырёх лет FTP был своего рода электронной почтой.
• Разумеется, Бхушан был не единственным, кто принял участие в разработке этого фундаментального раннего протокола, ведь после выпуска из вуза он получил должность в Xerox. Созданный им протокол продолжил своё развитие без него, получив в 1970-х и 1980-х серию обновлений в виде RFC; в том числе примерно в 1980 году появилась его реализация, позволявшая обеспечивать поддержку спецификации TCP/IP...
• В отличие от ситуации с IRC (когда у протокола отобрали популярность коммерческие инструменты) и Gopher (рост которого погубил внезапный переход на коммерческую модель), FTP сейчас уходит из веб-браузеров потому, что его возраст подчёркивает отсутствие инфраструктуры безопасности.
• Самые распространённые способы его использования, например, для организации публично доступных анонимных FTP-серверов, по сути, потеряли свою популярность. А в своей основной нише он в конечном итоге был заменён более защищёнными и современными версиями, например SFTP.
• Уверен, что какой-нибудь технарь может заявить, что FTP никогда не умрёт, потому что для него всегда найдётся специализированная область применения. Да, это возможно. Но у подавляющего большинства людей после отключения FTP в браузере Chrome, вероятно, не будет причин искать способы подключиться к нему снова.
• Если уход FTP из веб-браузеров ускорит его окончательную гибель, то быть по сему. Однако в течение пятидесяти с лишним лет, меняя версии и вариации, он служил нам верой и правдой.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Достаточно хороший и бесплатный курс от Selectel, если хотите погрузиться в мир PostgreSQL. В этом курсе говориться про установку и настройку базы данных PostgreSQL, как ими управлять, организовать резервное копирование и репликацию. А главное — что делать, если администрировать самим БД не хочется.
- Подойдет ли PostgreSQL вообще всем проектам или нужны альтернативы;
- Установка и использование PostgreSQL в Ubuntu 22.04;
- Как настроить репликацию в PostgreSQL;
- Резервное копирование и восстановление PostgreSQL: pg_dump, pg_restore, wal-g;
- Установка и настройка PostgreSQL в Docker;
- Установка пулера соединений PgBouncer для PostgreSQL;
- Популярные расширения для PostgreSQL: как установить и для чего использовать;
- Как создать пользователя в PostgreSQL;
- Как узнать версию PostgreSQL;
- DBaaS: что такое облачные базы данных;
- Как работают облачные базы данных PostgreSQL;
- Как начать работу с облачной базой данных PostgreSQL;
- 8 книг по PostgreSQL для новичков и профессионалов;
- Морской бой на PostgreSQL.
#PostgreSQL
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи Symantec в новом отчете раскрывают подробности шпионской APT-кампаний, нацеленной на известные организации в Юго-Восточной Азии.
Кибератаки инициировались как минимум с октября 2023 года и были направлены на организации из различных секторов, включая правительственный сектор в двух разных странах, организацию по управлению воздушным движением, телекоммуникационную компанию и СМИ.
Первоначальный вектор заражения исследователям Symantec установить не удалось ни в одной из атак.
Известно, что злоумышленниками задействовались инструменты, которые ранее были замечены в арсенале китайских APT и включали как опенсоср-технологий, так и LotL.
При этом в Symantec отмечают прокси под названием Rakshasa и использование файла легального приложения (Bitdefender Crash Handler) от 2011 года для загрузки DLL. Оба инструмента ранее применялись Earth Baku (также известной как APT41, Brass Typhoon).
Полный перечень инструментария включал: Dismap, FastReverseProxy, Impacket, Infostealer, Inveigh, keylogger, NBTScan, ReverseSSH, SharpGPOAbuse, SharpNBTScan, Stowaway Proxy Tool, TightVNC, а также living off the land: PowerShell, Reg.exe и WMI.
В ходе атак был развернут PlugX (он же Korplug), троян удаленного доступа, используемый сразу несколькими китайскими хакерскими группами.
Акторы также устанавливали настроенные DLL-файлы, которые действуют как фильтры механизма аутентификации, что позволяло им перехватывать учетные данные для входа.
В ходе одной из атак, продолжавшейся в течение трех месяцев с июня по август 2024 года, злоумышленник проводил разведывательные мероприятия и кражу паролей, а также устанавливал кейлоггер и запускал полезные нагрузки DLL, способные перехватывать данные для входа пользователя в систему.
Symantec отметила, что злоумышленникам удалось сохранить скрытый доступ к скомпрометированным сетям в течение длительного времени, что позволило им собирать пароли и составлять карты сетей, представляющих интерес.
Собранная информация сжималась в защищенные паролем архивы с помощью WinRAR, а затем загружалась в облачные хранилища, такие как File.io.
Столь длительный период ожидания и расчетливый подход подчеркивают изощренность и настойчивость субъекта угроз.
Хотя злоумышленники в этой кампании использовали широкий выбор TTP, географическое расположение целевых организаций, а также использование ранее детектированных инструментов (связанных с APT31, APT41 и APT27) позволяет предположить, что выявленная активность - это дело рук китайских акторов.
Учитывая, что многие из этих китайских APT часто делятся инструментами и используют схожие TTP, конкретная атрибуция в этом случае невозможна.
Индикаторы компрометации - в отчете.
Кибератаки инициировались как минимум с октября 2023 года и были направлены на организации из различных секторов, включая правительственный сектор в двух разных странах, организацию по управлению воздушным движением, телекоммуникационную компанию и СМИ.
