Средства автоматизации анализа вредоносных программ
В данной статье на примере программы-вымогателя REvil рассматривается использование при анализе вредосного программного обеспечения таких средств автоматизации, как Python, IDAPython, x64bgpy.
https://teletype.in/@onehellsus/n0dd-v4SyCS
В данной статье на примере программы-вымогателя REvil рассматривается использование при анализе вредосного программного обеспечения таких средств автоматизации, как Python, IDAPython, x64bgpy.
https://teletype.in/@onehellsus/n0dd-v4SyCS
Teletype
Средства автоматизации анализа вредоносных программ
На днях попал мне в руки мартовский образец программы-вымогателя REvil, интересно было уточнить одну деталь. Образец оказался...
Вчера биткоин рухнул до $38 тысяч — всё из-за крупной атаки на пользователей NFT-биржи OpenSea
Цена биткоина и многих других популярных криптовалют последние несколько дней балансировала на грани обвала, в том числе из-за обострения ситуации вокруг Украины. Однако толчком к резкому падению курса криптовалют стала новость об атаке на NFT-биржу OpenSea, в результате которой злоумышленники похитили сотни невзаимозаменяемых токенов общей стоимостью более $1,7 млн.
За последние 24 часа стоимость одного биткоина опустилась ниже $40
Сегодняшний обвал цен, из-за которого капитализация криптовалютного рынка за сутки упала примерно на $70 млрд, вызван серией сообщений от взволнованных NFT-трейдеров о взломе биржи OpenSea. После этого платформа OpenSea заявила, что не подвергалась взлому, а пользователи подверглись атаке мошенников и сами передали им свои токены. Компания сообщила о проведении расследования «слухов об эксплойте».
Цена биткоина и многих других популярных криптовалют последние несколько дней балансировала на грани обвала, в том числе из-за обострения ситуации вокруг Украины. Однако толчком к резкому падению курса криптовалют стала новость об атаке на NFT-биржу OpenSea, в результате которой злоумышленники похитили сотни невзаимозаменяемых токенов общей стоимостью более $1,7 млн.
За последние 24 часа стоимость одного биткоина опустилась ниже $40
Сегодняшний обвал цен, из-за которого капитализация криптовалютного рынка за сутки упала примерно на $70 млрд, вызван серией сообщений от взволнованных NFT-трейдеров о взломе биржи OpenSea. После этого платформа OpenSea заявила, что не подвергалась взлому, а пользователи подверглись атаке мошенников и сами передали им свои токены. Компания сообщила о проведении расследования «слухов об эксплойте».
Новые смартфоны из российских магазинов полны китайских вирусов
Россия заняла второе место в мире по количеству смартфонов с предустановленным вредоносным ПО. На первом месте Индонезия.
Среди зараженных моделей ZTE (Blade 3), MiOne (P1, R5, R3, Hero 5), Meizu (V8), Huawei (Mate 20 Pro, P9, P20 Pro, Honor (5X KIW-TL100 и другие)).
Вредонос используется мошенниками в схемах нелегальных SMS-регистраций учетных записей, например в сервисах каршеринга. Тогда в случае ДТП финансовая ответственность будет грозить не виновнику аварии, а владельцу зараженного телефона. Эксперты не исключают, что вредонос внедряется в смартфоны еще на этапе производства в Китае.
В РФ от этой проблемы пострадали около 16к устройств. Эксперты называют это оценочным показателем, который может оказаться куда выше в реальности. К примеру, ресурсы, предлагающие нелегальные услуги, заявляют о наличии 116,3 тысячи смартфонов под их контролем.
Россия заняла второе место в мире по количеству смартфонов с предустановленным вредоносным ПО. На первом месте Индонезия.
Среди зараженных моделей ZTE (Blade 3), MiOne (P1, R5, R3, Hero 5), Meizu (V8), Huawei (Mate 20 Pro, P9, P20 Pro, Honor (5X KIW-TL100 и другие)).
Вредонос используется мошенниками в схемах нелегальных SMS-регистраций учетных записей, например в сервисах каршеринга. Тогда в случае ДТП финансовая ответственность будет грозить не виновнику аварии, а владельцу зараженного телефона. Эксперты не исключают, что вредонос внедряется в смартфоны еще на этапе производства в Китае.
В РФ от этой проблемы пострадали около 16к устройств. Эксперты называют это оценочным показателем, который может оказаться куда выше в реальности. К примеру, ресурсы, предлагающие нелегальные услуги, заявляют о наличии 116,3 тысячи смартфонов под их контролем.
В Github появилась функция сканирования кода на уязвимости
GitHub запустил в тестовом режиме сервис Code Scanning, основанный на алгоритмах машинного обучения. Инструмент сканирует код и выявляет в нём ошибки, приводящие к межсайтовому скриптингу, искажению путей файлов и подстановке SQL и NoSQL запросов. Пока функция работает только в репозиториях с JavaScript и TypeScript кодом.
Code Scanning реализован на основе CodeQL, проверка кода активируется при каждом выполнении команды git push, а результат закрепляется к pull-запросу. Чтобы его активировать, достаточно быть пользователем наборов security-extended и security-and-quality. Или включить поддержку функции вручную
Ссылка
GitHub запустил в тестовом режиме сервис Code Scanning, основанный на алгоритмах машинного обучения. Инструмент сканирует код и выявляет в нём ошибки, приводящие к межсайтовому скриптингу, искажению путей файлов и подстановке SQL и NoSQL запросов. Пока функция работает только в репозиториях с JavaScript и TypeScript кодом.
Code Scanning реализован на основе CodeQL, проверка кода активируется при каждом выполнении команды git push, а результат закрепляется к pull-запросу. Чтобы его активировать, достаточно быть пользователем наборов security-extended и security-and-quality. Или включить поддержку функции вручную
Ссылка
70+ бесплатных инструментов для компьютерной криминалистики (форензики)
Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source сообществу.
Давайте пройдемся по просторам GitHub и посмотрим, какие инструменты для сбора и анализа цифровых доказательств доступны всем желающим.
Статья
Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source сообществу.
Давайте пройдемся по просторам GitHub и посмотрим, какие инструменты для сбора и анализа цифровых доказательств доступны всем желающим.
Статья
Почему так легко захватить вашу сеть изнутри?
Внутреннее тестирование на проникновение, одна из самых сложных и при этом впечатляющих услуг на рынке. Впечатляющих в первую очередь для руководства, ведь за несколько дней, а иногда и часов, пентестер выкладывает перед ним на стол пароли к учетным записям в базах данных 1с, SAP, CRM, Jira, пароль администратора домена, финансовую отчетность, сканы паспортов топ менеджмента и любую другую информацию по запросу.
Статья
Внутреннее тестирование на проникновение, одна из самых сложных и при этом впечатляющих услуг на рынке. Впечатляющих в первую очередь для руководства, ведь за несколько дней, а иногда и часов, пентестер выкладывает перед ним на стол пароли к учетным записям в базах данных 1с, SAP, CRM, Jira, пароль администратора домена, финансовую отчетность, сканы паспортов топ менеджмента и любую другую информацию по запросу.
Статья
Найдена новая критическая ошибка RCE в Adobe Commerce, Magento
Adobe обновила свой недавний внеполосный совет по безопасности, добавив еще одну критическую ошибку, а исследователи выложили PoC для ошибки, которую они экстренно исправили в прошлые выходные.
Еще одна ошибка нулевого дня была обнаружена в платформах Magento Open Source и Adobe Commerce, а исследователи создали рабочий эксплойт для недавно исправленной уязвимости CVE-2022-24086, которая подверглась активной атаке и заставила Adobe выпустить экстренное исправление в минувшие выходные.
Злоумышленники могли использовать любой из этих эксплойтов для удаленного выполнения кода (RCE) от неаутентифицированного пользователя.
Новый дефект, подробно описанный в четверг, имеет тот же уровень серьезности, что и его предшественник, который Adobe исправила 13 февраля. Он отслеживается как CVE-2022-24087 и имеет аналогичный рейтинг 9,8 по системе оценки уязвимостей CVSS.
Adobe обновила свой недавний внеполосный совет по безопасности, добавив еще одну критическую ошибку, а исследователи выложили PoC для ошибки, которую они экстренно исправили в прошлые выходные.
Еще одна ошибка нулевого дня была обнаружена в платформах Magento Open Source и Adobe Commerce, а исследователи создали рабочий эксплойт для недавно исправленной уязвимости CVE-2022-24086, которая подверглась активной атаке и заставила Adobe выпустить экстренное исправление в минувшие выходные.
Злоумышленники могли использовать любой из этих эксплойтов для удаленного выполнения кода (RCE) от неаутентифицированного пользователя.
Новый дефект, подробно описанный в четверг, имеет тот же уровень серьезности, что и его предшественник, который Adobe исправила 13 февраля. Он отслеживается как CVE-2022-24087 и имеет аналогичный рейтинг 9,8 по системе оценки уязвимостей CVSS.
Сбор персональных данных пользователей в Европе и России: что нужно знать и к чему готовиться
Любая компания, деятельность которой связана со сбором, хранением и обработкой персональных данных (ПДн), должна соответствовать требованиям регуляторов. Это необходимо делать как в России, так и Европе, причем во втором случае компания столкнется с более жесткими штрафными санкциями в случае нарушений.
Статья
Любая компания, деятельность которой связана со сбором, хранением и обработкой персональных данных (ПДн), должна соответствовать требованиям регуляторов. Это необходимо делать как в России, так и Европе, причем во втором случае компания столкнется с более жесткими штрафными санкциями в случае нарушений.
Статья
Какой софт нужен пентестеру?
Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть в совершенстве будет полезно каждому.
https://teletype.in/@it_ha/Hk3eeNw9V
Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть в совершенстве будет полезно каждому.
https://teletype.in/@it_ha/Hk3eeNw9V
Teletype
Какой софт нужен пентестеру?
Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети...
Европейские альтернативы американским интернет-сервисам
Судя по последним событиям, Евросоюз начал по-взрослому давить на Google, Facebook и другие американские компании, которые собирают персональные данные европейских граждан и отправляют в США.
Например, в начале 2022 года популярный инструмент Google Analytics уже запретили к использованию в трёх странах Евросоюза. Чего нам ожидать дальше? Простая экстраполяция:
Статья
Судя по последним событиям, Евросоюз начал по-взрослому давить на Google, Facebook и другие американские компании, которые собирают персональные данные европейских граждан и отправляют в США.
Например, в начале 2022 года популярный инструмент Google Analytics уже запретили к использованию в трёх странах Евросоюза. Чего нам ожидать дальше? Простая экстраполяция:
Статья
Игровые и банковские трояны доминируют на рынке вредоносного ПО для мобильных устройств
Общее число атак на мобильных пользователей сократилось, но они становятся все более изощренными, как с точки зрения функциональности вредоносного ПО, так и с точки зрения векторов, говорят исследователи.
Число кибератак, направленных на пользователей мобильных устройств, в прошлом году снизилось, обнаружили исследователи, но пока не стоит открывать шампанское. Снижение было компенсировано более сложными, изощренными и проворными мобильными вредоносными программами.
В отчете, опубликованном в понедельник, Касперский сообщил, что его исследователи заметили тенденцию к снижению числа атак на мобильных пользователей, как показано на диаграмме ниже. Однако, по словам экспертов "Касперского" Татьяны Шишковой и Антона Киввы, "атаки становятся все более изощренными как в плане функциональности вредоносного ПО, так и в плане векторов".
Общее число атак на мобильных пользователей сократилось, но они становятся все более изощренными, как с точки зрения функциональности вредоносного ПО, так и с точки зрения векторов, говорят исследователи.
Число кибератак, направленных на пользователей мобильных устройств, в прошлом году снизилось, обнаружили исследователи, но пока не стоит открывать шампанское. Снижение было компенсировано более сложными, изощренными и проворными мобильными вредоносными программами.
В отчете, опубликованном в понедельник, Касперский сообщил, что его исследователи заметили тенденцию к снижению числа атак на мобильных пользователей, как показано на диаграмме ниже. Однако, по словам экспертов "Касперского" Татьяны Шишковой и Антона Киввы, "атаки становятся все более изощренными как в плане функциональности вредоносного ПО, так и в плане векторов".
Кибератаки используют DocuSign для кражи логинов Microsoft Outlook
Целенаправленная фишинговая атака нацелена на крупную американскую платежную компанию.
По словам исследователей, изощренная фишинговая кампания, направленная на "крупную, публично торгуемую компанию, занимающуюся разработкой интегрированных платежных решений, расположенную в Северной Америке", использовала DocuSign и взломанный домен электронной почты третьей стороны, чтобы обойти меры безопасности электронной почты.
Эта кампания распространяла безобидные на первый взгляд электронные письма по всей компании с целью кражи учетных данных Microsoft, сообщили исследователи из Armorblox.
Целенаправленная фишинговая атака нацелена на крупную американскую платежную компанию.
По словам исследователей, изощренная фишинговая кампания, направленная на "крупную, публично торгуемую компанию, занимающуюся разработкой интегрированных платежных решений, расположенную в Северной Америке", использовала DocuSign и взломанный домен электронной почты третьей стороны, чтобы обойти меры безопасности электронной почты.
Эта кампания распространяла безобидные на первый взгляд электронные письма по всей компании с целью кражи учетных данных Microsoft, сообщили исследователи из Armorblox.
TrickBot делает перерыв, оставляя исследователей ломать голову
По мнению исследователей, печально известный троян, вероятно, претерпел некоторые серьезные изменения в своей работе.
По мнению исследователей, группа, стоящая за вредоносным ПО TrickBot, вернулась после необычайно долгого перерыва между кампаниями, но теперь она работает с меньшей активностью. Они пришли к выводу, что пауза может быть вызвана тем, что банда TrickBot провела большую операционную перестановку, сфокусировавшись на партнерских вредоносных программах, таких как Emotet.
В опубликованном в четверг отчете Intel 471 отмечается "странный" период относительного бездействия, когда "с 28 декабря 2021 года по 17 февраля 2022 года исследователи Intel 471 не видели новых кампаний TrickBot".
По мнению исследователей, печально известный троян, вероятно, претерпел некоторые серьезные изменения в своей работе.
По мнению исследователей, группа, стоящая за вредоносным ПО TrickBot, вернулась после необычайно долгого перерыва между кампаниями, но теперь она работает с меньшей активностью. Они пришли к выводу, что пауза может быть вызвана тем, что банда TrickBot провела большую операционную перестановку, сфокусировавшись на партнерских вредоносных программах, таких как Emotet.
В опубликованном в четверг отчете Intel 471 отмечается "странный" период относительного бездействия, когда "с 28 декабря 2021 года по 17 февраля 2022 года исследователи Intel 471 не видели новых кампаний TrickBot".
Шпионский бэкдор Daxin повышает ставки на китайские вредоносные программы
С помощью узлового хоппинга инструмент шпионажа может достигать компьютеров, даже не подключенных к Интернету.
По словам исследователей, вредоносная программа Daxin нацелена на защищенные правительственные сети по всему миру с целью кибершпионажа.
Команда Symantec Threat Hunter заметила передовую постоянную угрозу (APT) в действии в ноябре, отметив, что это "самая продвинутая часть вредоносного ПО, которую исследователи Symantec видели от связанных с Китаем субъектов... демонстрирующая техническую сложность, ранее невиданную для таких субъектов".
Они добавили, что специфический набор операций Daxin включает чтение и запись произвольных файлов, запуск произвольных процессов и взаимодействие с ними, а также расширенные возможности латерального перемещения и скрытности.
С помощью узлового хоппинга инструмент шпионажа может достигать компьютеров, даже не подключенных к Интернету.
По словам исследователей, вредоносная программа Daxin нацелена на защищенные правительственные сети по всему миру с целью кибершпионажа.
Команда Symantec Threat Hunter заметила передовую постоянную угрозу (APT) в действии в ноябре, отметив, что это "самая продвинутая часть вредоносного ПО, которую исследователи Symantec видели от связанных с Китаем субъектов... демонстрирующая техническую сложность, ранее невиданную для таких субъектов".
Они добавили, что специфический набор операций Daxin включает чтение и запись произвольных файлов, запуск произвольных процессов и взаимодействие с ними, а также расширенные возможности латерального перемещения и скрытности.