• Если покопаться в системных файлах Windows 95, там можно было обнаружить недокументированные функции с именами наподобие BEAR35, BUNNY73 и PIGLET12. Откуда взялись эти дурацкие имена? Оказывается, что у них занятная история:
• «Мишка» (Bear) был талисманом Windows 3.1. Это был плюшевый мишка, которого всюду таскал за собой Дэйв — один из самых главных программистов, занятых в проекте. Когда он приходил к кому-нибудь в офис, он запускал мишку в монитор, чтобы на него отвлеклись.
• Кроме имён системных функций, Мишка засветился ещё в двух местах в Windows 3.1. В диалоге выбора шрифта для DOS-окна, если выбрать маленький шрифт, можно было увидеть в списке файлов несуществующий файл
BEAR.EXE.
• Мишка перенёс немало издевательств. Однажды через его голову продели шнур питания, от уха до уха. В другой раз ему в зад запихали петарду. Ко времени Windows 95 состояние Мишки стало уже плачевным, так что его отставили с должности, и заменили розовым кроликом, получившим кличку Кролик (Bunny). Но Мишка-ветеран не отправился на помойку: дети одного из менеджеров сжалились над ним, и неплохо подлатали.
• Дэйв занимался в основном GUI, так что названия
BEAR
и BUNNY
получали функции, относящиеся к интерфейсу с пользователем. Ядром занимался Майк, а у него был плюшевый диснеевский Пятачок. Так что когда нужно было назвать в ядре новую функцию для внутреннего использования, её называли PIGLET.
• Примечание: BEAR и BUNNY до сих пор живы в 32-битных версиях Windows. Раньше BEAR жил в
\Windows\System32\user.exe,
а BUNNY в \Windows\System32\krnl386.exe;
но начиная с Windows 8, они переехали в каталог \Windows\WinSxS\x86_microsoft-windows-ntvdm-system32-payload_31bf3856ad364e35_<версия>_none_<хэш>\
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи F.A.С.С.T. в новом отчете подводят итоги 2024 и прогнозируют основные тренды на 2025 год.
В целом основные показатели по условным категориям представлены следующим образом:
1. Сливы этого года: в публичном доступе появилось 259 ранее не опубликованных баз данных российских компаний (в 2023 году их было 246).
В этом году в Telegram появилось множество как закрытых, так и публичных каналов, которые публикуют ранее приватные утечки либо повторно распространяют уже опубликованную информацию.
Самой объемной «мегаутечкой» стал архив из 404 баз данных.
2. Градус жадности: число ransomware-атак выросло на 44% по сравнению с предыдущим годом.
При этом в 10% подобных инцидентов целью киберпреступников был не выкуп, а диверсия для нанесения максимального ущерба жертве.
Чаще всего задействовались шифровальщики LockBit 3 Black и Mimic (на них пришлось до 50% инцидентов), а также Babuk, LokiLocker/BlackBit и Phobos.
К уже известным Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada добавились новые угрозы: MorLock, Head Mare, Masque, Enmity, Proton, Sauron.
Замечены также и те, которые используют для шифрования легитимное ПО: например, группы DCHelp с программой DiskCryptor, Salted2020, использующей OpenSSL и BitLocker, и др.
Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1000-$50 000), а для крупных и средних компаний (каждая пятая атака вымогателей), запросы преступников начинались от 5 млн рублей ($50 000).
Отличилась Shadow, орудующая под именем Darkstar, затребовав от одной из жертв выкуп в 300 млн рублей ($3 млн). А рекорд по скорости развития атаки поставила HsHarada: от «пробива» инфраструктуры до «разлива» шифровальщика - менее трех часов.
3. Высокое давление: число APT, атакующих Россию и СНГ выросло до 27 (в 2023 году было известно о 14 группировках), а групп хактивистов - до 17 (в 2023 - 13).
Наиболее активными были проукраинские APT Sticky Werewolf, Cloud Atlas, PhantomCore, а также пока неатрибутированные к конкретной стране Core Werewolf и XDSpy.
4. Почтовый шпион: рассылка вредоносных писем остаeтся одним из самых популярных векторов атаки на российские компании, а в «начинке» фишинговых писем чаще всего встречаются шпионское ПО и стилеры, их доля составила 69%.
В первой половине 2024-го самым популярным у киберпреступников, как и в предыдущие годы, было шпионское ПО AgentTesla.
После ликвидации его инфраструктуры летом этого года в лидеры вышли FormbookFormgrabber, инструмент для кражи учетных записей и персональных данных, и загрузчик CloudEyE.
5. Ссылки в зоне ru: в 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10 112, фишинговых ссылок - с 2441 до 3714, мошеннических (скам) ресурсов — с 5437 до 6398 на бренд.
Главный вывод - масштабы киберугроз растут по всем фронтам, что отразилось и в прогнозах на 2025:
- рост количества атакующих, атак на мобильные устройства, атак с использованием ИИ и целевых атак на цепочки поставок (Trusted Relationship).
- расширение фишинговых атак на многофакторную аутентификацию (MFA).
- появление новых мошеннических схем и модификации уже известных («Мамонт»).
- архивы останутся самым популярным доставщиком вредоносной нагрузки в фишинговых письмах, но их упаковка будет меняться.
- рост доступности вредоносного ПО расширит возможности кибератак.
В целом основные показатели по условным категориям представлены следующим образом:
1. Сливы этого года: в публичном доступе появилось 259 ранее не опубликованных баз данных российских компаний (в 2023 году их было 246).
В этом году в Telegram появилось множество как закрытых, так и публичных каналов, которые публикуют ранее приватные утечки либо повторно распространяют уже опубликованную информацию.
Самой объемной «мегаутечкой» стал архив из 404 баз данных.
2. Градус жадности: число ransomware-атак выросло на 44% по сравнению с предыдущим годом.
При этом в 10% подобных инцидентов целью киберпреступников был не выкуп, а диверсия для нанесения максимального ущерба жертве.
Чаще всего задействовались шифровальщики LockBit 3 Black и Mimic (на них пришлось до 50% инцидентов), а также Babuk, LokiLocker/BlackBit и Phobos.
К уже известным Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada добавились новые угрозы: MorLock, Head Mare, Masque, Enmity, Proton, Sauron.
Замечены также и те, которые используют для шифрования легитимное ПО: например, группы DCHelp с программой DiskCryptor, Salted2020, использующей OpenSSL и BitLocker, и др.
Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1000-$50 000), а для крупных и средних компаний (каждая пятая атака вымогателей), запросы преступников начинались от 5 млн рублей ($50 000).