Первоначальный вектор заражения исследователям Symantec установить не удалось ни в одной из атак.
Известно, что злоумышленниками задействовались инструменты, которые ранее были замечены в арсенале китайских APT и включали как опенсоср-технологий, так и LotL.
При этом в Symantec отмечают прокси под названием Rakshasa и использование файла легального приложения (Bitdefender Crash Handler) от 2011 года для загрузки DLL. Оба инструмента ранее применялись Earth Baku (также известной как APT41, Brass Typhoon).
Полный перечень инструментария включал: Dismap, FastReverseProxy, Impacket, Infostealer, Inveigh, keylogger, NBTScan, ReverseSSH, SharpGPOAbuse, SharpNBTScan, Stowaway Proxy Tool, TightVNC, а также living off the land: PowerShell, Reg.exe и WMI.
В ходе атак был развернут PlugX (он же Korplug), троян удаленного доступа, используемый сразу несколькими китайскими хакерскими группами.
Акторы также устанавливали настроенные DLL-файлы, которые действуют как фильтры механизма аутентификации, что позволяло им перехватывать учетные данные для входа.
В ходе одной из атак, продолжавшейся в течение трех месяцев с июня по август 2024 года, злоумышленник проводил разведывательные мероприятия и кражу паролей, а также устанавливал кейлоггер и запускал полезные нагрузки DLL, способные перехватывать данные для входа пользователя в систему.
Symantec отметила, что злоумышленникам удалось сохранить скрытый доступ к скомпрометированным сетям в течение длительного времени, что позволило им собирать пароли и составлять карты сетей, представляющих интерес.
Собранная информация сжималась в защищенные паролем архивы с помощью WinRAR, а затем загружалась в облачные хранилища, такие как File.io.
Столь длительный период ожидания и расчетливый подход подчеркивают изощренность и настойчивость субъекта угроз.
Хотя злоумышленники в этой кампании использовали широкий выбор TTP, географическое расположение целевых организаций, а также использование ранее детектированных инструментов (связанных с APT31, APT41 и APT27) позволяет предположить, что выявленная активность - это дело рук китайских акторов.
Учитывая, что многие из этих китайских APT часто делятся инструментами и используют схожие TTP, конкретная атрибуция в этом случае невозможна.
Индикаторы компрометации - в отчете.
Security
Likely China-based Attackers Target High-profile Organizations in Southeast Asia
Espionage campaign targeted organizations in various sectors, including government, aviation, telecommunications, and more.
S.E.Book
Photo
ipv6.pdf
3.2 MB
• Бесплатная книга об IPv6, которая содержит в себе более 130 страниц информации на данную тему. Книга на английском языке, но с учетом развития различных ИИ ресурсов у Вас не составит труда ее перевести (если не владеете английским языком): https://github.com/becarpenter/book6/
• К слову, добавил книгу в свой репо. Обязательно загляните, если изучаете сети, тут много полезной информации: https://github.com/SE-adm/Awesome-network/
#Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Hacker Lab
⚡️ Эльфы из SOC'а обнаружили это сообщение во внутренней сети системы распределения подарков... новое задание уже ждет вас!
➡️ @codeby_se_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
📦 Malware Configuration And Payload Extraction.
• CAPE (Malware Configuration And Payload Extraction) — это автоматизированная система анализа вредоносного ПО с открытым исходным кодом.
• Песочница используется для автоматического запуска и анализа файлов, а также для сбора полной информации. Результаты анализа показывают, что делает вредоносное ПО во время работы внутри изолированной операционной системы (в основном ОС Windows).
• CAPE может получить следующие типы результатов:
- Следы вызовов Win32 API, которые выполнялись всеми процессами, порожденными вредоносным ПО;
- Файлы, которые были созданы, удалены и загружены вредоносной программой во время ее выполнения;
- Дампы памяти процессов вредоносного ПО;
- Трассировка сетевого трафика в формате PCAP;
- Снимки экрана рабочего стола Windows, сделанные во время работы вредоносной программы;
- Полные дампы памяти виртуальных машин.
• CAPE является "выходцем" из одной достаточно популярной песочницы Cuckoo Sandbox и предназначен для использования как в качестве автономного приложения, так и в качестве интегрированного решения в более крупные структуры благодаря своей модульной конструкции.
• Что можно анализировать:
- Общие исполняемые файлы Windows;
- DLL-файлы;
- PDF-документы;
- Документы Microsoft Office;
- URL-адреса и HTML-файлы;
- PHP-скрипты;
- CPL-файлы;
- Сценарии Visual Basic (VB);
- ZIP-файлы;
- Java-JAR-файл - Файлы Python;
- Почти все остальное.
• CAPE обладает мощными возможностями, которые благодаря модульности архитектуры позволяет создавать неограниченное количество различных сценариев.
➡ Документация есть вот тут: https://capev2.readthedocs.io/en/latest/
➡ Cтабильная и упакованная версия продукта: https://github.com/kevoreilly/CAPEv2
#Песочница #Malware
• CAPE (Malware Configuration And Payload Extraction) — это автоматизированная система анализа вредоносного ПО с открытым исходным кодом.
• Песочница используется для автоматического запуска и анализа файлов, а также для сбора полной информации. Результаты анализа показывают, что делает вредоносное ПО во время работы внутри изолированной операционной системы (в основном ОС Windows).
• CAPE может получить следующие типы результатов:
- Следы вызовов Win32 API, которые выполнялись всеми процессами, порожденными вредоносным ПО;
- Файлы, которые были созданы, удалены и загружены вредоносной программой во время ее выполнения;
- Дампы памяти процессов вредоносного ПО;
- Трассировка сетевого трафика в формате PCAP;
- Снимки экрана рабочего стола Windows, сделанные во время работы вредоносной программы;
- Полные дампы памяти виртуальных машин.
• CAPE является "выходцем" из одной достаточно популярной песочницы Cuckoo Sandbox и предназначен для использования как в качестве автономного приложения, так и в качестве интегрированного решения в более крупные структуры благодаря своей модульной конструкции.
• Что можно анализировать:
- Общие исполняемые файлы Windows;
- DLL-файлы;
- PDF-документы;
- Документы Microsoft Office;
- URL-адреса и HTML-файлы;
- PHP-скрипты;
- CPL-файлы;
- Сценарии Visual Basic (VB);
- ZIP-файлы;
- Java-JAR-файл - Файлы Python;
- Почти все остальное.
• CAPE обладает мощными возможностями, которые благодаря модульности архитектуры позволяет создавать неограниченное количество различных сценариев.
#Песочница #Malware
Please open Telegram to view this post
VIEW IN TELEGRAM
• Если покопаться в системных файлах Windows 95, там можно было обнаружить недокументированные функции с именами наподобие BEAR35, BUNNY73 и PIGLET12. Откуда взялись эти дурацкие имена? Оказывается, что у них занятная история:
• «Мишка» (Bear) был талисманом Windows 3.1. Это был плюшевый мишка, которого всюду таскал за собой Дэйв — один из самых главных программистов, занятых в проекте. Когда он приходил к кому-нибудь в офис, он запускал мишку в монитор, чтобы на него отвлеклись.
• Кроме имён системных функций, Мишка засветился ещё в двух местах в Windows 3.1. В диалоге выбора шрифта для DOS-окна, если выбрать маленький шрифт, можно было увидеть в списке файлов несуществующий файл
BEAR.EXE.• Мишка перенёс немало издевательств. Однажды через его голову продели шнур питания, от уха до уха. В другой раз ему в зад запихали петарду. Ко времени Windows 95 состояние Мишки стало уже плачевным, так что его отставили с должности, и заменили розовым кроликом, получившим кличку Кролик (Bunny). Но Мишка-ветеран не отправился на помойку: дети одного из менеджеров сжалились над ним, и неплохо подлатали.
• Дэйв занимался в основном GUI, так что названия
BEAR и BUNNY получали функции, относящиеся к интерфейсу с пользователем. Ядром занимался Майк, а у него был плюшевый диснеевский Пятачок. Так что когда нужно было назвать в ядре новую функцию для внутреннего использования, её называли PIGLET.• Примечание: BEAR и BUNNY до сих пор живы в 32-битных версиях Windows. Раньше BEAR жил в
\Windows\System32\user.exe, а BUNNY в \Windows\System32\krnl386.exe; но начиная с Windows 8, они переехали в каталог \Windows\WinSxS\x86_microsoft-windows-ntvdm-system32-payload_31bf3856ad364e35_<версия>_none_<хэш>\#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи F.A.С.С.T. в новом отчете подводят итоги 2024 и прогнозируют основные тренды на 2025 год.
В целом основные показатели по условным категориям представлены следующим образом:
1. Сливы этого года: в публичном доступе появилось 259 ранее не опубликованных баз данных российских компаний (в 2023 году их было 246).
В этом году в Telegram появилось множество как закрытых, так и публичных каналов, которые публикуют ранее приватные утечки либо повторно распространяют уже опубликованную информацию.
Самой объемной «мегаутечкой» стал архив из 404 баз данных.
2. Градус жадности: число ransomware-атак выросло на 44% по сравнению с предыдущим годом.
При этом в 10% подобных инцидентов целью киберпреступников был не выкуп, а диверсия для нанесения максимального ущерба жертве.
Чаще всего задействовались шифровальщики LockBit 3 Black и Mimic (на них пришлось до 50% инцидентов), а также Babuk, LokiLocker/BlackBit и Phobos.
К уже известным Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada добавились новые угрозы: MorLock, Head Mare, Masque, Enmity, Proton, Sauron.
Замечены также и те, которые используют для шифрования легитимное ПО: например, группы DCHelp с программой DiskCryptor, Salted2020, использующей OpenSSL и BitLocker, и др.
Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1000-$50 000), а для крупных и средних компаний (каждая пятая атака вымогателей), запросы преступников начинались от 5 млн рублей ($50 000).
Отличилась Shadow, орудующая под именем Darkstar, затребовав от одной из жертв выкуп в 300 млн рублей ($3 млн). А рекорд по скорости развития атаки поставила HsHarada: от «пробива» инфраструктуры до «разлива» шифровальщика - менее трех часов.
3. Высокое давление: число APT, атакующих Россию и СНГ выросло до 27 (в 2023 году было известно о 14 группировках), а групп хактивистов - до 17 (в 2023 - 13).
Наиболее активными были проукраинские APT Sticky Werewolf, Cloud Atlas, PhantomCore, а также пока неатрибутированные к конкретной стране Core Werewolf и XDSpy.
4. Почтовый шпион: рассылка вредоносных писем остаeтся одним из самых популярных векторов атаки на российские компании, а в «начинке» фишинговых писем чаще всего встречаются шпионское ПО и стилеры, их доля составила 69%.
В первой половине 2024-го самым популярным у киберпреступников, как и в предыдущие годы, было шпионское ПО AgentTesla.
После ликвидации его инфраструктуры летом этого года в лидеры вышли FormbookFormgrabber, инструмент для кражи учетных записей и персональных данных, и загрузчик CloudEyE.
5. Ссылки в зоне ru: в 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10 112, фишинговых ссылок - с 2441 до 3714, мошеннических (скам) ресурсов — с 5437 до 6398 на бренд.
Главный вывод - масштабы киберугроз растут по всем фронтам, что отразилось и в прогнозах на 2025:
- рост количества атакующих, атак на мобильные устройства, атак с использованием ИИ и целевых атак на цепочки поставок (Trusted Relationship).
- расширение фишинговых атак на многофакторную аутентификацию (MFA).
- появление новых мошеннических схем и модификации уже известных («Мамонт»).
- архивы останутся самым популярным доставщиком вредоносной нагрузки в фишинговых письмах, но их упаковка будет меняться.
- рост доступности вредоносного ПО расширит возможности кибератак.
В целом основные показатели по условным категориям представлены следующим образом:
1. Сливы этого года: в публичном доступе появилось 259 ранее не опубликованных баз данных российских компаний (в 2023 году их было 246).
В этом году в Telegram появилось множество как закрытых, так и публичных каналов, которые публикуют ранее приватные утечки либо повторно распространяют уже опубликованную информацию.
Самой объемной «мегаутечкой» стал архив из 404 баз данных.
2. Градус жадности: число ransomware-атак выросло на 44% по сравнению с предыдущим годом.
При этом в 10% подобных инцидентов целью киберпреступников был не выкуп, а диверсия для нанесения максимального ущерба жертве.
Чаще всего задействовались шифровальщики LockBit 3 Black и Mimic (на них пришлось до 50% инцидентов), а также Babuk, LokiLocker/BlackBit и Phobos.
К уже известным Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada добавились новые угрозы: MorLock, Head Mare, Masque, Enmity, Proton, Sauron.
Замечены также и те, которые используют для шифрования легитимное ПО: например, группы DCHelp с программой DiskCryptor, Salted2020, использующей OpenSSL и BitLocker, и др.
Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1000-$50 000), а для крупных и средних компаний (каждая пятая атака вымогателей), запросы преступников начинались от 5 млн рублей ($50 000).
Отличилась Shadow, орудующая под именем Darkstar, затребовав от одной из жертв выкуп в 300 млн рублей ($3 млн). А рекорд по скорости развития атаки поставила HsHarada: от «пробива» инфраструктуры до «разлива» шифровальщика - менее трех часов.
3. Высокое давление: число APT, атакующих Россию и СНГ выросло до 27 (в 2023 году было известно о 14 группировках), а групп хактивистов - до 17 (в 2023 - 13).
Наиболее активными были проукраинские APT Sticky Werewolf, Cloud Atlas, PhantomCore, а также пока неатрибутированные к конкретной стране Core Werewolf и XDSpy.
4. Почтовый шпион: рассылка вредоносных писем остаeтся одним из самых популярных векторов атаки на российские компании, а в «начинке» фишинговых писем чаще всего встречаются шпионское ПО и стилеры, их доля составила 69%.
В первой половине 2024-го самым популярным у киберпреступников, как и в предыдущие годы, было шпионское ПО AgentTesla.
После ликвидации его инфраструктуры летом этого года в лидеры вышли FormbookFormgrabber, инструмент для кражи учетных записей и персональных данных, и загрузчик CloudEyE.
5. Ссылки в зоне ru: в 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10 112, фишинговых ссылок - с 2441 до 3714, мошеннических (скам) ресурсов — с 5437 до 6398 на бренд.
Главный вывод - масштабы киберугроз растут по всем фронтам, что отразилось и в прогнозах на 2025:
- рост количества атакующих, атак на мобильные устройства, атак с использованием ИИ и целевых атак на цепочки поставок (Trusted Relationship).
- расширение фишинговых атак на многофакторную аутентификацию (MFA).
- появление новых мошеннических схем и модификации уже известных («Мамонт»).
- архивы останутся самым популярным доставщиком вредоносной нагрузки в фишинговых письмах, но их упаковка будет меняться.
- рост доступности вредоносного ПО расширит возможности кибератак.
Хабр
Циклон угроз: эксперты F.A.C.C.T. назвали основные тренды вымогателей, утечек и фишинга в 2024 году
Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, подвела итоги 2024 года. Наряду с атаками программ-вымогателей киберугрозой №1...
• 20 апреля 2021 года на презентации Apple был представлен очень интересный девайс — Apple AirTag. Идея таких Bluetooth-трекеров заключается в том, что они помогают нам в повседневной деятельности (искать предметы, которые вы успешно забыли где-либо). Как это работает? При помощи технологии Bluetooth различные девайсы экосистемы Apple определяют наличие метки поблизости и передают примерные или точные координаты в вашу учетную запись Apple. При помощи сервиса Apple Find My вы можете посмотреть, куда в итоге попала ваша вещь — в бюро находок или к новому владельцу. Самое главное, что все это происходит автоматически, и даже устанавливать ничего не надо. Все нужное для работы системы поиска AirTag уже встроено в iOS у сотен миллионов пользователей.
• Так вот, это я к тому, что когда данный девайс поступил в продажу, то люди начали следить за другими людьми с помощью AirTag. Спустя год и несколько громких дел Apple догадались выпустить обновление для своих устройств и реализовали оповещения, которые информируют человека о том, что рядом находится метка AirTag.
• Но ведь помимо AirTag в мире существует сотни других маячков, не так ли? И есть достаточно популярные устройства, которые никак не связаны с экосистемами по типу Samsung или Apple. Как в таком случае защититься от слежки? Такие решения есть! Еще и с открытым исходным кодом и для вашего #Android:
• AirGuard и MetaRadar: оба инструмента работают по следующему принципу — сканируют частоты, на которых работают Bluetooth-трекеры, а приложения определяют те идентификаторы, которые находятся постоянно с вами (наушники, часы, браслеты, которые принадлежат вам). Как только появляется новое устройство перемещающиеся с вами (порог срабатывания выставляется либо вручную, либо по умолчанию фиксируется 3 появления в зоне присутствия смартфона) приложения начинают вас информировать о неизвестном устройстве и показывают отметку на карте, где оно было зафиксировано. В среднем обнаружение может занимать от 30 минут до 3х часов. Пользуйтесь!
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Apple
AirTag
Attach AirTag to everyday items, like your keys or a backpack, to easily keep track of them in the Find My app.
• Предметом искусства может быть картина, скульптура, поэма, симфония и даже компьютерный вирус, как бы странно это не звучало. К сожалению, создание вирусов в наши дни сопряжено с извлечением выгоды из своего творения или причинением вреда окружающим. Однако на заре компьютерных технологий вирусописатели были истинными художниками, чьими красками были кусочки кода, умело смешанные они превращались в шедевр. И цель их была не столь обидеть кого-то, сколь заявить о себе, продемонстрировать свой ум и смекалку и, порой, просто позабавить людей. Сегодня поговорим о первом вирусе, который инфицировал исключительно файл
.exe на системе DOS:• Вирус под названием Icelandic попадал на компьютер в виде файла
.exe, при запуске которого вирус проверял наличие себя самого в памяти системы. Если его копии там не было, вирус становился резидентным. Также он модифицировал некоторые блоки памяти дабы скрыть свое присутствие. Это могло привести к падению системы, если программа пыталась провести запись на эти самые блоки. Вирус далее заражал каждый десятый исполняемый файл, добавляя в конце каждого свой код. Если же файл был формата «read only», Icelandic удалял свой код.• Если на компьютере использовались жесткие диски объемом более 10 мегабайт, вирус выбирал область FAT, которая не использовалась, и помечал ее как битую. Эта операция проводилась каждый раз, когда происходило заражение нового файла.
• Также существовало несколько разновидностей Icelandic, которые отличались друг от друга некоторыми функциями и свойствами:
- Icelandic.632 — заражал каждую третью программу. Помечал как битый один кластер на диске, если тот был больше 20 мегабайт;
- Icelandic.B — был усовершенствован для усложнения обнаружения некоторыми антивирусами, не производил никаких действий кроме распространения;
- Icelandic.Jol — подвариант Icelandic.B, который 24 декабря выводил сообщение на исландском «Gledileg jol» («Счастливого Рождества»);
- Icelandic.Mix1 — впервые обнаруженный в Израиле, вызывал искажение символов при передаче их серийным устройствам (к примеру, принтеры);
- Icelandic.Saratoga — с 50% вероятностью заражал запущенный файл.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи из Лаборатории Касперского продолжают подводить итоги уходящего года и делать прогнозные оценки по угрозам на следующий, на этот раз связанным с даркнетом.
1. Как и предполагали в прошлом году исследователи, в 2024 году число сервисов, предлагающих крипторы в функционале своих коммерческих решений для обхода защитного ПО, увеличилось.
Цены на подобные инструменты остались прежними: от 100 долл. в месяц за обычные крипторы до 20 000 долл. за частные премиум-подписки. Последние постепенно вытесняют публичные предложения.
2. Продолжили развиваться сервисы распространения загрузчиков.
В даркнете фигурировали загрузчики с разной функциональностью: от массовых и дешевых до узкоспециализированных, разработанных по индивидуальным требованиям и продаваемых за тысячи долларов.
Кроме того, злоумышленники все чаще стали использовать несколько языков программирования.
Например, клиентская часть вредоносного ПО может быть разработана на C++, а серверная административная панель - на Go.
Помимо разнообразия предложений загрузчиков, также отмечен спрос на специфические инструменты, которые запускают определенные цепочки заражения.
4. В 2024 году на теневых рынках фиксировался рост активности дрейнеров, инструментов для кражи криптоактивов, таких как токены или NFT.
При этом количество уникальных тем с обсуждениями дрейнеров на подпольных рынках выросло с 55 в 2022 году до 129 в 2024 году.
Разработчики дрейнеров все больше внимания уделяют работе с постоянными клиентами, при этом основная часть деятельности ведется через каналы, доступные только по приглашению.
С функциональной точки зрения дрейнеры претерпели мало изменений, преимущественно добавлялась поддержка новых видов криптоактивов — монет, токенов и NFT.
Кроме того, в 2024 году появился первый мобильный дрейнер.
5. Схемы генерации черного трафика на подпольных рынках сохраняли свою популярность в 2024 году.
Подобные услуги активно продавались на подпольных рынках, а стабильный спрос подчеркивал эффективность распространения вредоносного ПО через популярные рекламные платформы.
6. Рынок же биткойн-миксеров и сервисов анонимизации криптовалюты существенных изменений не показал.
Как прогнозируют в ЛК, в 2025 году будут актуальны следующие тренды:
- утечки данных через подрядчиков;
- миграция преступной деятельности из Telegram на форумы даркнета;
- реализация масштабных и громких операций правоохранителей против APT-группировок;
- сервисы по распространению стилеров и дрейнеров станут еще популярнее в даркнете;
- фрагментация групп вымогателей;
- эскалация киберугроз на Ближнем Востоке: расцвет хактивизма и вымогательства.
1. Как и предполагали в прошлом году исследователи, в 2024 году число сервисов, предлагающих крипторы в функционале своих коммерческих решений для обхода защитного ПО, увеличилось.
Цены на подобные инструменты остались прежними: от 100 долл. в месяц за обычные крипторы до 20 000 долл. за частные премиум-подписки. Последние постепенно вытесняют публичные предложения.
2. Продолжили развиваться сервисы распространения загрузчиков.
В даркнете фигурировали загрузчики с разной функциональностью: от массовых и дешевых до узкоспециализированных, разработанных по индивидуальным требованиям и продаваемых за тысячи долларов.
Кроме того, злоумышленники все чаще стали использовать несколько языков программирования.
Например, клиентская часть вредоносного ПО может быть разработана на C++, а серверная административная панель - на Go.
Помимо разнообразия предложений загрузчиков, также отмечен спрос на специфические инструменты, которые запускают определенные цепочки заражения.
4. В 2024 году на теневых рынках фиксировался рост активности дрейнеров, инструментов для кражи криптоактивов, таких как токены или NFT.
При этом количество уникальных тем с обсуждениями дрейнеров на подпольных рынках выросло с 55 в 2022 году до 129 в 2024 году.
Разработчики дрейнеров все больше внимания уделяют работе с постоянными клиентами, при этом основная часть деятельности ведется через каналы, доступные только по приглашению.
С функциональной точки зрения дрейнеры претерпели мало изменений, преимущественно добавлялась поддержка новых видов криптоактивов — монет, токенов и NFT.
Кроме того, в 2024 году появился первый мобильный дрейнер.
5. Схемы генерации черного трафика на подпольных рынках сохраняли свою популярность в 2024 году.
Подобные услуги активно продавались на подпольных рынках, а стабильный спрос подчеркивал эффективность распространения вредоносного ПО через популярные рекламные платформы.
6. Рынок же биткойн-миксеров и сервисов анонимизации криптовалюты существенных изменений не показал.
Как прогнозируют в ЛК, в 2025 году будут актуальны следующие тренды:
- утечки данных через подрядчиков;
- миграция преступной деятельности из Telegram на форумы даркнета;
- реализация масштабных и громких операций правоохранителей против APT-группировок;
- сервисы по распространению стилеров и дрейнеров станут еще популярнее в даркнете;
- фрагментация групп вымогателей;
- эскалация киберугроз на Ближнем Востоке: расцвет хактивизма и вымогательства.
securelist.ru
Обзор теневого рынка и прогнозы по угрозам из даркнета на 2025 год
Эксперты «Лаборатории Касперского» анализируют тренды теневого рынка за 2024 год, включая рост популярности крипторов, загрузчиков и криптодрейнеров в даркнете, и делятся прогнозами на 2025 год.
• Еще один бесплатный курс от Selectel для новичков, который описывает установку и настройку базы данных MySQL и как ими управлять, Вы научитесь работать с таблицами и разными типами данных, создавать ключи и настраивать права доступа. В конце курса — подборка полезных книг, которые точно пригодятся в начале пути.
- Как установить MySQL на Windows;
- Как установить и настроить MySQL в Ubuntu 20.04;
- Создание базы данных в MySQL;
- Типы данных в MySQL;
- Как создавать таблицы в MySQL (Create Table);
- Создание нового пользователя и настройка прав в MySQL;
- Сброс пароля root в MySQL;
- ALTER TABLE — изменение таблицы в SQL;
- Insert в MySQL — добавление данных в таблицу;
- Работа с командой UPDATE — как обновить данные в таблице MySQL;
- Как установить и использовать MySQL Workbench;
- Как создать первичные и внешние ключи MySQL;
- Книги по MySQL: пособия для начинающих и продолжающих.
#MySQL
Please open Telegram to view this post
VIEW IN TELEGRAM
• До появления поисковиков пользователь был вынужден заходить на FTP-серверы и вручную просматривать каждый документ, ориентируясь только на краткое описание. Вы не могли ввести куда-то запрос из серии: «Сколько весит слон?» и получить мгновенную пачку ответов. Проблему вызвался решить Алан Эмтейдж, который в 1990 году разработал первый в мире поисковик Archie на Unix.
• Если кратко, Archie представлял собой набор скриптов, которые выполняли поиск по списку общедоступных FTP-серверов с использованием протокола Telnet и создавали индексные файлы. Пользователь вводил тему и получал в ответ список адресов в виде доступного каталога документов. При этом Archie оказался удивительно производительным: мог обработать до 2 миллионов файлов, распределенных на сотнях серверов всего за пару минут.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Fortinet предупреждает о критической уязвимости безопасности в Wireless LAN Manager (FortiWLM), которая может привести к раскрытию конфиденциальной информации.
CVE-2023-34990 имеет оценку CVSS 9,6 и позволяет удаленному неаутентифицированному злоумышленнику прочитать конфиденциальные файлы.
Согласно описанию уязвимости в NIST (NVD), уязвимость обхода пути также может быть использована злоумышленником для выполнения несанкционированного кода или команд с помощью специально созданных запросов к конечной точке /ems/cgi-bin/ezrf_lighttpd.cgi.
Она затрагивает FortiWLM версий 8.6.0–8.6.5 (исправлено в 8.6.6 и выше) и 8.5.0–8.5.4 (исправлено в 8.5.5 и выше).
Раскрытие приписывается исследователю безопасности Horizon3.ai Заку Хэнли.
При этом, CVE-2023-34990 относится к уязвимости ограниченного чтения файлов без аутентификации, которую Horizon3.ai раскрыла еще в марте в составе широкого набора из шести недостатков в FortiWLM.
Проблема возникает из-за отсутствия проверки входных данных в параметрах запроса, что позволяет злоумышленнику просматривать каталоги и читать любые файлы журналов в системе.
Успешная эксплуатация CVE-2023-34990 может позволить злоумышленнику прочитать файлы журнала FortiWLM и получить идентификатор сеанса пользователя и логин, что позволит ему также эксплуатировать аутентифицированные конечные точки.
Кроме того, злоумышленники могут воспользоваться тем, что идентификаторы веб-сеансов не меняются между сеансами пользователей, чтобы перехватить их и получить административные разрешения на доступ к устройству.
И это еще не все.
Злоумышленник также может объединить CVE-2023-34990 с CVE-2023-48782 (оценка CVSS: 8,8), уязвимостью аутентифицированного внедрения команд, которая также была исправлена в FortiWLM 8.6.6 для получения RCE в контексте root.
Помимо нее Fortinet также исправила серьезную уязвимость внедрения команд CVE-2024-48889 (CVSS: 7.2) в FortiManager, которая позволяет аутентифицированному удаленному злоумышленнику выполнить несанкционированный код с помощью запросов, созданных FGFM.
Учитывая, что устройства Fortinet становятся объектом первоочередных устремлений киберподполья, крайне важно обновить свои экземпляры для защиты от потенциальных угроз.
CVE-2023-34990 имеет оценку CVSS 9,6 и позволяет удаленному неаутентифицированному злоумышленнику прочитать конфиденциальные файлы.
Согласно описанию уязвимости в NIST (NVD), уязвимость обхода пути также может быть использована злоумышленником для выполнения несанкционированного кода или команд с помощью специально созданных запросов к конечной точке /ems/cgi-bin/ezrf_lighttpd.cgi.
Она затрагивает FortiWLM версий 8.6.0–8.6.5 (исправлено в 8.6.6 и выше) и 8.5.0–8.5.4 (исправлено в 8.5.5 и выше).
Раскрытие приписывается исследователю безопасности Horizon3.ai Заку Хэнли.
При этом, CVE-2023-34990 относится к уязвимости ограниченного чтения файлов без аутентификации, которую Horizon3.ai раскрыла еще в марте в составе широкого набора из шести недостатков в FortiWLM.
Проблема возникает из-за отсутствия проверки входных данных в параметрах запроса, что позволяет злоумышленнику просматривать каталоги и читать любые файлы журналов в системе.
Успешная эксплуатация CVE-2023-34990 может позволить злоумышленнику прочитать файлы журнала FortiWLM и получить идентификатор сеанса пользователя и логин, что позволит ему также эксплуатировать аутентифицированные конечные точки.
Кроме того, злоумышленники могут воспользоваться тем, что идентификаторы веб-сеансов не меняются между сеансами пользователей, чтобы перехватить их и получить административные разрешения на доступ к устройству.
И это еще не все.
Злоумышленник также может объединить CVE-2023-34990 с CVE-2023-48782 (оценка CVSS: 8,8), уязвимостью аутентифицированного внедрения команд, которая также была исправлена в FortiWLM 8.6.6 для получения RCE в контексте root.
Помимо нее Fortinet также исправила серьезную уязвимость внедрения команд CVE-2024-48889 (CVSS: 7.2) в FortiManager, которая позволяет аутентифицированному удаленному злоумышленнику выполнить несанкционированный код с помощью запросов, созданных FGFM.
Учитывая, что устройства Fortinet становятся объектом первоочередных устремлений киберподполья, крайне важно обновить свои экземпляры для защиты от потенциальных угроз.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
• Есть такая занимательная статистика, которая демонстрирует топ самых продаваемых мобильных телефонов в истории. Первое место в этой статистике занимает Nokia 1100, а общее число продаж этого телефона перевалило за 250 миллионов. Вот Вам забавная история, которая случилась в далеком 2009 году...
• В процессе расследования дела о почтовом мошенничестве в Нидерландах полиция столкнулась с весьма интересным фактом – неизвестный покупатель отдал 25 тысяч евро за телефон Nokia 1100. Данная бюджетная модель была выпущена в конце 2003 г. и предназначалась для развивающихся рынков, а цена телефона составляла менее 100 евро.
• В попытках выяснить, почему хакеры готовы платить такие большие деньги за дешевый и внешне непримечательный аппарат, полиция обратилась к компании Ultrascan Advanced Global Investigations. Эксперты Ultrascan выяснили, что хакеров привлекают не все аппараты Nokia 1100, а только изготовленные на фабрике Nokia в г. Бохум (Германия).
• Эта серия аппаратов была признана бракованной из-за проблем в устаревшем программном обеспечении, созданном еще в 2002 г. За счет этого самого «брака» хакеры научились перехватывать чужие SMS сообщения, в частности, одноразовые коды для банковских транзакций — mTAN (mobile Transaction Authentication Number), которые европейские банки присылали своим клиентам по SMS.
• Таким образом, получается, что хакерам оставалось лишь подключить этот телефон (без какой бы то ни было перепрошивки) к снифферу наподобие #WireShark и дело в шляпе — можно перехватывать SMS, а затем перевести деньги на свой счет.
• Интересно заметить, что на момент инцидента (2009 год), компания Nokia продала во всем мире более 200 миллионов экземпляров Nokia 1100 и моделей на ее базе, однако количество уязвимых аппаратов остается неизвестным...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Возвращаясь к ботнетам, исследователи BitSight сообщают, что о резком увеличении BadBox, который смог заразить 192 000 устройств Android после того, как его обезвредили немецкие спецслужбы.
В BitSight предупреждают, что вредоносное ПО, по всей видимости, расширило охват своего воздействия за пределы китайских брендов Android-устройств, заражая теперь более известные и распространенные, такие как телевизоры Yandex и смартфоны Hisense.
BadBox - вредоносное ПО для Android, предположительно, на базе штамма Triada, которое нацелено на устройства посредством атак на прошивки в цепочке поставок, через инсайдеров, либо путем внедрения на этапе распространения продукции.
Впервые был обнаружен на Android TV-приставке T95, купленной на Amazon канадским ИБ-консультантом Дэниелом Милишичем в начале 2023 года. С тех пор вредоносная кампания охватила и другие малоизвестные продукты, продаваемые в Интернете.
Главной целью кампании BadBox является финансовая выгода, которая достигается путем задействования устройства в качестве резидентного прокси или для совершения мошенничества с рекламой.
Кроме того, вредоносное ПО BadBox может использоваться для установки дополнительных вредоносных программ на устройства Android, позволяя выполнять более серьезные вредоносные операции.
На прошлой неделе представители Федеральное ведомство по ИБ Германии (BSI) отрапортовали об успешной операции, в результате которой силовикам удалось нейтрализовать активность BadBox в стране, взломав один из С2-серверов и отключив связь с 30 000 устройств Android.
В числе них были цифровые фоторамки и устройства для потоковой передачи мультимедиа на базе Android, но BSI предупредила, что BadBox, скорее всего, может присутствовать также и в других категориях продуктов.
Аналогичным образом один из С2 удалось похакать исследователям BitSight, которые констатировали, что BADBOX несмотря на усилия немцев живее всех живых.
Только за 24 часа наблюдения Bitsight детектировали более 160 000 зараженных устройств, причем число продолжает расти.
Число обнаруженных устройств значительно превысило ранее наблюдавшееся пиковое значение и достигло 74 000.
В числе зараженных устройств - очень популярный в России телевизор Yandex 4K QLED Smart TV и смартфон Hisense T963.
Основная масса зараженных девайсов располагается в России (до 113 000), затем следуют Китай (до 60 000), Индия, Белоруссия, Бразилия и Украина (от 1800 до 30 000).
BitSight отмечает, что недавняя операция BSI никак фактически не повлияла на телеметрические данные, поскольку действие было географически ограничено, что позволило вредоносному ПО BadBox для Android беспрепятственно продолжить свою деятельность.
Будем следить.
В BitSight предупреждают, что вредоносное ПО, по всей видимости, расширило охват своего воздействия за пределы китайских брендов Android-устройств, заражая теперь более известные и распространенные, такие как телевизоры Yandex и смартфоны Hisense.
BadBox - вредоносное ПО для Android, предположительно, на базе штамма Triada, которое нацелено на устройства посредством атак на прошивки в цепочке поставок, через инсайдеров, либо путем внедрения на этапе распространения продукции.
Впервые был обнаружен на Android TV-приставке T95, купленной на Amazon канадским ИБ-консультантом Дэниелом Милишичем в начале 2023 года. С тех пор вредоносная кампания охватила и другие малоизвестные продукты, продаваемые в Интернете.
Главной целью кампании BadBox является финансовая выгода, которая достигается путем задействования устройства в качестве резидентного прокси или для совершения мошенничества с рекламой.
Кроме того, вредоносное ПО BadBox может использоваться для установки дополнительных вредоносных программ на устройства Android, позволяя выполнять более серьезные вредоносные операции.
На прошлой неделе представители Федеральное ведомство по ИБ Германии (BSI) отрапортовали об успешной операции, в результате которой силовикам удалось нейтрализовать активность BadBox в стране, взломав один из С2-серверов и отключив связь с 30 000 устройств Android.
В числе них были цифровые фоторамки и устройства для потоковой передачи мультимедиа на базе Android, но BSI предупредила, что BadBox, скорее всего, может присутствовать также и в других категориях продуктов.
Аналогичным образом один из С2 удалось похакать исследователям BitSight, которые констатировали, что BADBOX несмотря на усилия немцев живее всех живых.
Только за 24 часа наблюдения Bitsight детектировали более 160 000 зараженных устройств, причем число продолжает расти.
Число обнаруженных устройств значительно превысило ранее наблюдавшееся пиковое значение и достигло 74 000.
В числе зараженных устройств - очень популярный в России телевизор Yandex 4K QLED Smart TV и смартфон Hisense T963.
Основная масса зараженных девайсов располагается в России (до 113 000), затем следуют Китай (до 60 000), Индия, Белоруссия, Бразилия и Украина (от 1800 до 30 000).
BitSight отмечает, что недавняя операция BSI никак фактически не повлияла на телеметрические данные, поскольку действие было географически ограничено, что позволило вредоносному ПО BadBox для Android беспрепятственно продолжить свою деятельность.
Будем следить.
Bitsight
BADBOX Botnet Is Back | Bitsight
The TRACE team investigated BADBOX, which is a large-scale cybercriminal operation selling off-brand Android TV boxes, smartphones, and other Android electronics with preinstalled malware.