• Bjorn - инструмент, предназначенный для проведения комплексного сканирования сетей и оценки их уязвимости. Проект имеет модульную конструкцию и его функционал может быть расширен за счет скриптов на Python.
• Самое забавное, что инструмент реализован в виде игры по типу Тамагочи с виртуальным персонажем - викингом, где за каждые успешные сканирования или взломы вы будете получать игровые монеты, и прокачивать вашего виртуального «друга».
• Для изготовления такого устройства вам понадобится Raspberry PI Zero W или Zero 2 W и 2.13 дюймовый e-ink экран с драйвером, подключаемый к GPIO. Устройством можно управлять как с экрана, так и через веб-интерфейс.
• Основные особенности устройства в текущей реализации:
#ИБ #Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
• Awesome Cloud Security Labs - объемный набор бесплатных лаб для самостоятельного изучения безопасности облачных сред и технологий:
➡ AWS;
➡ Azure;
➡ GCP;
➡ Kubernetes;
➡ Container;
➡ Terraform;
➡ Research Labs;
➡ CI/CD.
➡ https://github.com/iknowjason/Awesome-CloudSec-Labs
#Cloud #ИБ
#Cloud #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - iknowjason/Awesome-CloudSec-Labs: Awesome free cloud native security learning labs. Includes CTF, self-hosted workshops…
Awesome free cloud native security learning labs. Includes CTF, self-hosted workshops, guided vulnerability labs, and research labs. - GitHub - iknowjason/Awesome-CloudSec-Labs: Awesome free clou...
• На хакерских конкурсах и играх CTF иногда попадаются задачки на стеганографию: вам дают картинку, в которой нужно найти скрытое сообщение. Наверное, самый простой способ спрятать текст в картинке PNG — прописать его в одном из цветовых каналов или в альфа-канале (канал прозрачности). Так вот, на хабре есть хорошая статья, где автор рассказывает о такой реализации:
• По итогу мы сможем записать внутрь PNG другой файл или текст! Можем даже шифровать данные через AES!
• Код более развернутого решения можно найти на GitHub: https://github.com/in4in-dev/png-stenography (использование AES, сокрытие файлов в картинке).
#Стеганография
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Microsoft официально подтвердила непонятную аномалию, связанную с тем, что обновление безопасности Windows за апрель 2025 года приводят к созданию новой пустой папки с названием inetpub, предупредив пользователей не удалять ее.
Папка обычно используется службами Internet Information Services (IIS) компании Microsoft - платформой веб-сервера, которую можно включить через диалоговое окно «Компоненты Windows» для размещения веб-сайтов и веб-приложений.
Тем не менее после установки патча многие пользователи Windows 11 и Windows 10 обнаружили в своих системах недавно созданную папку C:\inetpub, с использованием учетной записи SYSTEM, при том, что IIS не был установлен во время этого процесса.
Несмотря на то, что удаление папки не вызвало проблем при использовании Windows в тестах, Microsoft настаивает, что эта пустая папка была создана намеренно и ее не следует удалять.
Кроме того, согласно сообщениям пользователей, апрельские накопительные обновления не будут установливаются, если каталог C:\inetpub создан до развертывания обновления.
Пока Редмонд все еще пытается невнятно объяснить назначение папки, накануне вечером обновил рекомендации для уязвимости повышения привилегий активации процессов Windows (CVE-2025-21204), предупреждая пользователей не удалять новую пустую папку inetpub на своих жестких дисках.
Как сообщается, папку не следует удалять независимо от того, активны ли службы IIS на целевом устройстве.
Такое поведение якобы является частью изменений, которые повышают защиту, и не требует никаких действий со стороны ИТ-администраторов и конечных пользователей.
В свою очередь, CVE-2025-21204 вызвана проблемой неправильного разрешения ссылок перед доступом к файлу («переход по ссылкам») в стеке Центра обновления Windows.
Это, вероятно, означает, что на неисправленных устройствах Центр обновления Windows имеет возможность перехода по символическим ссылкам, что позволяет локальным злоумышленникам обмануть систему, получив доступ к нежелательным файлам или папкам или изменив их.
Компания предупреждает, что успешная эксплуатация уязвимости может позволить локальным злоумышленникам с низкими привилегиями повысить разрешения и выполнять операции с файлами на компьютере жертвы в контексте учетной записи NT AUTHORITYSYSTEM».
Те, кто, подозревая неладное, удалил папку inetpub, могут создать ее заново, зайдя в панель управления Windows «Включение и отключение компонентов» и установив службы Internet Information Services.
После установки в корне диска C: будет создана новая папка inetpub, на этот раз с файлами в ней. Однако она будет иметь SYSTEM, что и папка, созданная недавним обновлением безопасности Windows.
Если IIS не используется, то его можно удалить его снова через ту же панель управления «Функции Windows», после перезагрузки компьютера - ПО удалится, а папка останется.
Microsoft заверила, что этот метод позволит воссоздать папку с теми же уровнями защиты и, вероятно, получить личную благодарность от товарища майора.
Папка обычно используется службами Internet Information Services (IIS) компании Microsoft - платформой веб-сервера, которую можно включить через диалоговое окно «Компоненты Windows» для размещения веб-сайтов и веб-приложений.
Тем не менее после установки патча многие пользователи Windows 11 и Windows 10 обнаружили в своих системах недавно созданную папку C:\inetpub, с использованием учетной записи SYSTEM, при том, что IIS не был установлен во время этого процесса.
