Какой софт нужен пентестеру?
Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть в совершенстве будет полезно каждому.
https://teletype.in/@it_ha/Hk3eeNw9V
Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть в совершенстве будет полезно каждому.
https://teletype.in/@it_ha/Hk3eeNw9V
Teletype
Какой софт нужен пентестеру?
Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети...
Захватываем сеть через сервер централизованного управления и защищаемся от таких атак
Сегодня я на конкретном примере покажу, как антивирус может подставить под удар всю корпоративную сеть. Разберемся, почему средства централизованного управления необходимо охранять как зеницу ока, а затем сформулируем рекомендации по защите таких систем.
Статья
Сегодня я на конкретном примере покажу, как антивирус может подставить под удар всю корпоративную сеть. Разберемся, почему средства централизованного управления необходимо охранять как зеницу ока, а затем сформулируем рекомендации по защите таких систем.
Статья
В открытом доступе обнаружен сервер с содержимым СМС-сообщений от сервисов и банков
В сети уже несколько дней доступен сервер Elasticsearch. Суммарный размер индексов около 4,5 Тб. Среди отправителей СМС найдены Google, Тинькофф, Аэрофлот, Юла, Microsoft и т.п. Сервер рабочий, один из индексов (sendrecord202204) обновляется - туда добавляются новые SMS.
Сервер находится на площадке Amazon в США. Скорее всего речь идет о каком-то сервисе, предоставляющем различным компаниям услуги СМС-рассылок.
Номера телефонов получателей скрыты звездочками, но содержимое сообщений, включая одноразовые коды для двухфакторной аутентификации и восстановления паролей, хранится в неизменном виде.
В сети уже несколько дней доступен сервер Elasticsearch. Суммарный размер индексов около 4,5 Тб. Среди отправителей СМС найдены Google, Тинькофф, Аэрофлот, Юла, Microsoft и т.п. Сервер рабочий, один из индексов (sendrecord202204) обновляется - туда добавляются новые SMS.
Сервер находится на площадке Amazon в США. Скорее всего речь идет о каком-то сервисе, предоставляющем различным компаниям услуги СМС-рассылок.
Номера телефонов получателей скрыты звездочками, но содержимое сообщений, включая одноразовые коды для двухфакторной аутентификации и восстановления паролей, хранится в неизменном виде.
Готовые наборы для фишинга
Черный рынок инструментов киберкриминала позволяет начинающему преступнику собрать все необходимое для атаки за умеренную плату. Обычно предметом исследования такого подпольного b2b становятся партнерские программы по распространению вымогателей-шифровальщиков и продажа иного вредоносного ПО.
Статья
Черный рынок инструментов киберкриминала позволяет начинающему преступнику собрать все необходимое для атаки за умеренную плату. Обычно предметом исследования такого подпольного b2b становятся партнерские программы по распространению вымогателей-шифровальщиков и продажа иного вредоносного ПО.
Статья
Критический баг в GitLab позволяет захватывать чужие аккаунты
Устранена критическая уязвимость, позволявшая удаленно получать доступ к учетным записям пользователей с помощью жестко заданных паролей. CVE-2022-1162 затрагивала и GitLab Community Edition (CE), и Enterprise Edition (EE).
«Для учетных записей, зарегистрированных с использованием OmniAuth, в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, был установлен жестко закодированный пароль, в теории позволяющий злоумышленникам захватывать учетные записи», — объясняет команда GitLab.
Разработчики сбросили пароли некоторых пользователей GitLab. com, стремясь смягчить последствия CVE-2022-1162. Сообщается, что пока никаких признаков компрометации и эксплуатации этого бага хакерам обнаружено не было.
На всякий случай компания создала скрипт, который позволит администраторам найти учетные записи пользователей, потенциально уязвимых перед CVE-2022-1162.
Устранена критическая уязвимость, позволявшая удаленно получать доступ к учетным записям пользователей с помощью жестко заданных паролей. CVE-2022-1162 затрагивала и GitLab Community Edition (CE), и Enterprise Edition (EE).
«Для учетных записей, зарегистрированных с использованием OmniAuth, в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, был установлен жестко закодированный пароль, в теории позволяющий злоумышленникам захватывать учетные записи», — объясняет команда GitLab.
Разработчики сбросили пароли некоторых пользователей GitLab. com, стремясь смягчить последствия CVE-2022-1162. Сообщается, что пока никаких признаков компрометации и эксплуатации этого бага хакерам обнаружено не было.
На всякий случай компания создала скрипт, который позволит администраторам найти учетные записи пользователей, потенциально уязвимых перед CVE-2022-1162.
Двум британским подросткам 16 и 17 лет были предъявлены обвинения в пособничестве вымогательской хак-группе Lapsus$
«Обоим подросткам предъявлены обвинения: по трем пунктам несанкционированного доступа к компьютеру с намерением нарушить достоверность данных; по одному пункту мошенничества путем предоставления ложных сведений и по одному пункту несанкционированного доступа к компьютеру с целью нарушить доступ к данным. Также 16-летнему подростку предъявлено обвинение в том, что он заставил компьютер выполнять функцию для защиты несанкционированного доступа к программе».
Хотя правоохранители по-прежнему не раскрывают названия хак-группы, членами которой были эти подростки, BBC вновь пишет, что они были связаны с Lapsus$, а также сообщает, что обоих уже освободили под залог.
«Обоим подросткам предъявлены обвинения: по трем пунктам несанкционированного доступа к компьютеру с намерением нарушить достоверность данных; по одному пункту мошенничества путем предоставления ложных сведений и по одному пункту несанкционированного доступа к компьютеру с целью нарушить доступ к данным. Также 16-летнему подростку предъявлено обвинение в том, что он заставил компьютер выполнять функцию для защиты несанкционированного доступа к программе».
Хотя правоохранители по-прежнему не раскрывают названия хак-группы, членами которой были эти подростки, BBC вновь пишет, что они были связаны с Lapsus$, а также сообщает, что обоих уже освободили под залог.
GitHub будет автоматически блокировать коммиты с API-ключами и токенами аутентификации
GitHub представил функцию, направленную на проактивную защиту разработчиков от случайных утечек. Теперь GitHub Advanced Security будет автоматически блокировать утечки секретов, будь то API-ключи или токены аутентификации.
Дополнительная функция безопасности, носящая название push-защита, позволит организациям, использующим GitHub Enterprise Cloud с лицензией GitHub Advanced Security, включить дополнительное сканирования для своих репозиториев.
Таким образом, если GitHub Enterprise Cloud обнаружит некий секрет в коде перед его отправкой, git push блокируется, чтобы разработчик мог просмотреть и удалить секреты из кода, который пытался закоммитить. Также разработчики смогут помечать такие предупреждения как ложные, тестовые или оставлять их для последующего исправления.
GitHub отмечает, что на сегодняшний день в тысячах частных репозиториев уже были обнаружены более 700 000 секретов.
GitHub представил функцию, направленную на проактивную защиту разработчиков от случайных утечек. Теперь GitHub Advanced Security будет автоматически блокировать утечки секретов, будь то API-ключи или токены аутентификации.
Дополнительная функция безопасности, носящая название push-защита, позволит организациям, использующим GitHub Enterprise Cloud с лицензией GitHub Advanced Security, включить дополнительное сканирования для своих репозиториев.
Таким образом, если GitHub Enterprise Cloud обнаружит некий секрет в коде перед его отправкой, git push блокируется, чтобы разработчик мог просмотреть и удалить секреты из кода, который пытался закоммитить. Также разработчики смогут помечать такие предупреждения как ложные, тестовые или оставлять их для последующего исправления.
GitHub отмечает, что на сегодняшний день в тысячах частных репозиториев уже были обнаружены более 700 000 секретов.
Откуда сайт знает, что ты сидишь в уборной?
Многие не представляют, какой объём данных можно снимать с акселерометра в смартфоне. Думаете, информация используется только для поворота экрана? Далеко не так. На самом деле паттерны движения смартфона и его положение в пространстве многое говорят о действиях пользователя: он сидит, лежит, стоит, бежит… Можно распознать личность человека по голосу из динамика, записав реверберации корпуса смартфона через акселерометр. Определить, кто находится рядом в автобусе или автомобиле (с такими же паттернами движения).
Статья
Многие не представляют, какой объём данных можно снимать с акселерометра в смартфоне. Думаете, информация используется только для поворота экрана? Далеко не так. На самом деле паттерны движения смартфона и его положение в пространстве многое говорят о действиях пользователя: он сидит, лежит, стоит, бежит… Можно распознать личность человека по голосу из динамика, записав реверберации корпуса смартфона через акселерометр. Определить, кто находится рядом в автобусе или автомобиле (с такими же паттернами движения).
Статья
Как работает атака TCP Reset
Атака TCP reset выполняется при помощи одного пакета данных размером не более нескольких байт. Подменённый спуфингом TCP-сегмент, созданный и переданный атакующим, хитростью заставляет двух жертв завершить TCP-соединение, прервав между ними связь, которая могла быть критически важной. Как это провернуть мы описали в статье.
https://teletype.in/@it_ha/tcp_reset
Атака TCP reset выполняется при помощи одного пакета данных размером не более нескольких байт. Подменённый спуфингом TCP-сегмент, созданный и переданный атакующим, хитростью заставляет двух жертв завершить TCP-соединение, прервав между ними связь, которая могла быть критически важной. Как это провернуть мы описали в статье.
https://teletype.in/@it_ha/tcp_reset
Teletype
Как работает атака TCP Reset
Эта атака имела последствия и в реальном мире. Опасения её использования вызвали внесение изменений в сам протокол TCP. Считается, что...
Топ 5 самых громких событий инфосека за март 2022
Дайджест запомнившихся событий за ушедший месяц. Сегодня отложим в сторону набившие оскомину новости с фронтов кибервойны и заглянем в киберпреступное закулисье. В сегодняшнем выпуске новые рекорды по краже криптовалют, взлёты и падения противоречивой группировки Lapsus$, громкие аресты злоумышленников по всему миру и другое.
Статья
Дайджест запомнившихся событий за ушедший месяц. Сегодня отложим в сторону набившие оскомину новости с фронтов кибервойны и заглянем в киберпреступное закулисье. В сегодняшнем выпуске новые рекорды по краже криптовалют, взлёты и падения противоречивой группировки Lapsus$, громкие аресты злоумышленников по всему миру и другое.
Статья
Взлом кикшеринга
В один прекрасный весенний вечер мне в голову пришла прекрасная идея - попробовать зареверсить приватный API одного из самых крупных шерингов самокатов в РФ. Сразу скажу что на публикацию этого материала мне дал разрешение лично директор компании, но попросил не называть имена и название сервиса. Так же скажу что это не инструкция к действию, ведь уязвимость уже исправили и смысла пытаться её воспроизвести нет.
Статья
В один прекрасный весенний вечер мне в голову пришла прекрасная идея - попробовать зареверсить приватный API одного из самых крупных шерингов самокатов в РФ. Сразу скажу что на публикацию этого материала мне дал разрешение лично директор компании, но попросил не называть имена и название сервиса. Так же скажу что это не инструкция к действию, ведь уязвимость уже исправили и смысла пытаться её воспроизвести нет.
Статья
Apple всё ещё следит за вами. Без вашего согласия
В текущей версии macOS Monterey, при каждом обновлении системы на системе, содержащей чип M1, такой же как и все новые блестящие/быстрые маки с ARM ("Apple Silicon"), процесс обновления обращается в Apple, чтобы получить специальную подпись загрузки, известную на жаргоне Apple как "билет" (он же ticket).
Это позволяет любому определить примерное местоположение устройства, даже если он не находится рядом. Из-за того, что он может видеть IP-адрес клиента (что эквивалентно примерно геолокации на уровне города) и серийный номер устройства.
Статья
В текущей версии macOS Monterey, при каждом обновлении системы на системе, содержащей чип M1, такой же как и все новые блестящие/быстрые маки с ARM ("Apple Silicon"), процесс обновления обращается в Apple, чтобы получить специальную подпись загрузки, известную на жаргоне Apple как "билет" (он же ticket).
Это позволяет любому определить примерное местоположение устройства, даже если он не находится рядом. Из-за того, что он может видеть IP-адрес клиента (что эквивалентно примерно геолокации на уровне города) и серийный номер устройства.
Статья
Захватываем сеть через сервер централизованного управления и защищаемся от таких атак
Сегодня я на конкретном примере покажу, как антивирус может подставить под удар всю корпоративную сеть. Разберемся, почему средства централизованного управления необходимо охранять как зеницу ока, а затем сформулируем рекомендации по защите таких систем.
Статья
Сегодня я на конкретном примере покажу, как антивирус может подставить под удар всю корпоративную сеть. Разберемся, почему средства централизованного управления необходимо охранять как зеницу ока, а затем сформулируем рекомендации по защите таких систем.
Статья
Критические уязвимости в HP Teradici PCoIP угрожают 15 млн эндпоинтов
Teradici PCoIP представляет собой проприетарный протокол удаленного рабочего стола, лицензированный многими поставщиками решений для виртуализации. Компания HP прибрела его в 2021 году и теперь использует в собственных продуктах.
Продукты Teradici PCoIP развернуты на 15 000 000 эндпоинтов, включая правительственные учреждения, армейские подразделения, фирмы по разработке игр, вещательные корпорации, новостные организации и так далее.
Производитель сообщает, что в первую очередь на Teradici влияет недавно обнаруженная проблема в OpenSSL, CVE-2022-0778, связанная с парсингом сертификатов.
Также HP предупреждает еще о десяти уязвимостях, три из которых относятся к критическим (9,8 балла по шкале CVSS), 8 относятся к категории высокого уровня серьезности и еще одна оценивается как средняя.
Все эти проблемы представляют опасность для клиента PCoIP, клиентского SDK, Graphics Agent и Standard Agent для Windows, Linux и macOS.
Teradici PCoIP представляет собой проприетарный протокол удаленного рабочего стола, лицензированный многими поставщиками решений для виртуализации. Компания HP прибрела его в 2021 году и теперь использует в собственных продуктах.
Продукты Teradici PCoIP развернуты на 15 000 000 эндпоинтов, включая правительственные учреждения, армейские подразделения, фирмы по разработке игр, вещательные корпорации, новостные организации и так далее.
Производитель сообщает, что в первую очередь на Teradici влияет недавно обнаруженная проблема в OpenSSL, CVE-2022-0778, связанная с парсингом сертификатов.
Также HP предупреждает еще о десяти уязвимостях, три из которых относятся к критическим (9,8 балла по шкале CVSS), 8 относятся к категории высокого уровня серьезности и еще одна оценивается как средняя.
Все эти проблемы представляют опасность для клиента PCoIP, клиентского SDK, Graphics Agent и Standard Agent для Windows, Linux и macOS.
Хакеры активно используют критическую уязвимость CVE-2022-22954 в VMware
В Сети был опубликован PoC-код для эксплуатации уязвимости удаленного выполнения кода в VMware (CVE-2022-22954), которая уже используется в реальных хакерских атаках. Преступники в ходе атак устанавливают на системы жертв майнеры криптовалют.
Уязвимость получила оценку в 9,8 балла из максимальных 10 по шкале CVSS и затрагивает популярные программные продукты VMware Workspace ONE Access и VMware Identity Manager.
6 апреля 2022 года поставщик программного обеспечения выпустил уведомление касательно данной уязвимости, а также обновление безопасности, устраняющее проблему.
Специалисты компании Bad Packets обнаружили попытки использовать уязвимость в реальных атаках. В ходе одной из таких атак использовался бэкдор Tsunami для Linux-систем.
В Сети был опубликован PoC-код для эксплуатации уязвимости удаленного выполнения кода в VMware (CVE-2022-22954), которая уже используется в реальных хакерских атаках. Преступники в ходе атак устанавливают на системы жертв майнеры криптовалют.
Уязвимость получила оценку в 9,8 балла из максимальных 10 по шкале CVSS и затрагивает популярные программные продукты VMware Workspace ONE Access и VMware Identity Manager.
6 апреля 2022 года поставщик программного обеспечения выпустил уведомление касательно данной уязвимости, а также обновление безопасности, устраняющее проблему.
Специалисты компании Bad Packets обнаружили попытки использовать уязвимость в реальных атаках. В ходе одной из таких атак использовался бэкдор Tsunami для Linux-систем.
«Web‑капкан» и «Т‑Поиск». Как следователей учат искать пользователей телеграма с помощью OSINT
В марте военный эксперт Егор Лебедок обнародовал копию предназначенного для силовиков доклада о способах деанонимизации пользователей телеграма. Автор этой методички обучал следователей основам OSINT — поиска по открытым источникам, который в своей работе используют журналисты-расследователи. Разбираемся, как следователи и оперативники могут вычислять владельцев аккаунтов в телеграме и почему некоторые из предложенных в докладе методов незаконны.
Статья
В марте военный эксперт Егор Лебедок обнародовал копию предназначенного для силовиков доклада о способах деанонимизации пользователей телеграма. Автор этой методички обучал следователей основам OSINT — поиска по открытым источникам, который в своей работе используют журналисты-расследователи. Разбираемся, как следователи и оперативники могут вычислять владельцев аккаунтов в телеграме и почему некоторые из предложенных в докладе методов незаконны.
Статья