Отличилась Shadow, орудующая под именем Darkstar, затребовав от одной из жертв выкуп в 300 млн рублей ($3 млн). А рекорд по скорости развития атаки поставила HsHarada: от «пробива» инфраструктуры до «разлива» шифровальщика - менее трех часов.
3. Высокое давление: число APT, атакующих Россию и СНГ выросло до 27 (в 2023 году было известно о 14 группировках), а групп хактивистов - до 17 (в 2023 - 13).
Наиболее активными были проукраинские APT Sticky Werewolf, Cloud Atlas, PhantomCore, а также пока неатрибутированные к конкретной стране Core Werewolf и XDSpy.
4. Почтовый шпион: рассылка вредоносных писем остаeтся одним из самых популярных векторов атаки на российские компании, а в «начинке» фишинговых писем чаще всего встречаются шпионское ПО и стилеры, их доля составила 69%.
В первой половине 2024-го самым популярным у киберпреступников, как и в предыдущие годы, было шпионское ПО AgentTesla.
После ликвидации его инфраструктуры летом этого года в лидеры вышли FormbookFormgrabber, инструмент для кражи учетных записей и персональных данных, и загрузчик CloudEyE.
5. Ссылки в зоне ru: в 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10 112, фишинговых ссылок - с 2441 до 3714, мошеннических (скам) ресурсов — с 5437 до 6398 на бренд.
Главный вывод - масштабы киберугроз растут по всем фронтам, что отразилось и в прогнозах на 2025:
- рост количества атакующих, атак на мобильные устройства, атак с использованием ИИ и целевых атак на цепочки поставок (Trusted Relationship).
- расширение фишинговых атак на многофакторную аутентификацию (MFA).
- появление новых мошеннических схем и модификации уже известных («Мамонт»).
- архивы останутся самым популярным доставщиком вредоносной нагрузки в фишинговых письмах, но их упаковка будет меняться.
- рост доступности вредоносного ПО расширит возможности кибератак.
Хабр
Циклон угроз: эксперты F.A.C.C.T. назвали основные тренды вымогателей, утечек и фишинга в 2024 году
Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, подвела итоги 2024 года. Наряду с атаками программ-вымогателей киберугрозой №1...
• 20 апреля 2021 года на презентации Apple был представлен очень интересный девайс — Apple AirTag. Идея таких Bluetooth-трекеров заключается в том, что они помогают нам в повседневной деятельности (искать предметы, которые вы успешно забыли где-либо). Как это работает? При помощи технологии Bluetooth различные девайсы экосистемы Apple определяют наличие метки поблизости и передают примерные или точные координаты в вашу учетную запись Apple. При помощи сервиса Apple Find My вы можете посмотреть, куда в итоге попала ваша вещь — в бюро находок или к новому владельцу. Самое главное, что все это происходит автоматически, и даже устанавливать ничего не надо. Все нужное для работы системы поиска AirTag уже встроено в iOS у сотен миллионов пользователей.
• Так вот, это я к тому, что когда данный девайс поступил в продажу, то люди начали следить за другими людьми с помощью AirTag. Спустя год и несколько громких дел Apple догадались выпустить обновление для своих устройств и реализовали оповещения, которые информируют человека о том, что рядом находится метка AirTag.
• Но ведь помимо AirTag в мире существует сотни других маячков, не так ли? И есть достаточно популярные устройства, которые никак не связаны с экосистемами по типу Samsung или Apple. Как в таком случае защититься от слежки? Такие решения есть! Еще и с открытым исходным кодом и для вашего #Android:
• AirGuard и MetaRadar: оба инструмента работают по следующему принципу — сканируют частоты, на которых работают Bluetooth-трекеры, а приложения определяют те идентификаторы, которые находятся постоянно с вами (наушники, часы, браслеты, которые принадлежат вам). Как только появляется новое устройство перемещающиеся с вами (порог срабатывания выставляется либо вручную, либо по умолчанию фиксируется 3 появления в зоне присутствия смартфона) приложения начинают вас информировать о неизвестном устройстве и показывают отметку на карте, где оно было зафиксировано. В среднем обнаружение может занимать от 30 минут до 3х часов. Пользуйтесь!
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Apple
AirTag
Attach AirTag to everyday items, like your keys or a backpack, to easily keep track of them in the Find My app.
• Предметом искусства может быть картина, скульптура, поэма, симфония и даже компьютерный вирус, как бы странно это не звучало. К сожалению, создание вирусов в наши дни сопряжено с извлечением выгоды из своего творения или причинением вреда окружающим. Однако на заре компьютерных технологий вирусописатели были истинными художниками, чьими красками были кусочки кода, умело смешанные они превращались в шедевр. И цель их была не столь обидеть кого-то, сколь заявить о себе, продемонстрировать свой ум и смекалку и, порой, просто позабавить людей. Сегодня поговорим о первом вирусе, который инфицировал исключительно файл
.exe
на системе DOS:• Вирус под названием Icelandic попадал на компьютер в виде файла
.exe
, при запуске которого вирус проверял наличие себя самого в памяти системы. Если его копии там не было, вирус становился резидентным. Также он модифицировал некоторые блоки памяти дабы скрыть свое присутствие. Это могло привести к падению системы, если программа пыталась провести запись на эти самые блоки. Вирус далее заражал каждый десятый исполняемый файл, добавляя в конце каждого свой код. Если же файл был формата «read only», Icelandic удалял свой код.• Если на компьютере использовались жесткие диски объемом более 10 мегабайт, вирус выбирал область FAT, которая не использовалась, и помечал ее как битую. Эта операция проводилась каждый раз, когда происходило заражение нового файла.
• Также существовало несколько разновидностей Icelandic, которые отличались друг от друга некоторыми функциями и свойствами:
- Icelandic.632 — заражал каждую третью программу. Помечал как битый один кластер на диске, если тот был больше 20 мегабайт;
- Icelandic.B — был усовершенствован для усложнения обнаружения некоторыми антивирусами, не производил никаких действий кроме распространения;
- Icelandic.Jol — подвариант Icelandic.B, который 24 декабря выводил сообщение на исландском «Gledileg jol» («Счастливого Рождества»);
- Icelandic.Mix1 — впервые обнаруженный в Израиле, вызывал искажение символов при передаче их серийным устройствам (к примеру, принтеры);
- Icelandic.Saratoga — с 50% вероятностью заражал запущенный файл.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи из Лаборатории Касперского продолжают подводить итоги уходящего года и делать прогнозные оценки по угрозам на следующий, на этот раз связанным с даркнетом.
1. Как и предполагали в прошлом году исследователи, в 2024 году число сервисов, предлагающих крипторы в функционале своих коммерческих решений для обхода защитного ПО, увеличилось.
Цены на подобные инструменты остались прежними: от 100 долл. в месяц за обычные крипторы до 20 000 долл. за частные премиум-подписки. Последние постепенно вытесняют публичные предложения.
2. Продолжили развиваться сервисы распространения загрузчиков.
В даркнете фигурировали загрузчики с разной функциональностью: от массовых и дешевых до узкоспециализированных, разработанных по индивидуальным требованиям и продаваемых за тысячи долларов.
Кроме того, злоумышленники все чаще стали использовать несколько языков программирования.
Например, клиентская часть вредоносного ПО может быть разработана на C++, а серверная административная панель - на Go.
Помимо разнообразия предложений загрузчиков, также отмечен спрос на специфические инструменты, которые запускают определенные цепочки заражения.
4. В 2024 году на теневых рынках фиксировался рост активности дрейнеров, инструментов для кражи криптоактивов, таких как токены или NFT.
При этом количество уникальных тем с обсуждениями дрейнеров на подпольных рынках выросло с 55 в 2022 году до 129 в 2024 году.
Разработчики дрейнеров все больше внимания уделяют работе с постоянными клиентами, при этом основная часть деятельности ведется через каналы, доступные только по приглашению.
С функциональной точки зрения дрейнеры претерпели мало изменений, преимущественно добавлялась поддержка новых видов криптоактивов — монет, токенов и NFT.
Кроме того, в 2024 году появился первый мобильный дрейнер.
5. Схемы генерации черного трафика на подпольных рынках сохраняли свою популярность в 2024 году.
Подобные услуги активно продавались на подпольных рынках, а стабильный спрос подчеркивал эффективность распространения вредоносного ПО через популярные рекламные платформы.
6. Рынок же биткойн-миксеров и сервисов анонимизации криптовалюты существенных изменений не показал.
Как прогнозируют в ЛК, в 2025 году будут актуальны следующие тренды:
- утечки данных через подрядчиков;
- миграция преступной деятельности из Telegram на форумы даркнета;
- реализация масштабных и громких операций правоохранителей против APT-группировок;
- сервисы по распространению стилеров и дрейнеров станут еще популярнее в даркнете;
- фрагментация групп вымогателей;
- эскалация киберугроз на Ближнем Востоке: расцвет хактивизма и вымогательства.
1. Как и предполагали в прошлом году исследователи, в 2024 году число сервисов, предлагающих крипторы в функционале своих коммерческих решений для обхода защитного ПО, увеличилось.
Цены на подобные инструменты остались прежними: от 100 долл. в месяц за обычные крипторы до 20 000 долл. за частные премиум-подписки. Последние постепенно вытесняют публичные предложения.
2. Продолжили развиваться сервисы распространения загрузчиков.
В даркнете фигурировали загрузчики с разной функциональностью: от массовых и дешевых до узкоспециализированных, разработанных по индивидуальным требованиям и продаваемых за тысячи долларов.
Кроме того, злоумышленники все чаще стали использовать несколько языков программирования.
Например, клиентская часть вредоносного ПО может быть разработана на C++, а серверная административная панель - на Go.
Помимо разнообразия предложений загрузчиков, также отмечен спрос на специфические инструменты, которые запускают определенные цепочки заражения.
4. В 2024 году на теневых рынках фиксировался рост активности дрейнеров, инструментов для кражи криптоактивов, таких как токены или NFT.
При этом количество уникальных тем с обсуждениями дрейнеров на подпольных рынках выросло с 55 в 2022 году до 129 в 2024 году.
Разработчики дрейнеров все больше внимания уделяют работе с постоянными клиентами, при этом основная часть деятельности ведется через каналы, доступные только по приглашению.
С функциональной точки зрения дрейнеры претерпели мало изменений, преимущественно добавлялась поддержка новых видов криптоактивов — монет, токенов и NFT.
Кроме того, в 2024 году появился первый мобильный дрейнер.
5. Схемы генерации черного трафика на подпольных рынках сохраняли свою популярность в 2024 году.
Подобные услуги активно продавались на подпольных рынках, а стабильный спрос подчеркивал эффективность распространения вредоносного ПО через популярные рекламные платформы.
6. Рынок же биткойн-миксеров и сервисов анонимизации криптовалюты существенных изменений не показал.
Как прогнозируют в ЛК, в 2025 году будут актуальны следующие тренды:
- утечки данных через подрядчиков;
- миграция преступной деятельности из Telegram на форумы даркнета;
- реализация масштабных и громких операций правоохранителей против APT-группировок;
- сервисы по распространению стилеров и дрейнеров станут еще популярнее в даркнете;
- фрагментация групп вымогателей;
- эскалация киберугроз на Ближнем Востоке: расцвет хактивизма и вымогательства.
securelist.ru
Обзор теневого рынка и прогнозы по угрозам из даркнета на 2025 год
Эксперты «Лаборатории Касперского» анализируют тренды теневого рынка за 2024 год, включая рост популярности крипторов, загрузчиков и криптодрейнеров в даркнете, и делятся прогнозами на 2025 год.
• Еще один бесплатный курс от Selectel для новичков, который описывает установку и настройку базы данных MySQL и как ими управлять, Вы научитесь работать с таблицами и разными типами данных, создавать ключи и настраивать права доступа. В конце курса — подборка полезных книг, которые точно пригодятся в начале пути.
- Как установить MySQL на Windows;
- Как установить и настроить MySQL в Ubuntu 20.04;
- Создание базы данных в MySQL;
- Типы данных в MySQL;
- Как создавать таблицы в MySQL (Create Table);
- Создание нового пользователя и настройка прав в MySQL;
- Сброс пароля root в MySQL;
- ALTER TABLE — изменение таблицы в SQL;
- Insert в MySQL — добавление данных в таблицу;
- Работа с командой UPDATE — как обновить данные в таблице MySQL;
- Как установить и использовать MySQL Workbench;
- Как создать первичные и внешние ключи MySQL;
- Книги по MySQL: пособия для начинающих и продолжающих.
#MySQL
Please open Telegram to view this post
VIEW IN TELEGRAM
• До появления поисковиков пользователь был вынужден заходить на FTP-серверы и вручную просматривать каждый документ, ориентируясь только на краткое описание. Вы не могли ввести куда-то запрос из серии: «Сколько весит слон?» и получить мгновенную пачку ответов. Проблему вызвался решить Алан Эмтейдж, который в 1990 году разработал первый в мире поисковик Archie на Unix.
• Если кратко, Archie представлял собой набор скриптов, которые выполняли поиск по списку общедоступных FTP-серверов с использованием протокола Telnet и создавали индексные файлы. Пользователь вводил тему и получал в ответ список адресов в виде доступного каталога документов. При этом Archie оказался удивительно производительным: мог обработать до 2 миллионов файлов, распределенных на сотнях серверов всего за пару минут.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Fortinet предупреждает о критической уязвимости безопасности в Wireless LAN Manager (FortiWLM), которая может привести к раскрытию конфиденциальной информации.
CVE-2023-34990 имеет оценку CVSS 9,6 и позволяет удаленному неаутентифицированному злоумышленнику прочитать конфиденциальные файлы.
Согласно описанию уязвимости в NIST (NVD), уязвимость обхода пути также может быть использована злоумышленником для выполнения несанкционированного кода или команд с помощью специально созданных запросов к конечной точке /ems/cgi-bin/ezrf_lighttpd.cgi.
Она затрагивает FortiWLM версий 8.6.0–8.6.5 (исправлено в 8.6.6 и выше) и 8.5.0–8.5.4 (исправлено в 8.5.5 и выше).
Раскрытие приписывается исследователю безопасности Horizon3.ai Заку Хэнли.
При этом, CVE-2023-34990 относится к уязвимости ограниченного чтения файлов без аутентификации, которую Horizon3.ai раскрыла еще в марте в составе широкого набора из шести недостатков в FortiWLM.
Проблема возникает из-за отсутствия проверки входных данных в параметрах запроса, что позволяет злоумышленнику просматривать каталоги и читать любые файлы журналов в системе.
Успешная эксплуатация CVE-2023-34990 может позволить злоумышленнику прочитать файлы журнала FortiWLM и получить идентификатор сеанса пользователя и логин, что позволит ему также эксплуатировать аутентифицированные конечные точки.
Кроме того, злоумышленники могут воспользоваться тем, что идентификаторы веб-сеансов не меняются между сеансами пользователей, чтобы перехватить их и получить административные разрешения на доступ к устройству.
И это еще не все.
Злоумышленник также может объединить CVE-2023-34990 с CVE-2023-48782 (оценка CVSS: 8,8), уязвимостью аутентифицированного внедрения команд, которая также была исправлена в FortiWLM 8.6.6 для получения RCE в контексте root.
Помимо нее Fortinet также исправила серьезную уязвимость внедрения команд CVE-2024-48889 (CVSS: 7.2) в FortiManager, которая позволяет аутентифицированному удаленному злоумышленнику выполнить несанкционированный код с помощью запросов, созданных FGFM.
Учитывая, что устройства Fortinet становятся объектом первоочередных устремлений киберподполья, крайне важно обновить свои экземпляры для защиты от потенциальных угроз.
CVE-2023-34990 имеет оценку CVSS 9,6 и позволяет удаленному неаутентифицированному злоумышленнику прочитать конфиденциальные файлы.
Согласно описанию уязвимости в NIST (NVD), уязвимость обхода пути также может быть использована злоумышленником для выполнения несанкционированного кода или команд с помощью специально созданных запросов к конечной точке /ems/cgi-bin/ezrf_lighttpd.cgi.
Она затрагивает FortiWLM версий 8.6.0–8.6.5 (исправлено в 8.6.6 и выше) и 8.5.0–8.5.4 (исправлено в 8.5.5 и выше).
Раскрытие приписывается исследователю безопасности Horizon3.ai Заку Хэнли.
При этом, CVE-2023-34990 относится к уязвимости ограниченного чтения файлов без аутентификации, которую Horizon3.ai раскрыла еще в марте в составе широкого набора из шести недостатков в FortiWLM.
Проблема возникает из-за отсутствия проверки входных данных в параметрах запроса, что позволяет злоумышленнику просматривать каталоги и читать любые файлы журналов в системе.
Успешная эксплуатация CVE-2023-34990 может позволить злоумышленнику прочитать файлы журнала FortiWLM и получить идентификатор сеанса пользователя и логин, что позволит ему также эксплуатировать аутентифицированные конечные точки.
Кроме того, злоумышленники могут воспользоваться тем, что идентификаторы веб-сеансов не меняются между сеансами пользователей, чтобы перехватить их и получить административные разрешения на доступ к устройству.
И это еще не все.
Злоумышленник также может объединить CVE-2023-34990 с CVE-2023-48782 (оценка CVSS: 8,8), уязвимостью аутентифицированного внедрения команд, которая также была исправлена в FortiWLM 8.6.6 для получения RCE в контексте root.
Помимо нее Fortinet также исправила серьезную уязвимость внедрения команд CVE-2024-48889 (CVSS: 7.2) в FortiManager, которая позволяет аутентифицированному удаленному злоумышленнику выполнить несанкционированный код с помощью запросов, созданных FGFM.
Учитывая, что устройства Fortinet становятся объектом первоочередных устремлений киберподполья, крайне важно обновить свои экземпляры для защиты от потенциальных угроз.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
• Есть такая занимательная статистика, которая демонстрирует топ самых продаваемых мобильных телефонов в истории. Первое место в этой статистике занимает Nokia 1100, а общее число продаж этого телефона перевалило за 250 миллионов. Вот Вам забавная история, которая случилась в далеком 2009 году...
• В процессе расследования дела о почтовом мошенничестве в Нидерландах полиция столкнулась с весьма интересным фактом – неизвестный покупатель отдал 25 тысяч евро за телефон Nokia 1100. Данная бюджетная модель была выпущена в конце 2003 г. и предназначалась для развивающихся рынков, а цена телефона составляла менее 100 евро.
• В попытках выяснить, почему хакеры готовы платить такие большие деньги за дешевый и внешне непримечательный аппарат, полиция обратилась к компании Ultrascan Advanced Global Investigations. Эксперты Ultrascan выяснили, что хакеров привлекают не все аппараты Nokia 1100, а только изготовленные на фабрике Nokia в г. Бохум (Германия).
• Эта серия аппаратов была признана бракованной из-за проблем в устаревшем программном обеспечении, созданном еще в 2002 г. За счет этого самого «брака» хакеры научились перехватывать чужие SMS сообщения, в частности, одноразовые коды для банковских транзакций — mTAN (mobile Transaction Authentication Number), которые европейские банки присылали своим клиентам по SMS.
• Таким образом, получается, что хакерам оставалось лишь подключить этот телефон (без какой бы то ни было перепрошивки) к снифферу наподобие #WireShark и дело в шляпе — можно перехватывать SMS, а затем перевести деньги на свой счет.
• Интересно заметить, что на момент инцидента (2009 год), компания Nokia продала во всем мире более 200 миллионов экземпляров Nokia 1100 и моделей на ее базе, однако количество уязвимых аппаратов остается неизвестным...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Возвращаясь к ботнетам, исследователи BitSight сообщают, что о резком увеличении BadBox, который смог заразить 192 000 устройств Android после того, как его обезвредили немецкие спецслужбы.
В BitSight предупреждают, что вредоносное ПО, по всей видимости, расширило охват своего воздействия за пределы китайских брендов Android-устройств, заражая теперь более известные и распространенные, такие как телевизоры Yandex и смартфоны Hisense.
BadBox - вредоносное ПО для Android, предположительно, на базе штамма Triada, которое нацелено на устройства посредством атак на прошивки в цепочке поставок, через инсайдеров, либо путем внедрения на этапе распространения продукции.
Впервые был обнаружен на Android TV-приставке T95, купленной на Amazon канадским ИБ-консультантом Дэниелом Милишичем в начале 2023 года. С тех пор вредоносная кампания охватила и другие малоизвестные продукты, продаваемые в Интернете.
Главной целью кампании BadBox является финансовая выгода, которая достигается путем задействования устройства в качестве резидентного прокси или для совершения мошенничества с рекламой.
Кроме того, вредоносное ПО BadBox может использоваться для установки дополнительных вредоносных программ на устройства Android, позволяя выполнять более серьезные вредоносные операции.
На прошлой неделе представители Федеральное ведомство по ИБ Германии (BSI) отрапортовали об успешной операции, в результате которой силовикам удалось нейтрализовать активность BadBox в стране, взломав один из С2-серверов и отключив связь с 30 000 устройств Android.
В числе них были цифровые фоторамки и устройства для потоковой передачи мультимедиа на базе Android, но BSI предупредила, что BadBox, скорее всего, может присутствовать также и в других категориях продуктов.
Аналогичным образом один из С2 удалось похакать исследователям BitSight, которые констатировали, что BADBOX несмотря на усилия немцев живее всех живых.
Только за 24 часа наблюдения Bitsight детектировали более 160 000 зараженных устройств, причем число продолжает расти.
Число обнаруженных устройств значительно превысило ранее наблюдавшееся пиковое значение и достигло 74 000.
В числе зараженных устройств - очень популярный в России телевизор Yandex 4K QLED Smart TV и смартфон Hisense T963.
Основная масса зараженных девайсов располагается в России (до 113 000), затем следуют Китай (до 60 000), Индия, Белоруссия, Бразилия и Украина (от 1800 до 30 000).
BitSight отмечает, что недавняя операция BSI никак фактически не повлияла на телеметрические данные, поскольку действие было географически ограничено, что позволило вредоносному ПО BadBox для Android беспрепятственно продолжить свою деятельность.
Будем следить.
В BitSight предупреждают, что вредоносное ПО, по всей видимости, расширило охват своего воздействия за пределы китайских брендов Android-устройств, заражая теперь более известные и распространенные, такие как телевизоры Yandex и смартфоны Hisense.
BadBox - вредоносное ПО для Android, предположительно, на базе штамма Triada, которое нацелено на устройства посредством атак на прошивки в цепочке поставок, через инсайдеров, либо путем внедрения на этапе распространения продукции.
Впервые был обнаружен на Android TV-приставке T95, купленной на Amazon канадским ИБ-консультантом Дэниелом Милишичем в начале 2023 года. С тех пор вредоносная кампания охватила и другие малоизвестные продукты, продаваемые в Интернете.
Главной целью кампании BadBox является финансовая выгода, которая достигается путем задействования устройства в качестве резидентного прокси или для совершения мошенничества с рекламой.
Кроме того, вредоносное ПО BadBox может использоваться для установки дополнительных вредоносных программ на устройства Android, позволяя выполнять более серьезные вредоносные операции.
На прошлой неделе представители Федеральное ведомство по ИБ Германии (BSI) отрапортовали об успешной операции, в результате которой силовикам удалось нейтрализовать активность BadBox в стране, взломав один из С2-серверов и отключив связь с 30 000 устройств Android.
В числе них были цифровые фоторамки и устройства для потоковой передачи мультимедиа на базе Android, но BSI предупредила, что BadBox, скорее всего, может присутствовать также и в других категориях продуктов.
Аналогичным образом один из С2 удалось похакать исследователям BitSight, которые констатировали, что BADBOX несмотря на усилия немцев живее всех живых.
Только за 24 часа наблюдения Bitsight детектировали более 160 000 зараженных устройств, причем число продолжает расти.
Число обнаруженных устройств значительно превысило ранее наблюдавшееся пиковое значение и достигло 74 000.
В числе зараженных устройств - очень популярный в России телевизор Yandex 4K QLED Smart TV и смартфон Hisense T963.
Основная масса зараженных девайсов располагается в России (до 113 000), затем следуют Китай (до 60 000), Индия, Белоруссия, Бразилия и Украина (от 1800 до 30 000).
BitSight отмечает, что недавняя операция BSI никак фактически не повлияла на телеметрические данные, поскольку действие было географически ограничено, что позволило вредоносному ПО BadBox для Android беспрепятственно продолжить свою деятельность.
Будем следить.
Bitsight
BADBOX Botnet Is Back | Bitsight
The TRACE team investigated BADBOX, which is a large-scale cybercriminal operation selling off-brand Android TV boxes, smartphones, and other Android electronics with preinstalled malware.
• Чуть больше 24-ти лет назад Google размещался на порядка 100 серверах, которые сами же Ларри Пейдж и Сергей Брин монтировали в стойку и обвязывали между собой! При этом они использовали дешевые комплектующие, что б хоть как то снизить стоимость инфраструктуры их поисковой системы. Первые серверы интернет-гиганта имели довольно необычный вид (на фото), чего только стоили кнопки перезагрузки на передней панели каждого из них и довольно странный, но в тоже время интересный метод пробковой изоляции комплектующих от чего сами серверы получили название «Corkboard».
• На данный момент количество серверов Google, как физических так и виртуальных, далеко перевалило за отметку в 1 млн единиц. Компания вкладывает миллиарды долларов в инфраструктуру и сейчас профит с каждого сервера больше, чем это было в самом начале создания поисковой машины.
• Поскольку комплектующие довольно часто давали сбой, система требовала эффективного отказоустойчивого ПО, потому команда Google больше делала акцент на софт, нежели занималась железом на котором этот софт «крутился».
• В далеком 1999 году Google сделал свой самый объемный заказ на оборудование. Компании King Star Computer необходимо было меньше чем за месяц подготовить порядка 1680 серверов. За каждые 80 серверов Google согласился заплатить $10 тыс предоплаты, а после поставки оплатить еще $99,2 тыс. Как следствие, общая сумма контракта составила почти $2,3 млн, не считая дополнительных бонусов. В заказ входил 21 шкаф, каждый из которых имел по 20 полок и 60 кулеров на задней панели. На каждой полке было размещено по 4 сервера следующей конфигурации:
- материнская плата Supermicro P6SBM;
- процессор x86-совместимой микроархитектуры Intel Pentium II 400;
- оперативная память 256MB PC100;
- 2 жестких диска IBM Deskstar 22GXP;
- сетевая плата Intel 10/100;
- кнопка перезагрузки системы;
- LED-индикатор жестких дисков;
- 2 IDE шлейфа;
- 2,13 м интернет кабеля категории 5.
• Основатели компании Google пришли к выводу, что лучшим способом масштабирования экономической эффективности является самостоятельная разработка аппаратных решений, а не закупка их на стороне. Интернет-гигант и по сей день работает в этом направление, разворачивая самостоятельно дата-центры по всему миру.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔎 deepdarkCTI.
• Собранная информация об актуальных угрозах и хакерских группировках, позволяет нам изучить цели, тактику, методы и различные инструменты, которые применяются на этапе разведки и проникновения. Такую информацию можно собирать вручную или автоматически из разных источников, в том числе из новостей, форумов, ресурсов даркнета, мессенджеров и т.д. А найти такие источники поможет репозиторий, в котором перечислены различные ресурсы и аккуратно разбиты на категории:
- Discord;
- Telegram;
- Twitter;
- Forum;
- Exploits;
- Phishing;
- Maas;
- Markets;
- Methods;
- Search engines;
- Rat;
- CVE most exploited;
- Ransomware gang;
- Others.
➡️ https://github.com/fastfire/deepdarkCTI
#ИБ #OSINT
• Собранная информация об актуальных угрозах и хакерских группировках, позволяет нам изучить цели, тактику, методы и различные инструменты, которые применяются на этапе разведки и проникновения. Такую информацию можно собирать вручную или автоматически из разных источников, в том числе из новостей, форумов, ресурсов даркнета, мессенджеров и т.д. А найти такие источники поможет репозиторий, в котором перечислены различные ресурсы и аккуратно разбиты на категории:
- Discord;
- Telegram;
- Twitter;
- Forum;
- Exploits;
- Phishing;
- Maas;
- Markets;
- Methods;
- Search engines;
- Rat;
- CVE most exploited;
- Ransomware gang;
- Others.
#ИБ #OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи из Лаборатории Касперского раскрывают новую сложную цепочку заражения Lazarus APT, нацеленную как минимум на двух сотрудников неназванной организации в сфере ядерных технологий в течение января 2024 года.
Атаки завершались развертыванием нового модульного бэкдора CookiePlus и являлись частью долговременной кампании кибершпионажа, известной как Operation Dream Job, которая также отслеживается ЛК как NukeSped.
Она активна по крайней мере с 2020 года, когда ее раскрыла ClearSky.
Lazarus крайне заинтересована в проведении атак на цепочки поставок в рамках кампании DeathNote, ограничиваясь двумя методами.
Первый — отправка вредоносного документа или троянизированного инструмента просмотра PDF, которое отображает цели специально подобранные описания вакансий.
Второй способ - доставка троянизированных инструментов удаленного доступа, убеждая жертву подключиться к определенному серверу для оценки навыков.
Последняя серия атак, задокументированная ЛК, реализует второй: задействуется полностью переработанная цепочка заражения с троянизированной VNC под предлогом проведения оценки навыков для ИТ-должностей в крупных аэрокосмических и оборонных компаниях.
Lazarus доставила архивный файл как минимум двум людям в одной организации (назовем их Host A и Host B), а через месяц хакеры предприняли более интенсивные атаки на первую цель.
Предполагается, что приложения VNC, троянизированная версия TightVNC под названием AmazonVNC.exe, распространялись в виде образов ISO и файлов ZIP. В других случаях для загрузки вредоносной DLL, упакованной в архив ZIP, использовалась легитимная версия UltraVNC.
DLL (vnclang.dll) служит загрузчиком для бэкдора, получившего название MISTPEN, который был обнаружен Mandiant в сентябре 2024 года. Он также использовался доставки двух дополнительных полезных нагрузок под названием RollMid и нового варианта LPEClient.
Исследователи ЛК заявили, что также задетектили вредоносное ПО CookieTime, развернутое на хосте A, хотя точный метод, который использовался для его внедрения, остается неизвестным.
Впервые обнаруженный компанией в сентябре и ноябре 2020 года, CookieTime назван из-за использования закодированных значений cookie в HTTP-запросах для получения инструкций с сервера управления и контроля (C2).
Дальнейшее расследование цепочки атак показало, что злоумышленник переместился с хоста A на другую машину (хост C), где CookieTime использовался для доставки полезных нагрузок с февраля по июнь 2024 года, включая: LPEClient, ServiceChanger, Charamel Loader и CookiePlus.
CookiePlus получил свое название в виду маскировки под плагин Notepad++ с открытым исходным кодом под названием ComparePlus, когда он был обнаружен в дикой природе в первый раз. В атаках он был основан на другом проекте под названием DirectX-Wrappers.
Вредоносная программа служит загрузчиком для извлечения полезной нагрузки, закодированной Base64 и зашифрованной RSA, с сервера C2, которая затем декодируется и расшифровывается для выполнения трех различных шеллкодов или DLL с функциями сбора информации.
Предполагается, что CookiePlus является преемником MISTPEN из-за совпадений в поведении двух штаммов вредоносных ПО, включая тот факт, что оба они маскируются под плагины Notepad++.
Длительное время группа Lazarus использовала лишь небольшое количество модульных вредоносных фреймворков, таких как Mata и Gopuram Loader, однако внедрение новыых модульных вредоносных ПО, такие как CookiePlus, говорит о том, что группа продолжает работать над улучшением своего арсенала и цепочек заражения.
Атаки завершались развертыванием нового модульного бэкдора CookiePlus и являлись частью долговременной кампании кибершпионажа, известной как Operation Dream Job, которая также отслеживается ЛК как NukeSped.
Она активна по крайней мере с 2020 года, когда ее раскрыла ClearSky.
Lazarus крайне заинтересована в проведении атак на цепочки поставок в рамках кампании DeathNote, ограничиваясь двумя методами.
Первый — отправка вредоносного документа или троянизированного инструмента просмотра PDF, которое отображает цели специально подобранные описания вакансий.
Второй способ - доставка троянизированных инструментов удаленного доступа, убеждая жертву подключиться к определенному серверу для оценки навыков.
Последняя серия атак, задокументированная ЛК, реализует второй: задействуется полностью переработанная цепочка заражения с троянизированной VNC под предлогом проведения оценки навыков для ИТ-должностей в крупных аэрокосмических и оборонных компаниях.
Lazarus доставила архивный файл как минимум двум людям в одной организации (назовем их Host A и Host B), а через месяц хакеры предприняли более интенсивные атаки на первую цель.
Предполагается, что приложения VNC, троянизированная версия TightVNC под названием AmazonVNC.exe, распространялись в виде образов ISO и файлов ZIP. В других случаях для загрузки вредоносной DLL, упакованной в архив ZIP, использовалась легитимная версия UltraVNC.
DLL (vnclang.dll) служит загрузчиком для бэкдора, получившего название MISTPEN, который был обнаружен Mandiant в сентябре 2024 года. Он также использовался доставки двух дополнительных полезных нагрузок под названием RollMid и нового варианта LPEClient.
Исследователи ЛК заявили, что также задетектили вредоносное ПО CookieTime, развернутое на хосте A, хотя точный метод, который использовался для его внедрения, остается неизвестным.
Впервые обнаруженный компанией в сентябре и ноябре 2020 года, CookieTime назван из-за использования закодированных значений cookie в HTTP-запросах для получения инструкций с сервера управления и контроля (C2).
Дальнейшее расследование цепочки атак показало, что злоумышленник переместился с хоста A на другую машину (хост C), где CookieTime использовался для доставки полезных нагрузок с февраля по июнь 2024 года, включая: LPEClient, ServiceChanger, Charamel Loader и CookiePlus.
CookiePlus получил свое название в виду маскировки под плагин Notepad++ с открытым исходным кодом под названием ComparePlus, когда он был обнаружен в дикой природе в первый раз. В атаках он был основан на другом проекте под названием DirectX-Wrappers.
Вредоносная программа служит загрузчиком для извлечения полезной нагрузки, закодированной Base64 и зашифрованной RSA, с сервера C2, которая затем декодируется и расшифровывается для выполнения трех различных шеллкодов или DLL с функциями сбора информации.
Предполагается, что CookiePlus является преемником MISTPEN из-за совпадений в поведении двух штаммов вредоносных ПО, включая тот факт, что оба они маскируются под плагины Notepad++.
Длительное время группа Lazarus использовала лишь небольшое количество модульных вредоносных фреймворков, таких как Mata и Gopuram Loader, однако внедрение новыых модульных вредоносных ПО, такие как CookiePlus, говорит о том, что группа продолжает работать над улучшением своего арсенала и цепочек заражения.
Securelist
Lazarus targets nuclear-related organization with new malware
Lazarus targets employees of a nuclear-related organization with a bunch of malware, such as MISTPEN, LPEClient, RollMid, CookieTime and a new modular backdoor CookiePlus.
• Если кто не знает, то Mimikatz — это инструмент, позволяющий извлечь данные аутентификации залогинившегося в системе пользователя в открытом виде.
• В этом канале много раз упоминался данный инструмент и было опубликовано много различного материала для его изучения. Сегодня добавим в нашу коллекцию свежее и актуальное руководство, которое содержит в себе очень много полезной информации. Материал будет полезен пентестерам и этичным хакерам:
• The Standard Credential Extraction;
• Using Mimikatz to Extract Web Credentials;
• Working with LSASS and DPAPI;
• Extracting Credentials with DPAPI;
• Decrypt EFS files;
• scheduled tasks credentials;
• Crypto Module;
• Commands;
• kerberos;
• lsadump;
• sekurlsa;
• Memory Dump;
• Remote Execution;
• Security Researcher.
• Не забывайте про самое объемное и полноценное руководство по использованию Mimikatz в сети на сегодняшний день: https://adsecurity.org
#Mimikatz #Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
• 2 октября 1971 года инженер вычислительной лаборатории Bolt, Beranek and Newman Technology Рэй Томлинсон был занят важной и полезной работой — он изобретал электронную почту. Компания BBN была одним из подрядчиков DARPA в процессе разработки предшественницы интернета — экспериментальной сети ARPANet, — и Томлинсон принимал в этом проекте непосредственное участие.
• Как многие другие ЭВМ начала 70-х под управлением UNIX, машины в вычислительном центре Bolt, Beranek and Newman были многопользовательские: в разное время на них работали разные операторы, каждый под своей учетной записью. В то время для коммуникации между пользователями существовала утилита SNDMSG, которая позволяла отсылать простые текстовые сообщения, но получить их мог только пользователь того же самого компьютера, с которого они были отправлены. Например, закончивший свою работу программист с помощью SNDMSG мог оставить послание с ценными инструкциями другому пользователю, который придет ему на смену спустя несколько часов. Рэй Томлинсон решил усовершенствовать эту программу таким образом, чтобы она могла отправлять сообщения по сети.
• Наиболее важной проблемой, которая стояла перед этим исследователем, был вопрос адресации сообщений при передаче их между машинами: в обозначении получателя должно присутствовать не только имя компьютера, на который оно передается, но и имя пользователя, которому оно адресовано. Причем одно от другого необходимо отделить каким-либо символом, не встречающимся более нигде: ни в различных языках программирования, ни в коде разметки документов, ни в списке специальных знаков, предназначенных для форматирования текста — во избежание путаницы.
• Рэй Томлинсон внимательно оглядел собственную клавиатуру. Казалось, выбор был невелик: практически все специальные символы так или иначе уже использовались в компьютерных технологиях. И тут его взгляд непроизвольно наткнулся на значок «@», сиротливо затерявшийся во втором, считая сверху, ряду клавиш (В 1971 году Рэй Томлинсон использовал клавиатуру 33 Teletype). Лучшего варианта нельзя было и придумать! Ведь в английском языке символ «@» означает предлог «at», указывающий на принадлежность, приближение и направление, — этот предлог можно перевести на русский язык с помощью слов «на, в, к». Таким образом, адрес «пользователь на компьютере» («user at computer») можно было бы записать в виде
user@computer
. Так появилась на свет электронная почта, которой мы успешно пользуемся по сей день.#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи Akamai сообшают о появлении нового ботнета Hail Cock на базе наследия Mirai, который нацелен на RCE-уязвимость в сетевых видеорегистраторах DigiEver DS-2105 Pro, которая не получила идентификатор CVE и, по-видимому, остается неисправленной.
Кампания началась в октябре и нацелена на несколько сетевых видеорегистраторов и маршрутизаторов TP-Link с устаревшей прошивкой.
Одна из уязвимостей, использованных в кампании, была задокументирована исследователем TXOne Та-Лун Йеном и представлена в прошлом году на конференции DefCamp в Бухаресте, Румыния.
Akamai заметили, что ботнет начал активно использовать уязвимость в середине ноября, но обнаружили доказательства того, что кампания была активна как минимум с сентября.
Помимо уязвимости DigiEver новый вариант вредоносного ПО Mirai также нацелен на уязвимость CVE-2023-1389 в устройствах TP-Link и CVE-2018-17532 на маршрутизаторах Teltonika RUT9XX.
Ошибка, используемая для взлома сетевых видеорегистраторов DigiEver, представляет собой RCE-уязвимость удаленного выполнения кода, и связана с URI «/cgi-bin/cgi_main.cgi», который неправильно проверяет вводимые пользователем данные.
Это позволяет удаленным неаутентифицированным злоумышленникам вводить команды типа «curl» и «chmod» через определенные параметры, например поле ntp в HTTP-запросах POST.
Akamai полагает, что наблюдаемые со стороны ботнета атаки, похожи на те, что были описаны в презентации Та-Лун Йена.
С помощью инъекции команд злоумышленники получают двоичный файл вредоносного ПО с внешнего сервера и включают устройство в свою ботсеть. Устойчивость достигается путем добавления заданий cron.
После взлома устройство используется для проведения DDoS или для распространения на другие устройства с использованием наборов эксплойтов и списков учетных данных.
По данным Akamai, новый вариант Mirai примечателен использованием шифрования XOR и ChaCha20, а также ориентирован на широкий спектр системных архитектур, включая x86, ARM и MIPS.
Хотя использование сложных методов дешифрования не является чем-то новым, оно предполагает развитие TTPs среди операторов ботнетов на базе Mirai.
Это особенно примечательно, поскольку многие ботнеты на базе Mirai по-прежнему зависят от оригинальной логики обфускации строк из переработанного кода, который был включен в исходный код оригинальной вредоносной программы Mirai.
IoC, связанные с кампанией, а также правила Yara для обнаружения и блокировки угрозы - доступны в отчете Akamai.
Кампания началась в октябре и нацелена на несколько сетевых видеорегистраторов и маршрутизаторов TP-Link с устаревшей прошивкой.
Одна из уязвимостей, использованных в кампании, была задокументирована исследователем TXOne Та-Лун Йеном и представлена в прошлом году на конференции DefCamp в Бухаресте, Румыния.
Akamai заметили, что ботнет начал активно использовать уязвимость в середине ноября, но обнаружили доказательства того, что кампания была активна как минимум с сентября.
Помимо уязвимости DigiEver новый вариант вредоносного ПО Mirai также нацелен на уязвимость CVE-2023-1389 в устройствах TP-Link и CVE-2018-17532 на маршрутизаторах Teltonika RUT9XX.
Ошибка, используемая для взлома сетевых видеорегистраторов DigiEver, представляет собой RCE-уязвимость удаленного выполнения кода, и связана с URI «/cgi-bin/cgi_main.cgi», который неправильно проверяет вводимые пользователем данные.
Это позволяет удаленным неаутентифицированным злоумышленникам вводить команды типа «curl» и «chmod» через определенные параметры, например поле ntp в HTTP-запросах POST.
Akamai полагает, что наблюдаемые со стороны ботнета атаки, похожи на те, что были описаны в презентации Та-Лун Йена.
С помощью инъекции команд злоумышленники получают двоичный файл вредоносного ПО с внешнего сервера и включают устройство в свою ботсеть. Устойчивость достигается путем добавления заданий cron.
После взлома устройство используется для проведения DDoS или для распространения на другие устройства с использованием наборов эксплойтов и списков учетных данных.
По данным Akamai, новый вариант Mirai примечателен использованием шифрования XOR и ChaCha20, а также ориентирован на широкий спектр системных архитектур, включая x86, ARM и MIPS.
Хотя использование сложных методов дешифрования не является чем-то новым, оно предполагает развитие TTPs среди операторов ботнетов на базе Mirai.
Это особенно примечательно, поскольку многие ботнеты на базе Mirai по-прежнему зависят от оригинальной логики обфускации строк из переработанного кода, который был включен в исходный код оригинальной вредоносной программы Mirai.
IoC, связанные с кампанией, а также правила Yara для обнаружения и блокировки угрозы - доступны в отчете Akamai.
Akamai
DigiEver Fix That IoT Thing! | Akamai
A vulnerability in DigiEver DS-2105 Pro DVRs is being exploited to spread a Mirai variant that has been modified to use improved encryption algorithms.
This media is not supported in your browser
VIEW IN TELEGRAM
• Attack Scenario: Insecure File Content:
- 2. Non-Compliant Code: Insecure File Upload Example;
- Issues with Non-Compliant Code;
- 3. Compliant Code: Secure File Upload Example;
- Security Enhancements in Compliant Code;
- 4. Reverse Access Control;
• Magic Byte Exploits and Securing File Uploads:
- Magic Bytes Overview;
- Attack Scenario: Magic Byte Exploit;
- Non-Compliant Code: Insecure File Upload Example;
- Issues with Non-Compliant Code;
- Compliant Code: Secure File Upload Example;
- Security Enhancements in Compliant Code;
- Reverse Access Control;
- Process of Securing File Uploads;
• Config Overwrite:
- Attack Scenario: Configuration Overwrite and Null Byte Injection;
- Non-Compliant Code: Insecure File Upload Example;
- Issues with Non-Compliant Code;
- Compliant Code: Secure File Upload Example;
- Security Enhancements in Compliant Code;
- Reverse Access and Configuration Overwrite;
- Process of Securing File Uploads;
• Insecure Handler:
- Attack Scenario: Insecure Handler Exploit;
- Non-Compliant Code: Insecure File Upload Example;
- Issues with Non-Compliant Code;
- Compliant Code: Secure File Upload Example;
- Security Enhancements in Compliant Code;
- Insecure Handler and Web Shell Exploit;
- Process of Securing File Uploads.
#devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM