• Есть причина, по которой TCP является наиболее часто используемым протоколом. Он надежен и гарантирует, что данные будут получены точно так же, как они были отправлены. Его проверенный на наличие ошибок поток информации может немного замедлить его работу, но в большинстве случаев задержка не является решающим фактором.
• Время, когда UDP сияет ярче, чем TCP, — это когда скорость имеет решающее значение, например, при потоковой передаче видео, VPN или онлайн-играх.
#Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
• Если не сильно углубляться в теорию, то Local Security Authority Subsystem Service (он же LSASS) — это процесс (исполняемый файл C:\Windows\System32\lsass.exe), ответственный за управление разными подсистемами аутентификации ОС #Windows. Среди его задач: проверка «кред» локальных и доменных аккаунтов в ходе различных сценариев запроса доступа к системе, генерация токенов безопасности для активных сессий пользователей, работа с провайдерами поддержки безопасности (Security Support Provider, SSP) и др.
• В домене Active Directory правит концепция единого входа Single Sign-On (SSO), благодаря которой процесс
lsass.exe хранит в себе разные материалы аутентификации залогиненных пользователей, например, NT-хеши и билеты Kerberos, чтобы «пользачу» не приходилось печатать свой пароль в вылезающем на экране окошке каждые 5 минут. В «лучшие» времена из LSASS можно было потащить пароли в открытом виде в силу активности протокола WDigest (HTTP дайджест-аутентификация), но начиная с версии ОС Windows Server 2008 R2 вендор решил не включать этот механизм по умолчанию.• При успешном дампе LSASS злоумышленнику чаще всего остается довольствоваться NT-хешами и билетами Kerberos, это все равно с большой вероятностью позволит ему повысить свои привилегии в доменной среде AD за короткий промежуток времени. Реализуя схемы Pass-the-Hash, Overpass-the-Hash и Pass-the-Ticket, злоумышленник может быстро распространиться по сети горизонтально, собирая по пути все больше хешей и «тикетов», что в конечном итоге дарует ему «ключи от Королевства» в виде данных аутентификации администратора домена.
• В этой статье представлены 50 методов извлечения данных аутентификации из памяти LSASS: https://redteamrecipe.com/50-methods-for-lsass-dumprtc0002
#Red_Team #Пентест #AD
Please open Telegram to view this post
VIEW IN TELEGRAM
• ПО для обеспечения безопасности Kubernetes… их так много, и у каждого свои цели, область применения и лицензии... Однако, хочу поведать Вам о некоторых интересных решениях с открытым исходным кодом, которые полностью бесплатны:
• Trivy — простой, но мощный сканер уязвимостей для контейнеров, легко интегрируемый в CI/CD-пайплайн. Его примечательная особенность — простота установки и работы: приложение состоит из единственного бинарника и не требует установки базы данных или дополнительных библиотек. Обратная сторона простоты Trivy состоит в том, что придется разбираться, как парсить и пересылать результаты в формате JSON, чтобы ими могли воспользоваться другие инструменты безопасности Kubernetes.
• Portieris — это admission controller для Kubernetes; применяется для принудительных проверок на доверие к контенту. Portieris использует сервер Notary в качестве источника истины для подтверждения доверенных и подписанных артефактов (то есть одобренных контейнерных образов). При создании или изменении рабочей нагрузки в Kubernetes Portieris загружает информацию о подписи и политику доверия к контенту для запрошенных образов контейнеров и при необходимости на лету вносит изменения в JSON-объект API для запуска подписанных версий этих образов.
• Kube-bench — приложение на Go, проверяющее, безопасно ли развернут Kubernetes. Ищет небезопасные параметры конфигурации среди компонентов кластера (etcd, API, controller manager и т.д.), сомнительные права на доступ к файлам, незащищенные учетные записи или открытые порты, квоты ресурсов, настройки ограничения числа обращений к API для защиты от DoS-атак и т.п.
• Kube-hunter — Kube-hunter «охотится» на потенциальные уязвимости (вроде удаленного выполнения кода или раскрытия данных) в кластерах Kubernetes. Kube-hunter можно запускать как удаленный сканер — в этом случае он оценит кластер с точки зрения стороннего злоумышленника — или как pod внутри кластера. Отличительной особенностью Kube-hunter'а является режим «активной охоты», во время которого он не только сообщает о проблемах, но и пытается воспользоваться уязвимостями, обнаруженными в целевом кластере, которые потенциально могут нанести вред его работе. Так что пользуйтесь с осторожностью!
• Kubeaudit — это консольный инструмент, изначально разработанный в Shopify для аудита конфигурации Kubernetes на предмет наличия различных проблем в области безопасности. Например, он помогает выявить контейнеры, работающие без ограничений, с правами суперпользователя, злоупотребляющие привилегиями или использующие ServiceAccount по умолчанию. У Kubeaudit есть и другие интересные возможности. К примеру, он умеет анализировать локальные файлы YAML, выявляя недостатки в конфигурации, способные привести к проблемам с безопасностью, и автоматически исправлять их.
• Kyverno — движок политик безопасности Kubernetes с открытым исходным кодом, который помогает вам определять политики с помощью простых манифестов Kubernetes. Он может проверять, изменять и генерировать ресурсы Kubernetes. Таким образом, это может позволить организациям определять и применять политики так, чтобы разработчики и администраторы придерживались определенного стандарта.
#Kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
• Полезный плейлист коротких видеороликов для начинающих, об утилитах, которые помогают получить информацию о состоянии системы (iostat, rsyslog, top, vmstat).
• System Logging with rsyslog on Oracle Linux;
• System Logging with logwatch on Oracle Linux;
• System Logging with journald on Oracle Linux;
• Using the sosreport Utility on Oracle Linux;
• Using the iostat Utility on Oracle Linux;
• Using the mpstat Utility on Oracle Linux;
• Using the vmstat Utility on Oracle Linux;
• Using the netstat Utility on Oracle Linux;
• Using the top Utility on Oracle Linux;
• Use Gprofng for Performance Profiling Applications;
• Linux Auditing System on Oracle Linux.
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Киберподполье нацелилось на уязвимости в компоненте печати CUPS, массово сканируя Интернет на предмет наличия в нем систем UNIX с раскрытыми портами печати.
Уязвимости были обнаружены исследователем Симоне Маргарителли еще в начале этого года и раскрыты в конце прошлой недели.
Они отслеживаются как CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 и CVE-2024-47177.
Проблемы затрагивают CUPS, общую систему печати UNIX, компонент с открытым исходным кодом, позволяющий системам UNIX функционировать в качестве серверов печати.
Все они выступают частью цепочки эксплойтов, которая может позволить злоумышленнику развернуть вредоносный принтер, индексировать принтер на сервере CUPS жертвы, внедрить вредоносный код внутри файла PPD и выполнить его из файла PPD, когда пользователь запускает задание печати через (вредоносный) принтер злоумышленника.
К настоящему времени уязвимости нашли отражение в отчетах Akamai, Rapid7, Elastic, Tenable, Qualys, DataDog и AquaSec, но привлекли пристальное внимание после публикации Маргарителли сообщения в X до выпуска исправлений.
Но не так все плохо, ведь ошибкам подвержены не все дистрибутивы Linux (только некоторые), а эксплуатировать их можно лишь в очень ограниченных сценариях, так что степень критичности (CVSS 9,9), по мнению многих исследователей, завышена.
Тем не менее, помимо раскрытия подробностей, в конце прошлой недели Маргарителли и другие опубликовали PoC, что и вызвало сканирования на предмет поиска UDP-порта 631, на котором сервер CUPS прослушивает новые принтеры, сообщающие о своем присутствии.
Несмотря на то, что CUPS отключен по умолчанию в большинстве дистрибутивов, по данным Shodan, в настоящее время более 75 000 систем, работающих под управлением CUPS, доступны через Интернет.
При этом другие показывают более 107 000, но может быть и больше.
Смягчение уязвимости довольно простое. Просто следует отключить, удалить или обновить CUPS.
Но в любом случае без этого не следует его запускать.
Уязвимости были обнаружены исследователем Симоне Маргарителли еще в начале этого года и раскрыты в конце прошлой недели.
Они отслеживаются как CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 и CVE-2024-47177.
Проблемы затрагивают CUPS, общую систему печати UNIX, компонент с открытым исходным кодом, позволяющий системам UNIX функционировать в качестве серверов печати.
Все они выступают частью цепочки эксплойтов, которая может позволить злоумышленнику развернуть вредоносный принтер, индексировать принтер на сервере CUPS жертвы, внедрить вредоносный код внутри файла PPD и выполнить его из файла PPD, когда пользователь запускает задание печати через (вредоносный) принтер злоумышленника.
К настоящему времени уязвимости нашли отражение в отчетах Akamai, Rapid7, Elastic, Tenable, Qualys, DataDog и AquaSec, но привлекли пристальное внимание после публикации Маргарителли сообщения в X до выпуска исправлений.
Но не так все плохо, ведь ошибкам подвержены не все дистрибутивы Linux (только некоторые), а эксплуатировать их можно лишь в очень ограниченных сценариях, так что степень критичности (CVSS 9,9), по мнению многих исследователей, завышена.
Тем не менее, помимо раскрытия подробностей, в конце прошлой недели Маргарителли и другие опубликовали PoC, что и вызвало сканирования на предмет поиска UDP-порта 631, на котором сервер CUPS прослушивает новые принтеры, сообщающие о своем присутствии.
Несмотря на то, что CUPS отключен по умолчанию в большинстве дистрибутивов, по данным Shodan, в настоящее время более 75 000 систем, работающих под управлением CUPS, доступны через Интернет.
При этом другие показывают более 107 000, но может быть и больше.
Смягчение уязвимости довольно простое. Просто следует отключить, удалить или обновить CUPS.
Но в любом случае без этого не следует его запускать.
evilsocket
Attacking UNIX Systems via CUPS, Part I
• Раньше в различных сервисах для указания одних и тех же уязвимостей использовались разные названия. Для устранения путаницы с названием уязвимостей, компания MITRE предложила решение, независимое от различных производителей средств поиска уязвимостей. Это решение было реализовано в виде базы данных уязвимостей CVE Common Vulnerabilities and Exposures (Общие уязвимости и воздействия). Это решение позволило всем специалистам и производителям разговаривать на одном языке. В данной базе для каждой уязвимости используется следующий атрибут записи
CVE- YYYY-NNNN, где YYYY — это год обнаружения уязвимости, а NNNN — ее порядковый номер.• Если у Вас возник вопрос "А откуда берутся эти ваши CVE?" то вот ответ: Представим, что Вы нашли очередную уязвимость и хотите рассказать о ней всему миру. Для этого потребуется заполнить определенную форму на сайте mitre. И, по сути, это всё)) https://www.cve.org/ResourcesSupport/FAQs
• Но суть поста немного в другом. Сегодня предлагаю вам изучить очень полезный репозиторий, который включает в себя почти все CVE, начиная с 1999 года, присутствует удобная сортировка (по годам) и есть ежедневные обновления: https://github.com/trickest/cve. Надеюсь, что будет весьма полезно...
#Разное #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - trickest/cve: Gather and update all available and newest CVEs with their PoC.
Gather and update all available and newest CVEs with their PoC. - trickest/cve
• Еще один полезный плейлист от Oracle, который содержит материал по инструментам для настройки и управления сетью в системе - nmcli, nftables, ip, firewalld:
• Network Configuration Files on Oracle Linux;
• Using NetworkManager CLI (nmcli) on Oracle Linux;
• Network Bonding in Oracle Linux with the NMCLI Utility;
• Create VLANs in Oracle Linux with the NMCLI and IP Utilities;
• Using the ip command on Oracle Linux;
• Introduction to using firewalld on Oracle Linux;
• Using nftables on Oracle Linux.
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
📦 Hack The Box. Учимся взлому.
• Hack The Box является максимально популярным среди тех, кто хочет прокачать свои знания в различных аспектах пентеста и хакинга. Сервис отличается удобным интерфейсом для управления активными инстансами виртуалок, отзывчивой техподдержкой и, что важнее всего, постоянно обновляющемся списком уязвимых хостов.
• Если у тебя не хватает навыков и времени на прохождение HTB, то обязательно обрати внимание на YT канал IppSec. Тут собрано огромное кол-во материала по прохождению различных заданий с разным уровнем сложности: https://www.youtube.com/@ippsec/videos
#HTB #Hack
• Hack The Box является максимально популярным среди тех, кто хочет прокачать свои знания в различных аспектах пентеста и хакинга. Сервис отличается удобным интерфейсом для управления активными инстансами виртуалок, отзывчивой техподдержкой и, что важнее всего, постоянно обновляющемся списком уязвимых хостов.
• Если у тебя не хватает навыков и времени на прохождение HTB, то обязательно обрати внимание на YT канал IppSec. Тут собрано огромное кол-во материала по прохождению различных заданий с разным уровнем сложности: https://www.youtube.com/@ippsec/videos
#HTB #Hack
📦 Виртуалка для виртуалок. Qubes OS.
• Давайте поговорим за серьезные вещи. На мой скромный взгляд, лучшая безопасная операционная система на данный момент времени – Qubes OS. И вот почему:
• Доведенный до ума принцип изоляции. Qubes OS – в переводе с басурманского – «кубики». Каждый кубик – это отдельная виртуалка. Приложения пользователя – это одна виртуалка, роутер и файрволл – другая, песочница, куда свет не светит, - третья. Так что, если один из кубиков будет скомпрометирован – скидывайте его и перезапускайте. Даже самый злобный троян не вылезет за пределы одного отдельно взятого кубика.
• Удобство. Не имей сто рублей, а имей сто друзей. Ну или друга с сотней рублей. Так вот, Qubes – это друг с соткой виртуальных машин в одной. Хотите запустить сразу несколько VPN и для каждого приложения настраивать свой маршрут – легко. VPN-TOR (whonix)-VPN без танцев с бубном – ничего проще.
• Для ботоводов – это просто рай. Не нужно держать кучу машин и виртуалок – открыл параллельно пять браузеров и можешь устраивать сам с собой холивор в комментариях.
• Удивительная гибкость. Принцип изоляции позволит вам самостоятельно собирать свой конструктор из Qubes OS. Хотите анонимные криптокошельки? Запустили новый кубик – сделали дела – снесли. Никаких следов. Для любителей работать с вредоносами это тоже идеальный вариант.
• Хотите пользоваться менеджерами паролей, не боясь утечек – делайте защищенное хранилище в песочнице и разворачивайте там KeePassX или что вам больше нравится. Даже если менеджер сто раз хакнут – вам до фени, к вам это не относится. У васшапочка из фольги контейнер.
• Я даже больше вам скажу: хотите Винду? И ее можно запустить через Qubes OS прямо внутри системы. Туда накатываете Офис и живете себе долго и счастливо. Это максимально удобно и безопасно. Вся следящая начинка окошек будет надежно заперта в контейнере.
• Резюме. К Qubes OS надо привыкать. Но это потенциально самая удобная и безопасная система из всех придуманных. Так что она явно того стоит.
#Разное #ИБ
• Давайте поговорим за серьезные вещи. На мой скромный взгляд, лучшая безопасная операционная система на данный момент времени – Qubes OS. И вот почему:
• Доведенный до ума принцип изоляции. Qubes OS – в переводе с басурманского – «кубики». Каждый кубик – это отдельная виртуалка. Приложения пользователя – это одна виртуалка, роутер и файрволл – другая, песочница, куда свет не светит, - третья. Так что, если один из кубиков будет скомпрометирован – скидывайте его и перезапускайте. Даже самый злобный троян не вылезет за пределы одного отдельно взятого кубика.
• Удобство. Не имей сто рублей, а имей сто друзей. Ну или друга с сотней рублей. Так вот, Qubes – это друг с соткой виртуальных машин в одной. Хотите запустить сразу несколько VPN и для каждого приложения настраивать свой маршрут – легко. VPN-TOR (whonix)-VPN без танцев с бубном – ничего проще.
• Для ботоводов – это просто рай. Не нужно держать кучу машин и виртуалок – открыл параллельно пять браузеров и можешь устраивать сам с собой холивор в комментариях.
• Удивительная гибкость. Принцип изоляции позволит вам самостоятельно собирать свой конструктор из Qubes OS. Хотите анонимные криптокошельки? Запустили новый кубик – сделали дела – снесли. Никаких следов. Для любителей работать с вредоносами это тоже идеальный вариант.
• Хотите пользоваться менеджерами паролей, не боясь утечек – делайте защищенное хранилище в песочнице и разворачивайте там KeePassX или что вам больше нравится. Даже если менеджер сто раз хакнут – вам до фени, к вам это не относится. У вас
• Я даже больше вам скажу: хотите Винду? И ее можно запустить через Qubes OS прямо внутри системы. Туда накатываете Офис и живете себе долго и счастливо. Это максимально удобно и безопасно. Вся следящая начинка окошек будет надежно заперта в контейнере.
• Резюме. К Qubes OS надо привыкать. Но это потенциально самая удобная и безопасная система из всех придуманных. Так что она явно того стоит.
#Разное #ИБ
• В последние годы Golang распространяется всё шире и шире. Он известен своей простотой, эффективностью и высокой производительностью. Однако, как и любой язык программирования, неправильные методы разработки могут привести к уязвимостям безопасности. В этой статье описаны возможные проблемы безопасности и рекомендации по безопасной разработке.
• SQL Injection;
• Command Injection;
• Cross-Site Scripting (XSS);
• Insecure Deserialization;
• Directory Traversal;
• CSRF;
• SSRF;
• File Upload;
• Memory Management Vulnerabilities;
• Cryptography Failure;
• LFI and RFI;
• Basic Authentication (BasicAuth) alongside JSON Web Tokens (JWT);
• Golang pitfalls;
• RPC;
• Timing Attack.
#Go #devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Новое исследование BI.ZONE показывает, как злоумышленники пытаются пройти мимо систем защиты, экспериментируя с малопопулярными инструментами.
Злоумышленники часто используют такие фреймворки постэксплуатации, как Cobalt Strike, Metasploit, Sliver.
В последние месяцы наряду с этими средствами в атаках встречается менее популярный инструмент - Havoc.
По мнению специалистов, группировки все чаще пытаются обойти средства защиты, которые могут не детектировать активность малоизвестного ПО как вредоносную.
Например, таким образом действовала Mysterious Werewolf, используя в одной из кампаний фреймворк Mythic.
При этом благодаря широте поверхности атаки фишинговые электронные письма остаются наиболее популярным средством получения первоначального доступа.
В новом отчете исследователи BI.ZONE рассмотрели несколько наблюдаемых кампаний, в которых злоумышленники применяли Havoc Framework.
Атаки построены по одному сценарию: жертва получает фишинговое письмо с документом-приманкой и вредоносным LNK.
При открытии второго файла запускался процесс, который приводил к внедрению в систему имплантата Havoc Framework.
Havoc включает в себя широкий спектр модулей для пентестеров и хакеров, позволяющий выполнять команды и шелл-код в системе, управлять процессами, загружать дополнительные данные, манипулировать токенами Windows.
Все это делается через панель управления, позволяющую видеть все скомпрометированные устройства, события и выходные данные задач.
Подробный разбор кампаний и IoC - в отчете.
Злоумышленники часто используют такие фреймворки постэксплуатации, как Cobalt Strike, Metasploit, Sliver.
В последние месяцы наряду с этими средствами в атаках встречается менее популярный инструмент - Havoc.
По мнению специалистов, группировки все чаще пытаются обойти средства защиты, которые могут не детектировать активность малоизвестного ПО как вредоносную.
Например, таким образом действовала Mysterious Werewolf, используя в одной из кампаний фреймворк Mythic.
При этом благодаря широте поверхности атаки фишинговые электронные письма остаются наиболее популярным средством получения первоначального доступа.
В новом отчете исследователи BI.ZONE рассмотрели несколько наблюдаемых кампаний, в которых злоумышленники применяли Havoc Framework.
Атаки построены по одному сценарию: жертва получает фишинговое письмо с документом-приманкой и вредоносным LNK.
При открытии второго файла запускался процесс, который приводил к внедрению в систему имплантата Havoc Framework.
Havoc включает в себя широкий спектр модулей для пентестеров и хакеров, позволяющий выполнять команды и шелл-код в системе, управлять процессами, загружать дополнительные данные, манипулировать токенами Windows.
Все это делается через панель управления, позволяющую видеть все скомпрометированные устройства, события и выходные данные задач.
Подробный разбор кампаний и IoC - в отчете.
BI.ZONE
Хаос в киберпространстве: группировки экспериментируют с инструментами
Новое исследование BI.ZONE Threat Intelligence показывает, как злоумышленники пытаются пройти мимо систем кибербезопасности
• В книге рассматриваются основы #Python с примерами и заданиями построенными на сетевой тематике. Задача книги – объяснить понятным языком основы Python и дать понимание необходимых инструментов для его практического использования. Всё, что рассматривается в книге, ориентировано на сетевое оборудование и работу с ним. Все примеры показываются на примере оборудования Cisco, но, конечно же, они применимы и для любого другого оборудования.
• Основы Python:
- Подготовка к работе;
- Использование Git и GitHub;
- Начало работы с Python;
- Типы данных в Python;
- Создание базовых скриптов;
- Контроль хода программы;
- Работа с файлами;
- Полезные возможности и инструменты.
• Повторное использование кода:
- Функции;
- Полезные функции;
- Модули;
- Полезные модули;
- Итераторы, итерируемые объекты и генераторы.
• Регулярные выражения:
- Синтаксис регулярных выражений;
- Модуль re.
• Запись и передача данных:
- Unicode;
- Работа с файлами в формате CSV, JSON, YAML.
• Работа с сетевым оборудованием:
- Подключение к оборудованию;
- Одновременное подключение к нескольким устройствам;
- Шаблоны конфигураций с Jinja2;
- Обработка вывода команд TextFSM.
• Основы объектно-ориентированного программирования:
- Основы ООП;
- Специальные методы;
- Наследование.
• Работа с базами данных:
- Работа с базами данных.
• Дополнительная информация:
- Модуль argparse;
- Форматирование строк с оператором %
- Соглашение об именах;
- Подчеркивание в именах;
- Проверка заданий с помощью утилиты pyneng;
- Проверка заданий с помощью pytest.
• Продолжение обучения:
- Написание скриптов для автоматизации рабочих процессов;
- Python для автоматизации работы с сетевым оборудованием;
- Python без привязки к сетевому оборудованию.
#Книга
Please open Telegram to view this post
VIEW IN TELEGRAM
• Вероятно, что это самое понятное руководство, которое описывает работу контейнеров с сетью. Слева читаете, копируете команды, а справа наблюдаете за консолью:
#Docker #Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
iximiuz Labs
How Container Networking Works: Building a Bridge Network From Scratch | iximiuz Labs
Begin with the basics to understand Docker and Kubernetes networking: learn how to create and interconnect Linux network namespaces using only command-line tools.
• Отличный видеоматериал, который содержит описание и примеры команд Linux для начинающих: https://youtu.be/gd7BXuUQ91w
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
60 Linux Commands you NEED to know (in 10 minutes)
Get yourself a Linux cloud server with Linode!!: https://ntck.co/linode ($100 Credit good for 60 days as a new user!!)
In this video, NetworkChuck shows you the top 60 Linux commands you NEED to know! If you are a beginner in Linux, this is THE video you…
In this video, NetworkChuck shows you the top 60 Linux commands you NEED to know! If you are a beginner in Linux, this is THE video you…
Forwarded from infosec
• Учёные разработали гибридную технологию - WiLo (Wi-Fi + LoRa), которая продемонстрировала на 96% успешную передачу данных на расстоянии до 500 метров. Преимуществом такой технологии станет возможность её работы на уже существующем оборудовании. Однако для одновременной работы Wi-Fi и эмуляции сигналов LoRa устройства потребляют больше энергии. Учёные планируют решить эту проблему, оптимизировав энергоэффективность, скорость передачи данных и устойчивость WiLo к помехам.
• Видимо следующим шагом станет дальнейшая оптимизация системы, а также тестирование WiLo в различных условиях IoT, в том числе систем датчиков для умных городов, где требуется передача данных на большие расстояния с минимальным энергопотреблением.
• Напомню, что в сентябре компания Morse Micro установила новый мировой рекорд дальности действия Wi-Fi, используя стандарт HaLow (802.11ah). В ходе эксперимента в сельском национальном парке Джошуа-Три удалось установить связь на расстоянии 15,9 км.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи F.A.C.C.T. во второй половине сентября 2024 года задетектили атаку на российскую компанию с использованием ранее неизвестного Mythic-агента, написанного на PowerShell.
Обнаруженный агент получил название QwakMyAgent, поскольку после получения команды для завершения работы, он отправляет уникальную строку Qwak! на C2.
QwakMyAgent - это модульный агент Mythic, который выполняет команды от C2, взаимодействуя с ним через зашифрованные в BASE64 запросы, реализуя сбор данных с зараженных систем, выполнение PowerShell-команд и отправку результатов на сервер.
Причем, если агент не смог выполнить подключение к С2 заданное количество раз, агент начнет выполнять попытки подключения к следующему C2-адресу.
В случае успешной регистрации, процесс исполнения агента переходит к цикличному опросу C2 для получения и выполнения команд.
Изначальный вектор заражения остается неизвестным, но после компрометации хост-систем администраторов злоумышленники подключаются через системную службу WinRM и выполняют доступные по URL-ссылкам HTA-сценарии с помощью системной утилиты mshta.exe.
HTA-сценарий в контексте своего исполнения создает два файла desktop.js и user.txt путем выполнения cmd.exe команд.
Первый - это JavaScript-сценарий, который выполняет запуск PowerShell-сценария, расположенного в файле user.txt, который, в свою очередь, реализует загрузку и запуск следующей стадии с удаленного узла - вредоносного ПО QwakMyAgent.
В ходе исследования был найден дополнительный PowerShell-сценарий, который доставлялся на зараженную систему аналогичным QwakMyAgent способом.
Однако, в отличие от агента, данный сценарий имеет иные функциональные возможности.
В связи с тем, что тип запроса к C2, выполняемый сценарием, соответствует тем, которые выполняются в модулях команд QwakMyAgent, ресерчеры полагают, что данный сценарий может являться интерпретацией одной из команд, получаемых от сервера.
Подробности атаки и индикаторы компрометации — в отчете.
Обнаруженный агент получил название QwakMyAgent, поскольку после получения команды для завершения работы, он отправляет уникальную строку Qwak! на C2.
QwakMyAgent - это модульный агент Mythic, который выполняет команды от C2, взаимодействуя с ним через зашифрованные в BASE64 запросы, реализуя сбор данных с зараженных систем, выполнение PowerShell-команд и отправку результатов на сервер.
Причем, если агент не смог выполнить подключение к С2 заданное количество раз, агент начнет выполнять попытки подключения к следующему C2-адресу.
В случае успешной регистрации, процесс исполнения агента переходит к цикличному опросу C2 для получения и выполнения команд.
Изначальный вектор заражения остается неизвестным, но после компрометации хост-систем администраторов злоумышленники подключаются через системную службу WinRM и выполняют доступные по URL-ссылкам HTA-сценарии с помощью системной утилиты mshta.exe.
HTA-сценарий в контексте своего исполнения создает два файла desktop.js и user.txt путем выполнения cmd.exe команд.
Первый - это JavaScript-сценарий, который выполняет запуск PowerShell-сценария, расположенного в файле user.txt, который, в свою очередь, реализует загрузку и запуск следующей стадии с удаленного узла - вредоносного ПО QwakMyAgent.
В ходе исследования был найден дополнительный PowerShell-сценарий, который доставлялся на зараженную систему аналогичным QwakMyAgent способом.
Однако, в отличие от агента, данный сценарий имеет иные функциональные возможности.
В связи с тем, что тип запроса к C2, выполняемый сценарием, соответствует тем, которые выполняются в модулях команд QwakMyAgent, ресерчеры полагают, что данный сценарий может являться интерпретацией одной из команд, получаемых от сервера.
Подробности атаки и индикаторы компрометации — в отчете.
Хабр
Атака с помощью нового Mythic-агента на PowerShell — «QwakMyAgent»
Во второй половине сентября 2024 года специалистами Центра Кибербезопасности компании F.A.C.C.T. была выявлена атака на российскую компанию с использованием ранее необнаруженного Mythic агента,...
🧄 Общее введение в I2P.
• I2P, или Invisible Internet Project, — это на сегодняшний день самая анонимная сеть. Здесь мы можем ходить по сайтам и пользоваться сервисами, не раскрывая сторонним лицам ни байта своей информации.
• I2P построен по принципу оверлея, то есть анонимный и защищенный слой работает поверх другой сети — интернета. Одна из главных особенностей I2P — децентрализованность. В этой сети нет серверов DNS, их место занимают автоматически обновляемые «адресные книги». А роль адресов играют криптографические ключи, никак не выдающие реальные компьютеры. Каждый пользователь проекта может получить свой ключ, который невозможно отследить.
• Многие пользователи часто задаются вопросом, зачем использовать I2P, когда есть VPN и #Tor. Если сравнивать I2P с браузером Tor, можно выделить следующие различия:
- Tor использует «луковую» маршрутизацию, отправляя твой трафик через знаменитые восемь прокси, но при этом сам по себе никак не защищает от расшифровки. I2P, наоборот, опирается на шифрование трафика;
- Tor — большой любитель SOCKS, тогда как I2P предпочитает использовать собственный API. Что удобнее — решать тебе.
- Туннели I2P однонаправленные в отличие от Tor.
- Tor хоть и обладает свойствами пиринговой сети, но при этом централизованный. I2P полностью децентрализован.
• Это лишь основные отличия I2P от Tor. Но даже исходя только из них можно смело заявить о том, что I2P — более безопасный и анонимный вариант.
• Если вы никогда не сталкивались с I2P, эта статья — начало вашего пути к по-настоящему приватной и анонимной коммуникации; если вы бывалый энтузиаст скрытых сетей, этот обзор наверняка заполнит пробелы и поможет упорядочить уже имеющиеся знания. Содержание следующее:
- Отличие традиционной сети от скрытой;
- Базовое понимание криптографии;
- Общие принципы работы I2P;
- Построение туннелей;
- Модель взаимодействия;
- Практическое использование;
- Разработка протокола;
- Сравнение с другими сетями;
- Послесловие.
➡️ https://habr.com/ru/articles/552072/
#i2p #Анонимность
• I2P, или Invisible Internet Project, — это на сегодняшний день самая анонимная сеть. Здесь мы можем ходить по сайтам и пользоваться сервисами, не раскрывая сторонним лицам ни байта своей информации.
• I2P построен по принципу оверлея, то есть анонимный и защищенный слой работает поверх другой сети — интернета. Одна из главных особенностей I2P — децентрализованность. В этой сети нет серверов DNS, их место занимают автоматически обновляемые «адресные книги». А роль адресов играют криптографические ключи, никак не выдающие реальные компьютеры. Каждый пользователь проекта может получить свой ключ, который невозможно отследить.
• Многие пользователи часто задаются вопросом, зачем использовать I2P, когда есть VPN и #Tor. Если сравнивать I2P с браузером Tor, можно выделить следующие различия:
- Tor использует «луковую» маршрутизацию, отправляя твой трафик через знаменитые восемь прокси, но при этом сам по себе никак не защищает от расшифровки. I2P, наоборот, опирается на шифрование трафика;
- Tor — большой любитель SOCKS, тогда как I2P предпочитает использовать собственный API. Что удобнее — решать тебе.
- Туннели I2P однонаправленные в отличие от Tor.
- Tor хоть и обладает свойствами пиринговой сети, но при этом централизованный. I2P полностью децентрализован.
• Это лишь основные отличия I2P от Tor. Но даже исходя только из них можно смело заявить о том, что I2P — более безопасный и анонимный вариант.
• Если вы никогда не сталкивались с I2P, эта статья — начало вашего пути к по-настоящему приватной и анонимной коммуникации; если вы бывалый энтузиаст скрытых сетей, этот обзор наверняка заполнит пробелы и поможет упорядочить уже имеющиеся знания. Содержание следующее:
- Отличие традиционной сети от скрытой;
- Базовое понимание криптографии;
- Общие принципы работы I2P;
- Построение туннелей;
- Модель взаимодействия;
- Практическое использование;
- Разработка протокола;
- Сравнение с другими сетями;
- Послесловие.
#i2p #Анонимность
Please open Telegram to view this post
VIEW IN TELEGRAM
• Интересный набор быстрых команд на Powershell:
- Захват нажатий клавиш;
- Извлечение профилей и паролей Wi-Fi;
- Извлечение сохраненных паролей браузера;
- Работа с сетью и выгрузка конфигураций;
- Выгрузка системной информации;
- Подробная выгрузка информации запущенных процессов;
- Доступ к журналам событий;
- Выполнение скриптов с указанного URL-адреса;
- Мониторинг изменений файловой системы;
- Отключение Защитника Windows....
#Powershell
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from infosec
Новости к этому часу: Internet Archive (о котором недавно рассказывал) был взломан, что привело к утечке 31 миллиона учётных записей. Утекли следующие данные: хэши паролей пользователей в формате bcrypt, время изменения паролей, email и имена пользователей. Наиболее свежая запись в БД датирована 28 сентября. Компрометацию своих учётных данных можно проверить через сервис haveibeenpwned.com, который содержит сведения из утекшей БД archive.org.
➡ Источник.
Вторая новость: Недавно появилась информация, что на одном из даркнет-форумов продают данные более 5 миллионов клиентов, совершавших заказы из мобильного приложения "БУРГЕР КИНГ". По заверениям продавца им был взломан сервер MSSQL. Утекла следующая информация: номер телефона, эл. почта, ФИО, дата рождения, пол, город, дата заказа. Эта история получила продолжение и теперь все данные попали в открытый доступ, они были слиты сегодня утром в один из телеграм-каналов.
➡ Источник.
#Новости
Вторая новость: Недавно появилась информация, что на одном из даркнет-форумов продают данные более 5 миллионов клиентов, совершавших заказы из мобильного приложения "БУРГЕР КИНГ". По заверениям продавца им был взломан сервер MSSQL. Утекла следующая информация: номер телефона, эл. почта, ФИО, дата рождения, пол, город, дата заказа. Эта история получила продолжение и теперь все данные попали в открытый доступ, они были слиты сегодня утром в один из телеграм-каналов.
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
• Автор YouTube-канала Джефф Гирлинг провёл необычный эксперимент. Он прикрепил три флэш-накопителя SanDisk Extreme PRO ёмкостью 1 ТБ к почтовому голубю и отправил его в канадский центр обработки данных. Энтузиаст утверждает, что голубь смог передать 3 ТБ данных на расстояние до 800 км быстрее, чем гигабитная оптоволоконная сеть.
• По словам блогера, интернет-провайдеры, как правило, позиционируют широкополосные интернет-соединения как предлагающие гигабитные скорости. Таким образом, данные должны передаваться со скоростью не менее 125 МБ/с, но у ютубера этот показатель не превышал 75 МБ/с.
• При этом голубю потребовалась минута, чтобы добраться до места назначения, которое находилось в 1,6 км от него. Герлинг добавил к этому показателю время, необходимое для переноса данных с флэш-накопителей в локальное хранилище, и сравнил его с передачей 3 ТБ данных через интернет-соединение.
• Он обнаружил, что перенос 3 ТБ на расстояние примерно до 800 км с помощью голубя займёт меньше времени. Затраченное время зависит от расстояния, которое голубю придётся преодолеть, тогда как на передачу данных через Интернет Герлингу потребовалось 10 часов и 54 минуты.
• В 2009 году южноафриканская фирма провела аналогичный эксперимент с голубем и накопителем ёмкостью 4 ГБ, сравнив его скорость с показателями самого быстрого интернет-провайдера Telkom. Компании удалось передать данные с помощью голубя на расстояние 96,5 км за 1 час и 8 минут, в то время как службе провайдера удалось выполнить только 4% загрузки.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Шифрование – это последний оплот цифровой свободы. Все почему? Потому что AES256 шифрование считается невозможным к дешифровке. Есть какие-то риски, что это сможет сделать квантовый компьютер. Но пока квантовые компьютеры – это как Палантир – есть только у Саурона. Когда квантовые компьютеры будут стоять у каждого товарища майора, тогда и поговорим. Да и то, на квантовый компьютер появится квантовое шифрование. Так что на каждую хитрую гайку найдется болт с левой резьбой.
• Но пока этого не случилось, как себя обезопасить? Я всем рекомендую VeraCrypt. За ней есть грешки, но постоянные патчи их оперативно устраняют. Можно, конечно, пользоваться олдскульным TrueCrypt (VeraCrypt – это его форк), но он больше не поддерживается. Есть еще ZuluCrypt, так что вариантов на самом деле масса. Выбирайте то, к чему душа больше лежит.
• Теперь о настройке. VeraCrypt нельзя использовать как есть, из коробки. Нужно проставить нужные галочки. В параметрах обязательно установите время размонтировки. Если вы ничего не делали с томом сколько-то времени, он автоматически размонтируется. Это полезно, если вы ушли в туалет и не размонтировали диски, или, не дай Бог, лежите в браслетах на холодном полу.
• Второе – очищать кэш паролей при выходе. Поясняю. Когда вы поработали с томом, не размонтировали его и закрыли крышку ноутбука, отправив его в сон, ваши пароли остаются в кэше и в случае чего их можно вытащить с помощью специального бубна и ритуальных танцев. Я думаю, что именно так силовики «вскрыли» архив одного известного журналиста. Ну или терморектальный криптоанализ. Тут даже квантовый компьютер не нужен.
• Ну и последнее. У VeraCrypt есть горячие кнопки. Можно назначить размонтирование даже на одну кнопку. Поэтому если товарищ майор начал внезапный штурм твоей двери из картона и палок – у тебя будет время превратить все архивы в тыкву.
#Шифрование
Please open Telegram to view this post
VIEW IN TELEGRAM