Несмотря на то, что удаление папки не вызвало проблем при использовании Windows в тестах, Microsoft настаивает, что эта пустая папка была создана намеренно и ее не следует удалять.
Кроме того, согласно сообщениям пользователей, апрельские накопительные обновления не будут установливаются, если каталог C:\inetpub создан до развертывания обновления.
Пока Редмонд все еще пытается невнятно объяснить назначение папки, накануне вечером обновил рекомендации для уязвимости повышения привилегий активации процессов Windows (CVE-2025-21204), предупреждая пользователей не удалять новую пустую папку inetpub на своих жестких дисках.
Как сообщается, папку не следует удалять независимо от того, активны ли службы IIS на целевом устройстве.
Такое поведение якобы является частью изменений, которые повышают защиту, и не требует никаких действий со стороны ИТ-администраторов и конечных пользователей.
В свою очередь, CVE-2025-21204 вызвана проблемой неправильного разрешения ссылок перед доступом к файлу («переход по ссылкам») в стеке Центра обновления Windows.
Это, вероятно, означает, что на неисправленных устройствах Центр обновления Windows имеет возможность перехода по символическим ссылкам, что позволяет локальным злоумышленникам обмануть систему, получив доступ к нежелательным файлам или папкам или изменив их.
Компания предупреждает, что успешная эксплуатация уязвимости может позволить локальным злоумышленникам с низкими привилегиями повысить разрешения и выполнять операции с файлами на компьютере жертвы в контексте учетной записи NT AUTHORITYSYSTEM».
Те, кто, подозревая неладное, удалил папку inetpub, могут создать ее заново, зайдя в панель управления Windows «Включение и отключение компонентов» и установив службы Internet Information Services.
После установки в корне диска C: будет создана новая папка inetpub, на этот раз с файлами в ней. Однако она будет иметь SYSTEM, что и папка, созданная недавним обновлением безопасности Windows.
Если IIS не используется, то его можно удалить его снова через ту же панель управления «Функции Windows», после перезагрузки компьютера - ПО удалится, а папка останется.
Microsoft заверила, что этот метод позволит воссоздать папку с теми же уровнями защиты и, вероятно, получить личную благодарность от товарища майора.
Bluesky Social
Stefania Nobile (@pstrada.bsky.social)
@GossiTheDog @jernej__s
Yeah, so this is interesting. I was skeptical, but I can confirm that KB5057589 (which installs KB5055674) for Windows 10 will fail to install if there is a C:\inetpub directory present ahead of time, which a non-admin user can fulfill.…
Yeah, so this is interesting. I was skeptical, but I can confirm that KB5057589 (which installs KB5055674) for Windows 10 will fail to install if there is a C:\inetpub directory present ahead of time, which a non-admin user can fulfill.…
• Сотни лет назад моряки определяли свое местоположение в море по частоте вспышек на маяках. Каждый маяк имел свою «зарезервированную» частоту, примерно как сейчас в телевидением или радио. Даже ночью в тяжелых погодных условиях можно было точно понять, к какому конкретно порту приближается корабль.
• Важной вехой, которая приближает нас к теме статьи, стало изобретение в 1880 году Александром Беллом фотофона как альтернативы его телефону. Суть была такой: свет попадал на гибкое зеркало, которое перенаправляло луч к приемнику. Когда человек говорил, форма зеркала изменялась, периодически фокусируя или рассеивая свет. В свою очередь, в приемник были встроены селеновые ячейки — они изменяли свою проводимость в зависимости от интенсивности света. Появлялась последовательность электрических импульсов, поступающих на выводное устройство — точно как в телефоне.
• Однако такой принцип передачи был очень нестабилен: любые препятствия на пути света делали передачу невозможной. Нужно было защитить световой поток, поместив его в какую-то защитную оболочку и передавать. Но все-таки свет имеет свойство рассеиваться и преломляться — поэтому все намного сложнее, чем с потерями на кабеле при передаче электрического сигнала. В идеале нужно было получить «концентрированный» световой поток со строго определенной длиной волны, которая была бы наиболее эффективна в конкретных условиях применения. Ну и найти материал, в котором все это будет передаваться.
• Прорыв случился, когда в 1958 году появился лазер: устройство, усиливающее свет посредством вынужденного излучения. Это означало, что теперь можно было получить свет в нужном диапазоне частот и с нужной мощностью, да еще и направить его в нужную точку. Оставалось найти канал, в котором будет происходить передача.
• В 1961 году Элиас Снитцер опубликовал теоретическое описание одномодового волокна (SMF). Он предположил, что можно:
• В результате свет будет испытывать полное внутреннее отражение на границе раздела двух сред с разными показателями преломления — все как в классической оптике. Потери из-за рассеивания будут меньше, а значит, сигнал можно будет передать на большее расстояние.
• Идея была хорошей, однако проблема была в составе материала, при прохождении через который волна света сильно затухала — в первых опытах речь шла о 1000 дБ/км. Если очень примитивно, то некоторые фотоны как бы «рассеивались» при взаимодействии с атомной структурой, и поток света становился слабее. Нужно было найти способ, как уменьшить количество «лишних» элементов и, как следствие, число паразитных соударений фотонов. Проще говоря, сделать материал более прозрачным, уменьшив количество примесей.
• В 1964 году Чарльз Као и Джордж Хокхэм в своих исследованиях предположили, что теоретически потери можно снизить в 50 раз — до 20 дБ/км. Они обнаружили, что идеально на роль проводника света с точки зрения прозрачности и чистоты подходит плавленый кварц, он же — кварцевое стекло. За эту работу Као и Хокхэм были удостоены Нобелевской премии по физике в 2009 году.
• В 1970 году инженер Дональд Кек нашел способ сделать кварц еще прозрачнее — легировать его титаном. Спустя еще два года исследований Кек обнаружил, что легирование кварца оксидом германия снижает затухание до невероятных 4 дБ/км. В 1973 году в Bell Laboratories был открыт процесс химического осаждения из газовой фазы — теперь можно было производить химически чистое стекловолокно в промышленных масштабах.
• Начиная с того времени, оптоволоконная связь начала распространяться по миру: например, в 1980 году с ее помощью была передана первая картинка с Зимних Олимпийских игр в Лейк-Плэсиде. Кабели начали прокладывать под водой и поняли, что про старые-добрые медные кабели для телекоммуникации можно забыть...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• В этой статье мы поговорим о методах поиска информации в операционной системе #Windows — с целью выявления различных инцидентов. Это сведения о пользователях и входах, базовой информации системы, сетевом подключении, а также о восстановлении удаленных файлов, просмотрe открывавшихся документов, выявлении подключавшихся к компьютеру флешек и т. д. — данные, позволяющие установить факты нарушения безопасности или несанкционированного доступа. Затронем также тему этики при проведении экспертиз такого рода:
#Форензика
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Вице-президент MITRE Йосри Барсум объявил о приостановке финансирования со стороны правительства США программ Common Vulnerabilities and Exposures (CVE) и Common Weakness Enumeration (CWE), что может негативно отразиться на всей глобальной индустрии кибербеза.
В связи с чем, MITRE прогнозирует ухудшение работы национальных баз данных и рекомендаций по уязвимостям и потенциальные проблемы в реагировании со стороны поставщиков.
Система долгое время выступала универсальным стандартом для идентификации уязвимостей и фокусом внимания инфосек-сообщества.
Она обеспечивала четкую каталогизацию публично раскрытых уязвимостей, являясь важной частью процесса раскрытия и документирования уязвимостей, а также обмена точной и последовательной информацией относительно угроз и рисков ИБ.
Программа CVE, реализуемая некоммерческой организацией MITRE совместно с федеральными научно-исследовательскими центрами, финансируется по нескольким каналам, включая правительство США, отраслевые партнерства и международные организации.
В основном объеме поддерживается MITRE при финансировании со стороны Национального отдела кибербезопасности Министерства внутренней безопасности США (DHS).
В открытом письме к членам совета CVE Барсум заявил, что прекращение контракта (крайний срок - сегодня) затрагивает не только CVE, но и связанные с ним программы, в том числе CWE, предупреждая об угрозе фактического паралича в национальных базах уязвимостей, у поставщиков защитного ПО и в службах реагирования на инциденты.
Ранее в ожидании сокращения финансирования, MITRE уже инициировала увольнение более 400 сотрудников офиса в Вирджинии.
После того, как письмо было опубликовано, многие ИБ эксперты выразили обеспокоенность, опасаясь, что сообщество лишится стандартизированного метода отслеживания новых проблем безопасности, если доступ к API CVE нумерационных органов будет прекращен.
Как отмечает Брайан Кребс у себя в блоге после того, как ему удалось связаться с MITRE, действительно база данных CVE, скорее всего, перестанет работать уже завтра.
При этом новые опасения по поводу финансирования программы CVE возникли на фоне новостей о том, что Национальный институт стандартов и технологий (NIST) не может раскидать скопившийся большой массив нерассмотренных CVE для верификации и публикации в NVD.
Представители NIST, Министерств внутренней безопасности и обороны США пока никак не комментируют ситуацию.
В связи с чем, MITRE прогнозирует ухудшение работы национальных баз данных и рекомендаций по уязвимостям и потенциальные проблемы в реагировании со стороны поставщиков.
Система долгое время выступала универсальным стандартом для идентификации уязвимостей и фокусом внимания инфосек-сообщества.
Она обеспечивала четкую каталогизацию публично раскрытых уязвимостей, являясь важной частью процесса раскрытия и документирования уязвимостей, а также обмена точной и последовательной информацией относительно угроз и рисков ИБ.
Программа CVE, реализуемая некоммерческой организацией MITRE совместно с федеральными научно-исследовательскими центрами, финансируется по нескольким каналам, включая правительство США, отраслевые партнерства и международные организации.
В основном объеме поддерживается MITRE при финансировании со стороны Национального отдела кибербезопасности Министерства внутренней безопасности США (DHS).
В открытом письме к членам совета CVE Барсум заявил, что прекращение контракта (крайний срок - сегодня) затрагивает не только CVE, но и связанные с ним программы, в том числе CWE, предупреждая об угрозе фактического паралича в национальных базах уязвимостей, у поставщиков защитного ПО и в службах реагирования на инциденты.
Ранее в ожидании сокращения финансирования, MITRE уже инициировала увольнение более 400 сотрудников офиса в Вирджинии.
После того, как письмо было опубликовано, многие ИБ эксперты выразили обеспокоенность, опасаясь, что сообщество лишится стандартизированного метода отслеживания новых проблем безопасности, если доступ к API CVE нумерационных органов будет прекращен.
Как отмечает Брайан Кребс у себя в блоге после того, как ему удалось связаться с MITRE, действительно база данных CVE, скорее всего, перестанет работать уже завтра.
При этом новые опасения по поводу финансирования программы CVE возникли на фоне новостей о том, что Национальный институт стандартов и технологий (NIST) не может раскидать скопившийся большой массив нерассмотренных CVE для верификации и публикации в NVD.
Представители NIST, Министерств внутренней безопасности и обороны США пока никак не комментируют ситуацию.
Bluesky Social
Tib3rius (@tib3rius.bsky.social)
BREAKING.
From a reliable source. MITRE support for the CVE program is due to expire tomorrow. The attached letter was sent out to CVE Board Members.
From a reliable source. MITRE support for the CVE program is due to expire tomorrow. The attached letter was sent out to CVE Board Members.
• Большинство компаний понимают важность создания бэкапов. Но вот беда — представление о том, что должна собой представлять стратегия резервирования данных, имеет не так много компаний. В результате они теряют информацию, клиентов, а значит, и деньги.
• Среди причин утери данных — неподготовленность компаний к критическим событиям (сбои в подаче электроэнергии, физический ущерб оборудованию, взлом и кража данных, природные катаклизмы и т.д.). Если не позаботиться о резервных копиях заранее — потом будет мучительно больно!
• Если говорить о внезапных событиях, которые приводили к потерям и убыткам данных, то здесь нельзя не вспомнить случай из 2007 года. Тогда компания Rackspace столкнулась с неожиданностью. В ее дата-центр врезался внедорожник. Водитель этого автомобиля страдал диабетом и во время поездки он потерял сознание, нога нажала на педаль газа, и машина, вылетев за пределы дорожного полотна, на всей скорости врезалась в объект, в котором располагался центр энергетической инфраструктуры дата-центра компании.
• Сразу заработала вспомогательная система энергоснабжения, но возникла проблема — не запустилась основная система охлаждения. Из-за этого оборудование быстро перегрелось, так что сотрудники компании приняли решение выключить все, чтобы сервера и другое оборудование не вышли из строя.
• В итоге дата-центр простоял без дела около пяти часов, в течение которого ничего не работало. Эти пять часов обошлись компании в $3,5 млн... и это в 2007 году...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Cyber Media
Please open Telegram to view this post
VIEW IN TELEGRAM
• Небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации. Держу пари, что Вы точно откроете для себя что-то новое и полезное.
• Кстати, у автора этого видео есть очень крутой репо (4к
#Docker #DevOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи Cybernews раскрывают широкомасштабную кампанию по вымогательству, нацеленную на тысячи AWS S3 с использованием украденных ключей доступа.
Исследователи обнаружили общедоступный сервер, содержащий более 158 млн. записей секретных ключей AWS.
Большинство ключей представляли собой дубли, реплицированные в различных конечных точках и конфигурациях.
После обобщения и анализа стало понятно, что в распоряжении злоумышленника имеется внушительная база данных из более чем 1229 уникальных пар ключей AWS, которые используются для доступа к серверам и шифрования данных.
Несмотря на то, что многие пары ключей уже были ротированы, активные и функциональные пары привели к зашифрованным контейнерам S3, содержащим записки с требованием выкупа (средний размер в 25 000 долларов США на одну жертву).
При этом злоумышленник использовал не программу-вымогатель для шифрования данных, а собственную функцию AWS под названием Server Side Encryption with Customer Provided Keys (SSE-C).
Впервые эту технику применил Codefinger в кампании в декабре прошлого года.
Такая схема атаки допускает «тихую компрометацию», без отправления жертвам оповещений или отчетов при возникновении нарушения, и без журналов удаления файлов.
Ранее было также замечено, что злоумышленники устанавливают политики жизненного цикла S3, предусматривающие удаление зашифрованных данных в течение 7 дней, что еще больше побуждает жертв платить выкуп.
Наблюдаемая вредоносная кампания не имеет четкой атрибуции и серьезно автоматизирована.
Однако точный метод, использованный злоумышленниками для сбора коллекции ключей AWS, остается неясным.
Злоумышленник оставляет записки с требованием выкупа в файле с именем warning.txt.
У каждого зашифрованного контейнера S3 - свое собственное предупреждение с уникальным адресом BTC.
Для обратно связи хакеры указывают awsdecrypt[@]techie.com.
Некоторую тревогу вызывает и тот факт, что в ряде случаев затронутые среды AWS продолжают работать, что говорит о том, что жертвы могут все еще не знать об инциденте.
В целом, это беспрецедентный случай скоординированной кампании по вымогательству с использованием украденных учетных данных AWS для реализации шифрования на стороне сервера (SSE-C) к данным, хранящимся в контейнерах S3, без взаимодействия с владельцем.
Все это подтверждает нарастающую тенденцию, связанную с эскалацией тактики облачного вымогательства: простота делает ее особенно опасной - злоумышленникам нужны только украденные ключи и никаких сложных эксплойтов.
Исследователи обнаружили общедоступный сервер, содержащий более 158 млн. записей секретных ключей AWS.
Большинство ключей представляли собой дубли, реплицированные в различных конечных точках и конфигурациях.
После обобщения и анализа стало понятно, что в распоряжении злоумышленника имеется внушительная база данных из более чем 1229 уникальных пар ключей AWS, которые используются для доступа к серверам и шифрования данных.
Несмотря на то, что многие пары ключей уже были ротированы, активные и функциональные пары привели к зашифрованным контейнерам S3, содержащим записки с требованием выкупа (средний размер в 25 000 долларов США на одну жертву).
При этом злоумышленник использовал не программу-вымогатель для шифрования данных, а собственную функцию AWS под названием Server Side Encryption with Customer Provided Keys (SSE-C).
Впервые эту технику применил Codefinger в кампании в декабре прошлого года.
Такая схема атаки допускает «тихую компрометацию», без отправления жертвам оповещений или отчетов при возникновении нарушения, и без журналов удаления файлов.
Ранее было также замечено, что злоумышленники устанавливают политики жизненного цикла S3, предусматривающие удаление зашифрованных данных в течение 7 дней, что еще больше побуждает жертв платить выкуп.
Наблюдаемая вредоносная кампания не имеет четкой атрибуции и серьезно автоматизирована.
Однако точный метод, использованный злоумышленниками для сбора коллекции ключей AWS, остается неясным.
Злоумышленник оставляет записки с требованием выкупа в файле с именем warning.txt.
У каждого зашифрованного контейнера S3 - свое собственное предупреждение с уникальным адресом BTC.
Для обратно связи хакеры указывают awsdecrypt[@]techie.com.
Некоторую тревогу вызывает и тот факт, что в ряде случаев затронутые среды AWS продолжают работать, что говорит о том, что жертвы могут все еще не знать об инциденте.
В целом, это беспрецедентный случай скоординированной кампании по вымогательству с использованием украденных учетных данных AWS для реализации шифрования на стороне сервера (SSE-C) к данным, хранящимся в контейнерах S3, без взаимодействия с владельцем.
Все это подтверждает нарастающую тенденцию, связанную с эскалацией тактики облачного вымогательства: простота делает ее особенно опасной - злоумышленникам нужны только украденные ключи и никаких сложных эксплойтов.
Cybernews
Huge ransomware campaign targets AWS S3 storage: attackers have thousands of keys
A massive database of over 1,200 unique Amazon Web Services (AWS) access keys has been amassed and exploited in a ransomware campaign.
• Весьма интересный и актуальный материал о том, какие меры безопасности реализованы в SSH для организации защищённого доступа в процессе подключения и работы:
#SSH
Please open Telegram to view this post
VIEW IN TELEGRAM
• Интересный Powershell-модуль, который подходит для Blue Team и предназначен для поиска всех методов закрепления, которые используют хакеры на взломанной тачке. На данный момент умеет находить 56 техник, начиная от популярных методов с реестром, заканчивая злоупотреблением DLL-библиотеки AppInit:
#Powershell
Please open Telegram to view this post
VIEW IN TELEGRAM
• В 1920-1950-х годах в качестве способа хранения и передачи информации для компьютеров использовали перфокарты и перфоленты. Они пришли в компьютерную отрасль из ткацких станков. С помощью перфорации станки делали рисунок на ткани. Скорость работы с этим носителем была невысокой, много времени уходило на перфорацию выведенных в процессе расчётов данных и ввод новых перфокарт в машину для дальнейших вычислений. Изобретатели в то время работали над относительно новыми способами ввода и хранения данных – над магнитными лентами и проволокой.
• Способ магнитной записи был запатентован в 1898 году датским физиком и инженером Вальдемаром Поульсеном. В качестве носителя он использовал не ленту, а проволоку. С усилителя сигнал подавался на записывающую головку, вдоль которой с постоянной скоростью перемещалась проволока и намагничивалась соответственно сигналу. В 1927 году немецкий инженер Фриц Пфлеймер нанёс напыление порошка оксида железа на тонкую бумагу и запатентовал метод, но патент отменили из-за изобретения тридцатилетней давности. Обе эти идеи использовала компания AEG, представившая в 1935 году «Магнетофон-К1» на магнитной ленте.
• В 1950 году Национальное бюро стандартов США построило компьютер SEAC. В нём в качестве накопителей использовали металлическую проволоку в кассетах. А в 1951 году впервые использовали в компьютере магнитную ленту – в UNIVAC. Компьютер построили для нужд Военно-воздушных сил и топографической службы армии США. В качестве носителя использовали накопитель UNISERVO с лентами из никелированной бронзы шириной 13 миллиметров и длиной до 450 метров. Одна лента вмещала 1 440 000 шестибитных символов.
• Магнитная лента в бытовых компьютерах в 1970-х годах использовалась в виде кассет. Программы воспроизводили либо с помощью специальных накопителей, либо с помощью обычных домашних аудиомагнитофонов. Магнитные ленты до сих пор используются — например, на них хранят результаты работы Большого адронного коллайдера в CERN, с ними работает НАСА и некоторые крупные корпорации с огромными архивами. На них делают бэкапы, когда нужно хранить большие объёмы данных.
• Преимущество этого метода хранения состоит в цене. В IBM считают, что до 80% корпоративных данных можно записать на ленту. Но за низкую цену приходится платить низкой скоростью — доступ осуществляется последовательно, так что придётся ждать от нескольких десятков секунд до минуты для получения нужного файла.
• Проблему скорости доступа в 1960-е годы решала команда Алана Шугарта в IBM. Вместо ленты инженеры предложили гибкий магнитный диск с кожухом. В 1971 году IBM представила первую 8-дюймовую дискету на 80 килобайт и дисковод.
• После ухода из IBM Алан Шугарт продолжил работу с флоппи-дисками. В 1973 году он на деньги инвесторов основал Shugart Associates, которая вскоре представила 5 ,25-дюймовый мини-дискету в качестве замены громоздкому 8-дюймовому старшему брату. В сентябре 1976 года Shugart Associates предлагала привод за 390 долларов и десять дискет за 45 долларов. В 1977 году компанию купила Xerox, а в 1986 продала бизнес Narlinger Group.
• В 1979 году Алан Шугарт основал новую компанию — Shugart Technology. Целью предприятия было создание жёсткого диска размером с дисковод для 5,25-дюймовых флоппи-дисков, но в десять раз большей скоростью и в 15 раз большей ёмкостью. Сохранить название не удалось, так как уже существовала Shugart Associates, работавшая в той же отрасли, созданная тем же человеком, но принадлежавшая другой компании. Поэтому Shugart Technology переименовали в Seagate Technology. Спустя год после основания Seagate Technology компания представила первый в мире HDD потребительского класса, получивший неброское название ST 506 (на фото) ёмкостью 5 мегабайт... С этого момента и началась история Seagate...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи из Лаборатории Касперского сообщают об атаках китайской IronHusky на российские и монгольские правительственные учреждения с использованием обновленного RAT MysterySnail.
Новый имплант был найден исследователями в ходе расследования недавних атак, когда злоумышленники развертывали троян с помощью вредоносного скрипта MMC, замаскированного под документ Word, который загружал полезные нагрузки второго этапа и сохранялся на скомпрометированных системах.
Одной из вредоносных полезных нагрузок был неизвестный промежуточный бэкдор, который помогал передавать файлы между серверами С2 и взломанными устройствами, запускать командные оболочки, создавать новые процессы, удалять файлы и многое др.
По данным телеметрии, эти файлы оставляют следы вредоносного ПО MysterySnail RAT, импланта, который ЛК описала еще в 2021 году.
В наблюдаемых случаях заражений MysterySnail RAT был настроен на сохранение на скомпрометированных машинах в качестве службы.
Примечательно, что вскоре после того, как удалось заблокировать недавние вторжения, связанные с MysterySnail RAT, злоумышленники продолжили атаки, задействуя модернизированную и более лайтовую версию, состоящую из одного компонента, - MysteryMonoSnail.
Обновленная вредоносная ПО поддерживает десятки команд, что позволяет злоумышленникам управлять службами на скомпрометированном устройстве, выполнять команды оболочки, запускать и завершать процессы, а также управлять файлами и выполнять другие действия.
Последняя версия бэкдора похожа на оригинальный MysterySnail RAT, который ЛК впервые обнаружила в конце августа 2021 года в ходе широкомасштабных шпионских атак на ИТ-компании, военных подрядчиков и дипучреждения в России и Монголии.
В то время было замечено, что хакерская группа IronHusky развертывала вредоносное ПО на системах, взломанных с помощью 0-day эксплойтов, нацеленных на уязвимость драйвера ядра Windows Win32k (CVE-2021-40449).
При этом китайская APT была впервые обнаружена исследователями в 2017 году при расследовании кампании, нацеленной на российские и монгольские правительственные структуры с конечной целью сбора разведданных о российско-монгольских военных переговорах.
Год спустя ЛК также заметила, что хакеры эксплуатируют уязвимость повреждения памяти Microsoft Office (CVE-2017-11882) для распространения RAT, которые обычно используются китайскими хакерскими группами, включая PoisonIvy и PlugX.
Индикаторы компрометации и дополнительные технические подробности атак IronHusky с использованием MysterySnail RAT - в отчете.
Новый имплант был найден исследователями в ходе расследования недавних атак, когда злоумышленники развертывали троян с помощью вредоносного скрипта MMC, замаскированного под документ Word, который загружал полезные нагрузки второго этапа и сохранялся на скомпрометированных системах.
Одной из вредоносных полезных нагрузок был неизвестный промежуточный бэкдор, который помогал передавать файлы между серверами С2 и взломанными устройствами, запускать командные оболочки, создавать новые процессы, удалять файлы и многое др.
По данным телеметрии, эти файлы оставляют следы вредоносного ПО MysterySnail RAT, импланта, который ЛК описала еще в 2021 году.
В наблюдаемых случаях заражений MysterySnail RAT был настроен на сохранение на скомпрометированных машинах в качестве службы.
Примечательно, что вскоре после того, как удалось заблокировать недавние вторжения, связанные с MysterySnail RAT, злоумышленники продолжили атаки, задействуя модернизированную и более лайтовую версию, состоящую из одного компонента, - MysteryMonoSnail.
Обновленная вредоносная ПО поддерживает десятки команд, что позволяет злоумышленникам управлять службами на скомпрометированном устройстве, выполнять команды оболочки, запускать и завершать процессы, а также управлять файлами и выполнять другие действия.
Последняя версия бэкдора похожа на оригинальный MysterySnail RAT, который ЛК впервые обнаружила в конце августа 2021 года в ходе широкомасштабных шпионских атак на ИТ-компании, военных подрядчиков и дипучреждения в России и Монголии.
В то время было замечено, что хакерская группа IronHusky развертывала вредоносное ПО на системах, взломанных с помощью 0-day эксплойтов, нацеленных на уязвимость драйвера ядра Windows Win32k (CVE-2021-40449).
При этом китайская APT была впервые обнаружена исследователями в 2017 году при расследовании кампании, нацеленной на российские и монгольские правительственные структуры с конечной целью сбора разведданных о российско-монгольских военных переговорах.
Год спустя ЛК также заметила, что хакеры эксплуатируют уязвимость повреждения памяти Microsoft Office (CVE-2017-11882) для распространения RAT, которые обычно используются китайскими хакерскими группами, включая PoisonIvy и PlugX.
Индикаторы компрометации и дополнительные технические подробности атак IronHusky с использованием MysterySnail RAT - в отчете.
Securelist
New version of MysterySnail RAT and lightweight MysteryMonoSnail backdoor
MysterySnail RAT attributed to IronHusky APT group hasn’t been reported since 2021. Recently, Kaspersky GReAT detected new versions of this implant in government organizations in Mongolia and Russia.
• Практика не устает доказывать, что в любом ПО самая главная уязвимость — человеческий фактор. И неважно, появился ли баг из-за нехватки квалифицированности специалиста, выжил после долгих часов дебага в поисках ошибки, или считался хитро замаскировавшейся фичей. Иногда ошибки приводят не только к неприятностям в жизни рядового разработчика, но и вызывают настоящие катастрофы. Вот несколько историй о таких багах и их последствиях:
• В 1997 американский ракетный крейсер «Йорктаун» (CG-48), на котором были установлены 27 компьютеров (Pentium-Pro на 200 МГц), решил поделить на ноль и полностью вышел из строя.
Компьютеры работали на Windows NT — и работали они ровно так, как вы и ожидаете, узнав название оси. В то время ВМФ США старался максимально широко использовать коммерческое ПО с целью снижения стоимости военной техники. Компьютеры же позволяли автоматизировать управление кораблем без участия человека.
• На компьютеры «Йорктауна» поставили новую программу, управляющую двигателями. Один из операторов, занимавшийся калибровкой клапанов топливной системы, записал в одну из ячеек расчетной таблицы нулевое значение. 21 сентября 1997 года программа запустила операцию деления на этот самый ноль, началась цепная реакция, и ошибка быстро перекинулась на другие компьютеры локальной сети. В результате отказала вся компьютерная система «Йорктауна». Потребовалось почти три часа, чтобы подключить аварийную систему управления.
• Схожая проблема с нулем возникла при испытании истребителя в Израиле. Безупречно работавший самолет на автопилоте пролетел над равнинной частью, над горной частью, над долиной реки Иордан и приблизился к Мертвому морю. В этот момент произошел сбой, автопилот выключился, и пилоты посадили истребитель на ручном управлении.
• После долгих разбирательств удалось выяснить, что программы автопилота при вычислении параметров управления производили деление на значение текущей высоты истребителя над уровнем океана. Соответственно, у Мертвого моря, лежащего ниже уровня океана, высота становилась нулевой, провоцируя ошибку.
• В мире найдется немало историй, когда обновление софта, совершаемое с самыми благими целями, могло повести за собой множество проблем. В 2008 году атомная электростанция в штате Джорджия (США) мощностью 1,759 МВт в экстренном режиме приостановила работу на 48 часов.
• Инженер компании, занимающейся технологическим обслуживанием станции, установил обновление на главный компьютер сети АЭС. Компьютер использовался для слежения за химическими данными и диагностики одной из основных систем электростанции. После установки обновлений компьютер штатно перезагрузился, стерев из памяти данные управляющих систем. Система безопасности станции восприняла потерю части данных как выброс радиоактивных веществ в системы охлаждения реактора. В результате автоматика подала сигнал тревоги и остановила все процессы на станции... Вот такие дела...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Благодаря Raspberry Pi Zero автор этого материала собрал портативное устройство с Kali Linux Pi-Tail, которое питается и управляется с помощью смартфона.
• Возможности такого инструмента безграничны: от проверки безопасности Wi-Fi до анализа приложений iOS и Android с помощью Frida. Подробное описание реализации доступно по ссылке ниже.
#Пентест #ИБ #Raspberry
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Соларам удалось дотянуться до инфраструктуры проукраинской хакерской группы Shedding Zmiy, где их ожидала любопытная находка.
На одном из их C2-серверов в открытом доступе оказалась веб-панель, относящаяся к вредоносному ПО Bulldog Backdoor.
Bulldog Backdoor представляет собой кастомный кроссплатформенный имплант, написанный на языке Golang, имеет широкую функциональность, которая позволяет злоумышленникам выполнять различные задачи в инфраструктуре жертвы.
Впервые о ге стало известно как минимум в 2024 году. Данный вредонос уже фигурировал в предыдущих отчетах RT-Solar, посвященных инструментарию Shedding Zmiy (1 и 2), а Positive Technologies делали подробный разбор ранних версий этого ВПО.
Обнаруженная Соларами панель управления представляет собой веб-приложение, написанное на React.js (frontend-часть) и предоставляет операторам интерфейс для взаимодействия с уже развернутыми имплантами, а также содержит функциональность для генерации новых.
Исследователи считают данную панель ключевым элементом инфраструктуры группировки, поскольку она агрегирует собранные в ходе вредоносных кампаний данные, служит интерфейсом управления активными операциями и обеспечивает централизованный контроль над всей сетью зараженных систем.
Среди основных возможностей панели:
- генерация новых имплантов;
- управление активными сессиями, установленными во внутренней инфраструктуре жертвы;
- передача команд развернутым имплантам;
- сбор статистики - количество активных, завершенных и потерянных сессий, а также подробности по каждой из них;
- интерактивная карта инфраструктуры жертвы, обновляющаяся в реальном времени;
- система сущностей с многоуровневой абстракцией;
- автоматизированный перебор паролей, выполняемый на основе уже собранных учётных данных с зараженных хостов;
- возможность создания заметок для целей и связанных с ними хостов.
Солары загрузили весь исходный код frontend-части веб-панели (v0.1.15) и смогли провести более детальный технический анализ ее структуры и механизмов, а также понять подходы Shedding Zmiy к созданию инструмента управления вредоносным ПО.
Все подробности - в отчете.
На одном из их C2-серверов в открытом доступе оказалась веб-панель, относящаяся к вредоносному ПО Bulldog Backdoor.
Bulldog Backdoor представляет собой кастомный кроссплатформенный имплант, написанный на языке Golang, имеет широкую функциональность, которая позволяет злоумышленникам выполнять различные задачи в инфраструктуре жертвы.
Впервые о ге стало известно как минимум в 2024 году. Данный вредонос уже фигурировал в предыдущих отчетах RT-Solar, посвященных инструментарию Shedding Zmiy (1 и 2), а Positive Technologies делали подробный разбор ранних версий этого ВПО.
Обнаруженная Соларами панель управления представляет собой веб-приложение, написанное на React.js (frontend-часть) и предоставляет операторам интерфейс для взаимодействия с уже развернутыми имплантами, а также содержит функциональность для генерации новых.
Исследователи считают данную панель ключевым элементом инфраструктуры группировки, поскольку она агрегирует собранные в ходе вредоносных кампаний данные, служит интерфейсом управления активными операциями и обеспечивает централизованный контроль над всей сетью зараженных систем.
Среди основных возможностей панели:
- генерация новых имплантов;
- управление активными сессиями, установленными во внутренней инфраструктуре жертвы;
- передача команд развернутым имплантам;
- сбор статистики - количество активных, завершенных и потерянных сессий, а также подробности по каждой из них;
- интерактивная карта инфраструктуры жертвы, обновляющаяся в реальном времени;
- система сущностей с многоуровневой абстракцией;
- автоматизированный перебор паролей, выполняемый на основе уже собранных учётных данных с зараженных хостов;
- возможность создания заметок для целей и связанных с ними хостов.
Солары загрузили весь исходный код frontend-части веб-панели (v0.1.15) и смогли провести более детальный технический анализ ее структуры и механизмов, а также понять подходы Shedding Zmiy к созданию инструмента управления вредоносным ПО.
Все подробности - в отчете.
rt-solar.ru
В арсеналах Shedding Zmiy: разбираем код веб-панели Bulldog Backdoor
• В 1962 году космический корабль «Mariner 1» был уничтожен с земли после старта из-за отклонения от курса. Авария возникла на ракете из-за программного обеспечения, в котором разработчик пропустил всего один символ. В результате корабль стоимостью 18 миллионов долларов (в деньгах тех лет) получал неверные управляющие сигналы.
• При работе над системой управления ракетой программист переводил рукописные математические формулы в компьютерный код. Символ «верхнего тире» (индекса), он воспринял за обычное тире (или знак минус). Функция сглаживания стала отражать нормальные вариации скорости ракеты как критические и недопустимые. Однако даже допущенная ошибка могла не привести к критическому сбою, но как назло антенна ракеты потеряла связь с наводящей системой на Земле, и управление взял на себя бортовой компьютер.
• А вот еще одна история, которая привела к блэкауту в США: маленькая ошибка в программном обеспечении системы мониторинга работы оборудования General Electric Energy привела к тому, что 55 миллионов человек остались без электричества. На Восточном побережье США оказались обесточены жилые дома, школы, больницы, аэропорты.
• 14 августа 2003 года в 0:15 ночи оператор энергетической системы в Индиане с помощью инструмента мониторинга работы оборудования заметил небольшую проблему. Проблема вызвала раздражающий сигнал об ошибке, который оператор выключил. Оператору удалось за несколько минут решить все трудности, но он забыл перезапустить мониторинг — аварийный сигнал остался в выключенном положении.
• Отключение сигнала не стало основной причиной блэкаута. Но когда через несколько часов из-за контакта с деревом вырубились провисшие линии электропередачи в Огайо — об этом никто не узнал. Проблема приняла лавинообразный характер, перегруженные линии передачи и электростанции начали вырубаться в Нью-Йорке, Нью-Джерси, Мичигане и далее.
• Ни один из операторов не заметил каскад ошибок, которые медленно убивали энергосистему, из-за единственного выключенного сигнала тревоги — никаких дублирующих систем на этот случай не предполагалось. Официально сумма ущерба составила не менее $6 млрд. Такие дела...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Вы прикладываете ключ-карту к считывателю, и дверь офиса открывается. Но что, если такой пропуск может взломать и скопировать любой желающий?
• В 2020 году Shanghai Fudan Microelectronics выпустила новые смарт-карты FM11RF08S. Производитель заявил об их полной защищенности от всех известных методов взлома. Группа исследователей проверила эти заявления и обнаружила встроенный бэкдор, позволяющий получить полный доступ к данным карты.
• В этой статье описана история о том, как нашли этот бэкдор, и с какими последствиями можно столкнутся при его внедрении. Этот случай наглядно демонстрирует рискованность слепого доверия маркетинговым заявлениям о безопасности и важность независимого аудита критических систем.
• P.S. Статья основана на оригинальном исследовании Филиппа Тевена MIFARE Classic: exposing the static encrypted Nonce variant и ряде открытых публикаций.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM