Forwarded from SecAtor
Вслед за бритами с требованием доступа к яблочному облаку новые беспрецедентные правила для технологических компании разрабатывает Индия, апеллируя к необходимости обеспечения мобильной безопасности и борьбой с кибермошенничеством.
Власти предлагают обязать производителей смартфонов делиться исходным кодом с правительством и вносить ряд изменений в ПО, что, конечно, пришлось не по нраву таким гигантам, как Apple и Samsung.
Технологические компании раскритиковали пакет из 83 стандартов безопасности, который будет включать требование уведомлять Национальный центр безопасности связи о крупных обновлениях ПО, а также доступ к тестированию их в национальных лабораториях.
В индийских предложениях также содержится требование к компаниям вносить изменения в ПО, позволяющие удалять предустановленные приложения, а также блокировать использование камерами и микрофонами в фоновом режиме.
Предложенные в Индии меры предусматривают обязательное автоматическое и периодическое сканирование телефонов на наличие вредоносных программ, а также хранение журналов работы телефона на устройстве не менее 12 месяцев.
По мнению производителей, подобные требования не имеют каких-либо реальных прецедентов и могут привести к раскрытию конфиденциальных данных, что особенно критично для второго по величине в мире рынке смартфонов, насчитывающем почти 750 млн. устройств.
Министр информационных технологий С. Кришнан заявил агентству, что «любые обоснованные опасения отрасли будут рассмотрены непредвзято» и «преждевременно делать из этого какие-либо более глубокие выводы».
Тем не менее, в министерстве отказались от дальнейших комментариев в связи с продолжающимися консультациями с технологическими компаниями по поводу этих предложений.
При этом сами консультации якобы направлены на разработку «надлежащей и надежной нормативно-правовой базы для мобильной безопасности», и министерство «регулярно» взаимодействует с отраслью, «чтобы лучше понимать технические и нормативные требования».
Также в министерстве опровергли утверждения том, что рассматривают возможность получения исходного кода от производителей смартфонов, не вдаваясь в подробности и не комментируя вышесказанные правительственные или отраслевые документы.
Тем временем в Apple, Samsung, Google, Xiaomi и MAIT (индийская отраслевая группа), представляющая интересы этих фирм, пока также особо никак не комментируют ситуацию.
По словам источников, во вторник состоится встреча представителей министерства информационных технологий и руководителей технологических компаний для дальнейшего обсуждения.
Требования индийского правительства и раньше вызывали недовольство в кругу технологических компаний.
Только в прошлом месяце отменили распоряжение, обязывающее устанавливать на телефоны госприложение для кибербезопасности, на фоне опасений по поводу слежки.
Однако годом ранее правительство все же обязало тестировать камеры видеонаблюдения из-за опасений шпионажа.
Пока неясно удастся ли чиновникам протащить свой пакет.
Ведь, например, Apple отклоняла аналогичный запрос Китая на предоставление исходного кода в период с 2014 по 2016 гг.
Правоохранительные органы США также пытались получить его, но безуспешно.
Источник, непосредственно знакомый с ситуацией, сообщил, что на прошлой неделе MAIT обратилась в министерство с просьбой отказаться от этого предложения.
В общем, будем следить.
Власти предлагают обязать производителей смартфонов делиться исходным кодом с правительством и вносить ряд изменений в ПО, что, конечно, пришлось не по нраву таким гигантам, как Apple и Samsung.
Технологические компании раскритиковали пакет из 83 стандартов безопасности, который будет включать требование уведомлять Национальный центр безопасности связи о крупных обновлениях ПО, а также доступ к тестированию их в национальных лабораториях.
В индийских предложениях также содержится требование к компаниям вносить изменения в ПО, позволяющие удалять предустановленные приложения, а также блокировать использование камерами и микрофонами в фоновом режиме.
Предложенные в Индии меры предусматривают обязательное автоматическое и периодическое сканирование телефонов на наличие вредоносных программ, а также хранение журналов работы телефона на устройстве не менее 12 месяцев.
По мнению производителей, подобные требования не имеют каких-либо реальных прецедентов и могут привести к раскрытию конфиденциальных данных, что особенно критично для второго по величине в мире рынке смартфонов, насчитывающем почти 750 млн. устройств.
Министр информационных технологий С. Кришнан заявил агентству, что «любые обоснованные опасения отрасли будут рассмотрены непредвзято» и «преждевременно делать из этого какие-либо более глубокие выводы».
Тем не менее, в министерстве отказались от дальнейших комментариев в связи с продолжающимися консультациями с технологическими компаниями по поводу этих предложений.
При этом сами консультации якобы направлены на разработку «надлежащей и надежной нормативно-правовой базы для мобильной безопасности», и министерство «регулярно» взаимодействует с отраслью, «чтобы лучше понимать технические и нормативные требования».
Также в министерстве опровергли утверждения том, что рассматривают возможность получения исходного кода от производителей смартфонов, не вдаваясь в подробности и не комментируя вышесказанные правительственные или отраслевые документы.
Тем временем в Apple, Samsung, Google, Xiaomi и MAIT (индийская отраслевая группа), представляющая интересы этих фирм, пока также особо никак не комментируют ситуацию.
По словам источников, во вторник состоится встреча представителей министерства информационных технологий и руководителей технологических компаний для дальнейшего обсуждения.
Требования индийского правительства и раньше вызывали недовольство в кругу технологических компаний.
Только в прошлом месяце отменили распоряжение, обязывающее устанавливать на телефоны госприложение для кибербезопасности, на фоне опасений по поводу слежки.
Однако годом ранее правительство все же обязало тестировать камеры видеонаблюдения из-за опасений шпионажа.
Пока неясно удастся ли чиновникам протащить свой пакет.
Ведь, например, Apple отклоняла аналогичный запрос Китая на предоставление исходного кода в период с 2014 по 2016 гг.
Правоохранительные органы США также пытались получить его, но безуспешно.
Источник, непосредственно знакомый с ситуацией, сообщил, что на прошлой неделе MAIT обратилась в министерство с просьбой отказаться от этого предложения.
В общем, будем следить.
Reuters
Exclusive: India proposes forcing smartphone makers to give source code in security overhaul
The plan is part of Prime Minister Narendra Modi's efforts to boost security of user data as online fraud and data breaches increase in the world's second-largest smartphone market.
• Содержит информацию для начинающих и опытных специалистов. Помимо книги автор опубликовал практические задания, которые доступны на github. Содержание книги следующее:
- Introduction and Setup;
- Command Line Overview;
- Managing Files and Directories;
- Shell Features;
- Viewing Part or Whole File Contents;
- Searching Files and Filenames;
- File Properties;
- Managing Processes;
- Multipurpose Text Processing Tools;
- Sorting Stuff;
- Comparing Files;
- Assorted Text Processing Tools;
- Shell Scripting;
- Shell Customization.
#cli #Книга #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
• Недавно мне пришлось перечитывать гайд по использованию командной строки в Linux, и в самом конце руководства я нашел очень полезный инструмент для проверки написания Shell-скриптов, про который сейчас расскажу.
• Вы наверняка знаете, что Shell-скрипты — это очень удобный инструмент, которые позволяют автоматизировать множество задач. Однако есть одно "НО". Дело в том, что при написании скриптов можно допустить массу ошибок. Многие из ошибок, носящие синтаксический характер, могут привести себя к неправильному выполнению. Последствия неправильного поведения скриптов могут быть практически любыми — от слегка неприятных до катастрофических.
• Многие из проблем скриптов можно решить с помощью линтера! Вот тут и вступает в игру статический анализатор кода ShellCheck, который написан на Haskell. Эта тулза помогает в обнаружении ошибок в тексте скриптов и может вывести отчет о проведенных проверках. Это позволяет повысить производительность работы и качество кода. Кстати, ShellCheck можно интегрировать в vim или emacs, в результате, он будет проверять текст скриптов прямо в редакторе.
➡️ Github;
➡️ Официальный сайт;
➡️ Небольшой гайд по установке и использованию ShellCheck.
#Разное #Linux #Unix
• Вы наверняка знаете, что Shell-скрипты — это очень удобный инструмент, которые позволяют автоматизировать множество задач. Однако есть одно "НО". Дело в том, что при написании скриптов можно допустить массу ошибок. Многие из ошибок, носящие синтаксический характер, могут привести себя к неправильному выполнению. Последствия неправильного поведения скриптов могут быть практически любыми — от слегка неприятных до катастрофических.
• Многие из проблем скриптов можно решить с помощью линтера! Вот тут и вступает в игру статический анализатор кода ShellCheck, который написан на Haskell. Эта тулза помогает в обнаружении ошибок в тексте скриптов и может вывести отчет о проведенных проверках. Это позволяет повысить производительность работы и качество кода. Кстати, ShellCheck можно интегрировать в vim или emacs, в результате, он будет проверять текст скриптов прямо в редакторе.
#Разное #Linux #Unix
Please open Telegram to view this post
VIEW IN TELEGRAM
1
Forwarded from SecAtor
Trust Wallet полагает, что взлом ее расширения для браузера, в результате которого было украдено около 8,5 млн. долларов из более чем 2500 криптокошельков, вероятно, связан с ноябрской атакой Sha1-Hulud.
Как ранее мы сообщали, в результате инцидента 24 декабря были украдены миллионы долларов в криптовалюте из взломанных кошельков пользователей Trust Wallet.
Это случилось после того, как злоумышленники добавили вредоносный JavaScript-файл в версию 2.68.0 расширения Trust Wallet для Chrome, который позволил злоумышленникам похитить конфиденциальные данные кошелька и совершить несанкционированные транзакции.
В результате атаки были раскрыты секретные данные разработчиков Trust Wallet в GitHub, что дало злоумышленнику доступ к исходному коду расширения для браузера и ключу API Chrome Web Store (CWS).
Злоумышленник получил полный доступ к API CWS через утёкший ключ, что позволило загружать сборки напрямую, минуя стандартный процесс выпуска Trust Wallet, требующий внутреннего утверждения/ручной проверки.
Как пояснили в Trust Wallet, на следующем этапе атаки злоумышленник зарегистрировал домен metrics-trustwallet.com и поддомен api.metrics-trustwallet.com для размещения вредоносного кода, который впоследствии был задействован в троянизированной версии расширения.
Модифицированная версия была создана с использованием исходного кода, полученного через раскрытые секреты разработчиков GitHub, что позволило злоумышленнику внедрить вредоносный код для сбора конфиденциальных данных без использования традиционных методов внедрения кода.
Используя утекший ключ CWS, злоумышленник опубликовал версию 2.68 в Chrome Web Store, которая была автоматически выпущена после прохождения проверки со стороны Trust Wallet.
В ответ на инцидент Trust Wallet отозвала все API для выпуска новых версий для блокировки попыток их распространения, а также сообщила о вредоносных доменах регистратору NiceNIC, который незамедлительно заблокировал их.
Trust Wallet также начала возмещать убытки жертвам инцидента, предупреждая о том, что злоумышленники в настоящее время выдают себя за службу поддержки, распространяя фейковые формы для получения компенсации и реализуют мошеннические схемы через рекламу в телеге.
Стоит напомнить, что Sha1-Hulud (Shai-Hulud 2.0) - это атака на цепочку поставок, нацеленная на реестр программного обеспечения npm, в котором зарегистрировано более 2 миллионов пакетов.
В результате первоначальной вспышки в начале сентября злоумышленники скомпрометировали более 180 пакетов npm, используя самораспространяющуюся полезную нагрузку, применив ее для кражи секретов разработчиков и ключей API с помощью инструмента TruffleHog.
Shai-Hulud 2.0 разросся в геометрической прогрессии и затронул уже более 800 пакетов, добавив в репозиторий npm более 27 000 вредоносных пакетов, которые использовали вредоносный код для сбора секретов разработчиков и CI/CD и публикации их на GitHub.
В общей сложности Sha1-Hulud раскрыл около 400 000 необработанных секретов и опубликовал украденные данные в более чем 30 000 репозиториях GitHub, при этом более 60% утекших токенов NPM оставались действительными по состоянию на 1 декабря.
Как полагают исследователи Wiz, злоумышленники продолжают совершенствовать свои операции по сбору учетных данных, используя экосистему npm и GitHub, а учитывая растущую изощренность и достигнутые успехи, прогнозируется продолжение атак, в том числе с применением накопленного к настоящему моменту массива учетных данных.
Как ранее мы сообщали, в результате инцидента 24 декабря были украдены миллионы долларов в криптовалюте из взломанных кошельков пользователей Trust Wallet.
Это случилось после того, как злоумышленники добавили вредоносный JavaScript-файл в версию 2.68.0 расширения Trust Wallet для Chrome, который позволил злоумышленникам похитить конфиденциальные данные кошелька и совершить несанкционированные транзакции.
В результате атаки были раскрыты секретные данные разработчиков Trust Wallet в GitHub, что дало злоумышленнику доступ к исходному коду расширения для браузера и ключу API Chrome Web Store (CWS).
Злоумышленник получил полный доступ к API CWS через утёкший ключ, что позволило загружать сборки напрямую, минуя стандартный процесс выпуска Trust Wallet, требующий внутреннего утверждения/ручной проверки.
Как пояснили в Trust Wallet, на следующем этапе атаки злоумышленник зарегистрировал домен metrics-trustwallet.com и поддомен api.metrics-trustwallet.com для размещения вредоносного кода, который впоследствии был задействован в троянизированной версии расширения.
Модифицированная версия была создана с использованием исходного кода, полученного через раскрытые секреты разработчиков GitHub, что позволило злоумышленнику внедрить вредоносный код для сбора конфиденциальных данных без использования традиционных методов внедрения кода.
Используя утекший ключ CWS, злоумышленник опубликовал версию 2.68 в Chrome Web Store, которая была автоматически выпущена после прохождения проверки со стороны Trust Wallet.
В ответ на инцидент Trust Wallet отозвала все API для выпуска новых версий для блокировки попыток их распространения, а также сообщила о вредоносных доменах регистратору NiceNIC, который незамедлительно заблокировал их.
Trust Wallet также начала возмещать убытки жертвам инцидента, предупреждая о том, что злоумышленники в настоящее время выдают себя за службу поддержки, распространяя фейковые формы для получения компенсации и реализуют мошеннические схемы через рекламу в телеге.
Стоит напомнить, что Sha1-Hulud (Shai-Hulud 2.0) - это атака на цепочку поставок, нацеленная на реестр программного обеспечения npm, в котором зарегистрировано более 2 миллионов пакетов.
В результате первоначальной вспышки в начале сентября злоумышленники скомпрометировали более 180 пакетов npm, используя самораспространяющуюся полезную нагрузку, применив ее для кражи секретов разработчиков и ключей API с помощью инструмента TruffleHog.
Shai-Hulud 2.0 разросся в геометрической прогрессии и затронул уже более 800 пакетов, добавив в репозиторий npm более 27 000 вредоносных пакетов, которые использовали вредоносный код для сбора секретов разработчиков и CI/CD и публикации их на GitHub.
В общей сложности Sha1-Hulud раскрыл около 400 000 необработанных секретов и опубликовал украденные данные в более чем 30 000 репозиториях GitHub, при этом более 60% утекших токенов NPM оставались действительными по состоянию на 1 декабря.
Как полагают исследователи Wiz, злоумышленники продолжают совершенствовать свои операции по сбору учетных данных, используя экосистему npm и GitHub, а учитывая растущую изощренность и достигнутые успехи, прогнозируется продолжение атак, в том числе с применением накопленного к настоящему моменту массива учетных данных.
Trust Blog
Trust Wallet Browser Extension v2.68 Incident: An Update to Our Community
A work-in-progress update on the Browser Extension v2.68 incident
• Думаю все знают о самой крупнейшей международной конференции в мире по информационной безопасности — Black Hat. Так вот, недавно открыл для себя репо, где перечислены все тулзы, которые когда-либо были представлены и продемонстрированы на конференции. Есть удобная разбивка по годам, локации и категориям, которые перечислены ниже. Добавляйте в закладки для изучения!
➡ Red Teaming;
➡ Blue Teaming;
➡ OSINT & Recon;
➡ Exploit Development;
➡ Malware Analysis;
➡ DFIR & Forensics;
➡ Threat Intelligence;
➡ ICS/IoT/SCADA;
➡ Application Security (AppSec).
➡ https://github.com/UCYBERS/Awesome-Blackhat-Tools
• Кстати, ниже по ссылке можете найти все слайды, которые были представлены на всех конференциях BH, начиная с 2023 года.
➡ https://github.com/Conferences/BlackHat
#Пентест #Tools #ИБ
• Кстати, ниже по ссылке можете найти все слайды, которые были представлены на всех конференциях BH, начиная с 2023 года.
#Пентест #Tools #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Многие хорошие вещи в мире вычислительной техники, которые сегодня считаются стандартом, впервые появились в IBM. Позднее гигант продавал подразделения из-за возросшей конкуренции. Эта же участь постигла жёсткий диск: он родился в IBM в 1956 году, много лет был одним из ведущих продуктов компании, но позднее, в 2002 году, производственные мощности были проданы Hitachi Global Storage Technologies.
• Отцом жёсткого диска часто называют Рейнольда Джосона. До HDD он уже работал с системами хранения данных: изобрёл систему mark sense, которая позволяла размечать карандашом на карточках данные, которые преобразовывались в перфокарты. В 1952 году IBM, компания из штата Нью-Йорк, направляет Джонсона в город Сан-Хосе в Калифорнии для создания лаборатории на Западном побережье США.
• К 1954 году команда Джонсона изобрела новый тип носителя. Впервые он был представлен 13 сентября 1956 года. Вероятно, этот день можно считать днём рождения жёсткого диска. Это была машина, состоящая из 50 алюминиевых пластин диаметром 24 дюйма (≈61 сантиметр). В ней умещалось всего лишь 5 миллионов 6-битных слов — 3,75 мегабайта.
• IBM продавала не комплектующие, а готовые компьютеры. Устройство IBM 350 — тот самый жёсткий диск — было одной из частей компьютера IBM 305 RAMAC. Как следует из названия Random Access Method of Accounting and Control, это было решение для управления и ведения финансовой отчётности на предприятиях. Первый инженерный прототип диска появился в июне 1956 года, реальные коммерческие поставки системы начались в январе 1958 года.
• 50 пластин по две поверхности для записи, покрытых ферромагнитным слоем. Всего 100 слоёв для записи, на каждом слое — 100 дорожек. Диски вращались на скорости 1200 оборотов в минуту. Скорость доступа составляла 8,800 6-битных слов в минуту (примерно 51 КБ/с). Была лишь одна пара головок для чтения и записи, которую вверх-вниз для выбора нужной пластины толкал специальный механизм. Эта конструкция с головками весила около 1,4 кг, но могла проскочить от верхней до нижней пластины меньше чем за секунду.
• Компьютер IBM RAMAC 305 с одним таким диском IBM 350 предоставлялся за плату в 3200 долларов в месяц (это примерно 40 тыс. баксов сегодня). Инженеры хотели сделать версию с ёмкостью повыше, но маркетологи не знали, зачем она кому-то может понадобиться.
• Кстати, на фото можно наблюдать первый жесткий диск размером 5 мегабайт 69 лет тому назад. Без автопогрузчика его было не поднять.
#Разное
• Отцом жёсткого диска часто называют Рейнольда Джосона. До HDD он уже работал с системами хранения данных: изобрёл систему mark sense, которая позволяла размечать карандашом на карточках данные, которые преобразовывались в перфокарты. В 1952 году IBM, компания из штата Нью-Йорк, направляет Джонсона в город Сан-Хосе в Калифорнии для создания лаборатории на Западном побережье США.
• К 1954 году команда Джонсона изобрела новый тип носителя. Впервые он был представлен 13 сентября 1956 года. Вероятно, этот день можно считать днём рождения жёсткого диска. Это была машина, состоящая из 50 алюминиевых пластин диаметром 24 дюйма (≈61 сантиметр). В ней умещалось всего лишь 5 миллионов 6-битных слов — 3,75 мегабайта.
• IBM продавала не комплектующие, а готовые компьютеры. Устройство IBM 350 — тот самый жёсткий диск — было одной из частей компьютера IBM 305 RAMAC. Как следует из названия Random Access Method of Accounting and Control, это было решение для управления и ведения финансовой отчётности на предприятиях. Первый инженерный прототип диска появился в июне 1956 года, реальные коммерческие поставки системы начались в январе 1958 года.
• 50 пластин по две поверхности для записи, покрытых ферромагнитным слоем. Всего 100 слоёв для записи, на каждом слое — 100 дорожек. Диски вращались на скорости 1200 оборотов в минуту. Скорость доступа составляла 8,800 6-битных слов в минуту (примерно 51 КБ/с). Была лишь одна пара головок для чтения и записи, которую вверх-вниз для выбора нужной пластины толкал специальный механизм. Эта конструкция с головками весила около 1,4 кг, но могла проскочить от верхней до нижней пластины меньше чем за секунду.
• Компьютер IBM RAMAC 305 с одним таким диском IBM 350 предоставлялся за плату в 3200 долларов в месяц (это примерно 40 тыс. баксов сегодня). Инженеры хотели сделать версию с ёмкостью повыше, но маркетологи не знали, зачем она кому-то может понадобиться.
• Кстати, на фото можно наблюдать первый жесткий диск размером 5 мегабайт 69 лет тому назад. Без автопогрузчика его было не поднять.
#Разное
• Сразу скажу, что прочтение туториала по ссылке ниже занимает целых 2 часа времени и будет полезен в основном сетевикам, нежели ИБ специалистам. Но материал крайне интересный, поэтому рекомендую к прочтению всем без исключения.
• Автор этого материала написал инструкцию по воплощению инструмента диагностики сетевых проблем, который реализован в ОС FreeBSD и устанавливается прямо из коробки. Достаточно установить её на компактное устройство с двумя Ethernet интерфейсами и выполнить ряд манипуляций по настройке вполне стандартных вещей. Содержание лонгрида ниже, а бонусом идет ссылка на Github репозиторий содержащий готовый загрузочный образ и набор скриптов для настройки сниффера.
• Сниффер как способ решения проблем с сетью.
• Установка ОС FreeBSD и базовая настройка:
➡ Скачиваем ISO образ;
➡ Настройка опций BIOS;
➡ Развертывание образа на USB Flash;
➡ Загрузка с USB Flash и установка системы на SSD;
➡ Установка полезных пакетов программ и утилит;
➡ Подключение через SSH;
➡ Настройка `sudo’.
• Исследуем аппаратную часть:
➡ Получаем сведения об аппаратуре;
➡ Проводим тест Coremark для вычислительного ядра;
➡ Проводим тест STREAM для оперативной памяти;
• Настойка канала для удаленного доступа к устройству (mpd5).
• Настройка сетевого «моста» (Ethernet Bridging):
➡ Загрузка драйверов if_bridge и bridgestp;
➡ Создание и настройка интерфейса bridge0;
➡ Проверка работоспособности сетевого моста;
➡ Схемы включения сниффера.
• Анализ сетевого трафика:
➡ Настройка прав доступа к BPF;
➡ Правила фильтрации трафика в BPF;
➡ Правила фильтрации трафика в BPF с использованием DPI;
➡ Использования BPF фильтров в tcpdump’ и tshark’;
➡ Захват SIP пакетов с помощью утилиты `tcpdump’;
➡ Захват SIP пакетов с помощью утилиты `tshark’;
➡ Детектирование соединений SSH с помощью утилиты `tcpdump’;
➡ Детектирование соединений SSH с помощью утилиты `tshark’;
➡ Анализ HTTP запросов: добываем логин и пароль с помощью утилиты `tshark’;
➡ Анализ сетевой нагрузки с помощью утилиты `trafshow’;
➡ SNORT Intrusion Prevention System;
➡ Детектируем сканирование портов одно-строчным правилом для `snort’;
➡ Детектируем сканирование портов встроенным плагином `port_scan’.
• Бонус:
➡ Инструкция по быстрой установке сниффера на базе ОС FreeBSD;
➡ Инструкция по созданию своего загрузочного образа ОС FreeBSD со сниффером.
• P.S. Не забывайте по мой репозиторий, в котором собрана подборка материала для изучения сетей (от курсов и книг, до шпаргалок и сообществ): https://github.com/SE-adm/Awesome-network
#Сети #Linux
• Автор этого материала написал инструкцию по воплощению инструмента диагностики сетевых проблем, который реализован в ОС FreeBSD и устанавливается прямо из коробки. Достаточно установить её на компактное устройство с двумя Ethernet интерфейсами и выполнить ряд манипуляций по настройке вполне стандартных вещей. Содержание лонгрида ниже, а бонусом идет ссылка на Github репозиторий содержащий готовый загрузочный образ и набор скриптов для настройки сниффера.
• Сниффер как способ решения проблем с сетью.
• Установка ОС FreeBSD и базовая настройка:
• Исследуем аппаратную часть:
• Настойка канала для удаленного доступа к устройству (mpd5).
• Настройка сетевого «моста» (Ethernet Bridging):
• Анализ сетевого трафика:
• Бонус:
• P.S. Не забывайте по мой репозиторий, в котором собрана подборка материала для изучения сетей (от курсов и книг, до шпаргалок и сообществ): https://github.com/SE-adm/Awesome-network
#Сети #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
• Если сейчас вы задумываетесь, на сколько гигабайт купить карточку для фотоаппарата, то раньше люди задумывались над выбором из дискет, память которой составляла от 1 до 2 мб! На видео можно наблюдать цифровую фотокамеру Sony Digital Mavica с 0,3-мегапиксельной матрицей и дискетным приводом. Она была выпущена в 1997 году и на тот момент была весьма популярна.
• Размер файла в стандартном режиме составлял от 40 до 100 килобайт, и на одну дискету поместится от 10 до 20 фотографий. Но это стандартный режим, а есть еще качественный: фотокамера пишет снимок в формате BMP. В этом режиме фотокамера пишет снимок на дискету примерно минуту, а размер фотографии - около 900 килобайт, а значит на стандартную дискету помещается только один - два кадра.
• Представьте, что вы отправляетесь в путешествие. Тут вам нужно решить, сколько дискет вам понадобится =)) Вот такое раньше было время...
• Кстати, фотоаппарат на видео в 1999 году стоил около 800 баксов. Это очень большие деньги в то время. Да что уж говорить, и сейчас это не мало.
#Разное
• Размер файла в стандартном режиме составлял от 40 до 100 килобайт, и на одну дискету поместится от 10 до 20 фотографий. Но это стандартный режим, а есть еще качественный: фотокамера пишет снимок в формате BMP. В этом режиме фотокамера пишет снимок на дискету примерно минуту, а размер фотографии - около 900 килобайт, а значит на стандартную дискету помещается только один - два кадра.
• Представьте, что вы отправляетесь в путешествие. Тут вам нужно решить, сколько дискет вам понадобится =)) Вот такое раньше было время...
• Кстати, фотоаппарат на видео в 1999 году стоил около 800 баксов. Это очень большие деньги в то время. Да что уж говорить, и сейчас это не мало.
#Разное
• Скажу честно, мне редко приходилось пользоваться загрузочными USB, переустанавливать системы и экспериментировать с различными ОС, так как специфика моей работы совсем в другом. Но недавно я открыл для себя очень крутой и, что самое главное, бесплатный проект с открытым исходным кодом, который называется netboot.xyz.
• Суть заключается в том, что netboot позволяет создать загрузочную флешку с возможностью установить любую ОС Linux через интернет. Все что вам нужно для начала работы - это загрузить с официального сайта загрузочный образ размером около 1МБ. Далее грузитесь с флешки, выбираете нужную систему и устанавливаете. Всё просто.
• Кстати, там еще есть раздел с утилитами, которые могут быть полезны при восстановлении и диагностики системы. Так то...
#Разное #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователям CyberArk удалось расчехлить достаточно популярный в киберподполье MaaS-сервис StealC благодаря обнаруженной XSS-уязвимости в веб-панели управления, которая позволила им отследить активные сессии и собрать техническую информацию о злоумышленниках.
StealC появился в начале 2023 года и активно продвигался в среде киберпреступников в даркнете.
Его популярность возросла благодаря поддерживаемым возможностям обхода защиты и масштабному функционалу для кражи данных.
С того времени разработчики StealC внесли множество улучшений в работу сервиса.
С выпуском версии 2.0 в апреле прошлого года авторы добавили поддержку Telegram-ботов для оповещений в режиме реального времени и обновленный конструктор, который позволял генерировать сборки StealC на основе шаблонов и пользовательских правил кражи данных.
Примерно в это же время случилась утечка исходного кода административной панели вредоносной ПО, открыв для исследователей возможности его анализа.
Собственно, это позволило CyberArk задетектить XSS-ошибку, которая позволяла им собрать данные в отношении браузеров и железа операторов StealC, отслеживать активные сессии, красть сессионные cookie и удаленно перехватывать сессии панели.
Используя эту уязвимость, исследователи смогли определить характеристики машины злоумышленника, включая общие индикаторы местоположения и сведения об аппаратном обеспечении компьютера.
В отчете CyberArk также описывает одну ситуацию, когда один из клиентов StealC, известный как YouTubeTA, захватил старые легитимные каналы на YouTube, предположительно используя скомпрометированные учетные данные, и разместил вредоносные ссылки.
В течение 2025 года киберпреступник проводил кампании по распространению вредоносного ПО, собрав данные более чем 5000 жертв, украв около 390 000 паролей и 30 миллионов файлов cookie (большинство из которых, правда, не содержат конфиденциальной информации).
Скриншоты с панели управления злоумышленника указывают на то, что большинство заражений происходило, когда жертвы натыкались на троянизированные версии Adobe Photoshop и Adobe After Effects.
Используя выявленную XSS, исследователи смогли установить, что злоумышленник использовал систему на базе Apple M3 с английским и русским языками, восточноевропейским часовым поясом и выходил в интернет через Украину.
При этом однажды, злоумышленник забыл авторизоваться в панеле StealC через VPN и раскрыл свой реальный IP, который принадлежал украинскому интернет-провайдеру TRK Cable TV.
CyberArk пока не раскрывает публично конкретные детали уязвимости XSS, дабы не позволить подсказки операторам StealC быстро выявить и устранить ошибку.
Кроме того, они полагают, что уже на этом этапе репетиционный удар по MaaS-сервису приведет к его широкой дискредитации и в конченом счете - закрытию, особенно на фоне кейса с Lumma Stealer.
Но, как обычно, будем посмотреть.
StealC появился в начале 2023 года и активно продвигался в среде киберпреступников в даркнете.
Его популярность возросла благодаря поддерживаемым возможностям обхода защиты и масштабному функционалу для кражи данных.
С того времени разработчики StealC внесли множество улучшений в работу сервиса.
С выпуском версии 2.0 в апреле прошлого года авторы добавили поддержку Telegram-ботов для оповещений в режиме реального времени и обновленный конструктор, который позволял генерировать сборки StealC на основе шаблонов и пользовательских правил кражи данных.
Примерно в это же время случилась утечка исходного кода административной панели вредоносной ПО, открыв для исследователей возможности его анализа.
Собственно, это позволило CyberArk задетектить XSS-ошибку, которая позволяла им собрать данные в отношении браузеров и железа операторов StealC, отслеживать активные сессии, красть сессионные cookie и удаленно перехватывать сессии панели.
Используя эту уязвимость, исследователи смогли определить характеристики машины злоумышленника, включая общие индикаторы местоположения и сведения об аппаратном обеспечении компьютера.
В отчете CyberArk также описывает одну ситуацию, когда один из клиентов StealC, известный как YouTubeTA, захватил старые легитимные каналы на YouTube, предположительно используя скомпрометированные учетные данные, и разместил вредоносные ссылки.
В течение 2025 года киберпреступник проводил кампании по распространению вредоносного ПО, собрав данные более чем 5000 жертв, украв около 390 000 паролей и 30 миллионов файлов cookie (большинство из которых, правда, не содержат конфиденциальной информации).
Скриншоты с панели управления злоумышленника указывают на то, что большинство заражений происходило, когда жертвы натыкались на троянизированные версии Adobe Photoshop и Adobe After Effects.
Используя выявленную XSS, исследователи смогли установить, что злоумышленник использовал систему на базе Apple M3 с английским и русским языками, восточноевропейским часовым поясом и выходил в интернет через Украину.
При этом однажды, злоумышленник забыл авторизоваться в панеле StealC через VPN и раскрыл свой реальный IP, который принадлежал украинскому интернет-провайдеру TRK Cable TV.
CyberArk пока не раскрывает публично конкретные детали уязвимости XSS, дабы не позволить подсказки операторам StealC быстро выявить и устранить ошибку.
Кроме того, они полагают, что уже на этом этапе репетиционный удар по MaaS-сервису приведет к его широкой дискредитации и в конченом счете - закрытию, особенно на фоне кейса с Lumma Stealer.
Но, как обычно, будем посмотреть.
Cyberark
UNO reverse card: stealing cookies from cookie stealers
Criminal infrastructure often fails for the same reasons it succeeds: it is rushed, reused, and poorly secured. In the case of StealC, the thin line between attacker and victim turned out to be...
• 20 июля 1969 года, в 20:17:39 по Гринвичу, лунный модуль миссии «Аполлон-11» совершил первую в истории человечества пилотируемую посадку на другое небесное тело. Событие огромной значимости, как в плане науки, так и в плане идеологическом, стало возможным благодаря самоотверженной работе сотен людей — техников, контролёров, специалистов по связи. И, конечно, программистов, одной из которых была Маргарет Гамильтон (на фото).
• Однако посадка могла не состояться, если бы не гениальность Маргарет, которая разработала бортовое программное обеспечение для программы Apollo.
• Все коды писались, а потом печатались вручную, затем объединяясь в программы. Этот вид памяти назвали «LOL memory». Дословно его можно перевести как «память маленьких старых леди» («little old lаdies»). Ведь печатали коды в основном женщины.
• Когда Нил Армстронг и Эдвин Олдрин были уже почти у Луны, система внезапно дала сбой. На приоритетном дисплее компьютера появились предупреждения о чрезвычайной ситуации. Как выяснилось позднее, переключатель радара (который нужен был уже для обратного полёта) оказался в неправильном положении. Это привело к запросу на выполнение компьютером большего числа операций, чем он был способен обработать. Тут-то и сработала защита. В данном конкретном случае реакцией ПО было приостановить работу низкоприоритетных задач и перезапустить наиболее важные. Итог всем известен — полёт продолжился в штатном режиме, Аполлон приземлился. И всё это стало возможно благодаря усилиям и таланту одного человека - Маргарет Гамильтон. А ведь всё могло закончится совсем по другому...
• Кстати, на фото выше Маргарет запечатлена с распечаткой кода, который использовали для осуществления полета на Луну в 1969 году.
• Сейчас Маргарет 88 лет! Она возглавляет компанию Hamilton Technologies, а за всю жизнь смогла опубликовать более 130 научных работ, трудов и отчетов по 60 проектам и шести крупным программам, в которых она принимала участие. Так то...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи Huntress раскрыли новый вариант атаки ClickFix, в котором задействуется вредоносное расширение для Chrome, отображающее предупреждение о безопасности для побуждения жертв выполнить нежелательные команды и установить таким образом вредоносного ПО.
Атака получила название CrashFix и начинается с расширения для браузера NexShield, которое имитирует легитимный блокировщик рекламы uBlock Origin Lite.
Расширение отображает фейковые предупреждение системы безопасности, в котором жертве предлагается исправить якобы обнаруженные проблемы, открыв диалоговое окно «Выполнить» в Windows и вставив содержимое из буфера обмена.
Как и в классических атаках ClickFix, NexShield незаметно копирует вредоносные команды PowerShell в буфер обмена, маскируясь под команду восстановления, предназначенную для заражения системы жертвы вирусом ModeloRAT.
Учитывая ориентированность на хосты, подключенные к домену, злоумышленник, стоящий за этой кампанией, получивший название KongTuke и действующий как минимум с начала 2025 года, по всей видимости, нацелен на корпоративную среду.
Как объясняет Huntress, основная вредоносная функция NexShield заключается в атаке типа DoS на браузер жертвы, что создает предпосылки для применения метода социальной инженерии CrashFix.
Расширение выполняет функцию, которая пытается выполнить 1 миллиард итераций, создавая соединение с портом chrome.runtime на каждой итерации. После завершения итераций процесс начинается заново, в бесконечном цикле.
Это приводит к исчерпанию системных ресурсов, зависанию и сбою в работе браузера. При перезапуске отображается ложное предупреждение системы безопасности, запускающее атаку CrashFix.
Дабы не вызывать подозрений у пользователей, NexShield устанавливает таймер, согласно которому вредоносная активность запускается через 60 минут после установки.
DoS-атака начинается через 10 минут и выполняется каждые 10 минут, но только в отношении пользователей, для которых расширение отправило идентификатор пользователя на сервер С2.
Вредоносная команда, которую запускают жертвы при атаке CrashFix, приводит к выполнению легитимной утилиты Windows Finger.exe, которая способна получать информацию о пользователях на удаленных системах.
Она также извлекает дополнительную полезную нагрузку, которая загружает и выполняет вредоносный код с удаленного сервера, устанавливая полнофункциональный троян удаленного доступа ModeloRAT на основе Python в системы, подключенные к домену.
RAT выполняет разведку системы, обеспечивает постоянное присутствие в сети и поддерживает выполнение команд. Он также включает в себя адаптивную передачу сигналов С2, обфускацию, двухуровневое шифрование и возможности защиты от анализа.
По данным Huntress, оператор вредоносного ПО, по всей видимости, сосредоточен на взломе корпоративных сетей для получения доступа к Active Directory, внутренним ресурсам и конфиденциальным данным.
ModeloRAT не распространяется среди домашних пользователей (механизм заражения хостов, не входящих в домен, в CrashFix попросту не реализован).
Выдавая себя за доверенный проект с открытым исходным кодом (uBlock Origin Lite), намеренно вызывая сбои в работе браузера пользователя, а затем предлагая липовое решение, злоумышленники создали самоподдерживающийся цикл заражения, который фактически эксплуатирует раздражение пользователей.
В целом, кампания KongTuke CrashFix демонстрирует эволюцию киберподпольем методов социнженерии.
Атака получила название CrashFix и начинается с расширения для браузера NexShield, которое имитирует легитимный блокировщик рекламы uBlock Origin Lite.
Расширение отображает фейковые предупреждение системы безопасности, в котором жертве предлагается исправить якобы обнаруженные проблемы, открыв диалоговое окно «Выполнить» в Windows и вставив содержимое из буфера обмена.
Как и в классических атаках ClickFix, NexShield незаметно копирует вредоносные команды PowerShell в буфер обмена, маскируясь под команду восстановления, предназначенную для заражения системы жертвы вирусом ModeloRAT.
Учитывая ориентированность на хосты, подключенные к домену, злоумышленник, стоящий за этой кампанией, получивший название KongTuke и действующий как минимум с начала 2025 года, по всей видимости, нацелен на корпоративную среду.
Как объясняет Huntress, основная вредоносная функция NexShield заключается в атаке типа DoS на браузер жертвы, что создает предпосылки для применения метода социальной инженерии CrashFix.
Расширение выполняет функцию, которая пытается выполнить 1 миллиард итераций, создавая соединение с портом chrome.runtime на каждой итерации. После завершения итераций процесс начинается заново, в бесконечном цикле.
Это приводит к исчерпанию системных ресурсов, зависанию и сбою в работе браузера. При перезапуске отображается ложное предупреждение системы безопасности, запускающее атаку CrashFix.
Дабы не вызывать подозрений у пользователей, NexShield устанавливает таймер, согласно которому вредоносная активность запускается через 60 минут после установки.
DoS-атака начинается через 10 минут и выполняется каждые 10 минут, но только в отношении пользователей, для которых расширение отправило идентификатор пользователя на сервер С2.
Вредоносная команда, которую запускают жертвы при атаке CrashFix, приводит к выполнению легитимной утилиты Windows Finger.exe, которая способна получать информацию о пользователях на удаленных системах.
Она также извлекает дополнительную полезную нагрузку, которая загружает и выполняет вредоносный код с удаленного сервера, устанавливая полнофункциональный троян удаленного доступа ModeloRAT на основе Python в системы, подключенные к домену.
RAT выполняет разведку системы, обеспечивает постоянное присутствие в сети и поддерживает выполнение команд. Он также включает в себя адаптивную передачу сигналов С2, обфускацию, двухуровневое шифрование и возможности защиты от анализа.
По данным Huntress, оператор вредоносного ПО, по всей видимости, сосредоточен на взломе корпоративных сетей для получения доступа к Active Directory, внутренним ресурсам и конфиденциальным данным.
ModeloRAT не распространяется среди домашних пользователей (механизм заражения хостов, не входящих в домен, в CrashFix попросту не реализован).
Выдавая себя за доверенный проект с открытым исходным кодом (uBlock Origin Lite), намеренно вызывая сбои в работе браузера пользователя, а затем предлагая липовое решение, злоумышленники создали самоподдерживающийся цикл заражения, который фактически эксплуатирует раздражение пользователей.
В целом, кампания KongTuke CrashFix демонстрирует эволюцию киберподпольем методов социнженерии.
Huntress
Dissecting CrashFix: KongTuke's New Toy | Huntress
Fake ad blocker crashes your browser, then offers a "fix." Go inside KongTuke's CrashFix campaign, from malicious extension to ModeloRAT for VIP targets.
• Интересная статья по пентесту IPv6. Материал содержит информацию с актуальными методами атак на IPv6 и способах защиты. Содержание следующее:
• IPv6 Intro:
• Network Scheme.
• NDP Sniffing:
• System Tuning:
• RA Spoofing:
• RDNSS Spoofing:
• DNS Interception using DHCPv6:
• Security Issues.
• Outro.
• В дополнение
#Сети #Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
• Большая и полезная подборка AI-инструментов с открытым исходным кодом для кибербезопасников. Ниже обозначены категории, в каждой из которых множество полезных инструментов с кратким описанием:
- Tools:
➡ Integrated;
➡ Audit;
➡ Reconnaissance;
➡ Offensive;
➡ Detecting;
➡ Preventing;
➡ Social Engineering;
➡ Reverse Engineering;
➡ Investigation;
➡ Fix;
➡ Assessment.
- Cases:
➡ Experimental;
➡ Academic;
➡ Blogs;
➡ Fun.
- GPT Security:
➡ Standard;
➡ Bypass Security Policy;
➡ Bug Bounty;
➡ Crack;
➡ Plugin Security.
#AI #Awesome #ИБ
- Tools:
- Cases:
- GPT Security:
#AI #Awesome #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Top CVE Trends & Expert Vulnerability Insights — агрегатор с "термометром хайповости" для топ-10 обсуждаемых в соц.сетях уязвимостей за сутки.
• CVE Crowd — агрегатор, собирающий информацию о популярных уязвимостях из соц.сетей типа Fediverse (Mastodon в основном). Ранее упоминал его в канале.
• Feedly Trending Vulnerabilities — подборка обсуждаемых уязвимостей от TI-портала Feedly. Из интересного функционала можно выделить временную шкалу, демонстрирующую "важные" моменты жизненного цикла уязвимости (первое публичное упоминание, добавление в различные каталоги т .п.).
• CVEShield — уже ветеран среди агрегаторов, который также ранжирует трендовые уязвимости по упоминанию в различных источниках. Ранее упоминал его в канале.
• CVE Radar [VPN] — агрегатор от компании SOCRadar. Создавался в поддержку проекта CVETrends, закрытого из-за изменения политики доступа к API сети X.
• Vulners — в разделе поиска можно найти дашборд "Discussed in social networks". В целом, на сайте есть много интересных топов/фильтров, например, Daily Hot, Security news, Blogs review.
• Vulmon Vulnerability Trends — тренды от поисковика Vulmon. Из плюсов: можно посмотреть популярное за предыдущие дни.
• SecurityVulnerability Trends — видимо какой-то новый агрегатор, т.к. в тренде только одна свежая уязвимость, но выглядит неплохо по функционалу, надеюсь будет развиваться.
• CVESky — агрегатор обсуждаемых уязвимостей в децентрализованной сети микроблогов BlueSky. Есть топы за каждый день, а для уязвимостей приводится описание, оценка CVSS, наличие эксплойта, вхождение в каталог CISA KEV, а также ссылки на ресурсы, где можно почитать подробнее про уязвимость, в т.ч. ссылка на ресурс с таймлайном жизни уязвимости.
• Vulnerability-lookup — ресурс Люксембургского CERT, где помимо общей информации об уязвимостях есть информация об упоминании в социальных сетях и иных ресурсах, а также топы уязвимостей по упоминаниям за неделю. Статистику можно скачивать по API.
• Fedi Sec Feeds — агрегатор обсуждаемых в соц.сетях типа Fediverse уязвимостей (как и CVE Crowd). Помимо описания узвимости есть информация по оценкам CVSS, EPSS, количестве постов с обсуждением и репозиториев с PoC/Exploit, а также ссылки на шаблоны детектов Nuclei. Данные можно выкачивать в json-формате.
• Talkback — довольно крутой агрегатор новостей из сферы ИБ с прикрученным ИИ. На ресурсе есть раздел про уязвимости, в котором для каждой записи проставляется "температурная" метка обсуждаемости. К сожалению, подробного описания механики работы "градусника" нет, но можно предположить, что он выставляется на основе упоминаний уязвимости в новостях за определенный промежуток времени.
• CVE Watch — сообщество Reddit, где каждый день публикуют топ-10 обсуждаемых интересных уязвимостей.
• DBugs –– трендовые уязвимости на портале уязвимостей от компании Positive Technologies. В разделе трендов можно также посмотреть статистику по упоминанию уязвимости в соц.сети X (посты, репосты, суммарная аудитория подписчиков, временной график) и текст постов из различных ресурсов.
#CVE #Подборка
Please open Telegram to view this post
VIEW IN TELEGRAM