Forwarded from SecAtor
Исследователи Check Point рассказали, как злоумышленники могут использовать сервисы ИИ для передачи данных между сервером управления и контроля и целевой машиной.
ИИ, используемый такими помощниками, как Grok и Microsoft Copilot, обладающими возможностями просмотра веб-страниц и получения URL-адресов, может быть использовандля передачи команд и извлечения украденных данных из систем жертв.
Дабы не быть голословными исследователи даже создали экспериментальный образец, демонстрирующий принцип работы системы, и представили свои результаты Microsoft и xAI.
Вместо того чтобы вредоносное ПО напрямую подключалось к серверу С2, размещенному на инфраструктуре злоумышленника, Check Point предложила использовать веб-интерфейс ИИ для связи с ним, давая агенту команду получить URL-адрес злоумышленника и получить ответ в выходных данных ИИ.
В разработанном Check Point сценарии вредоносная ПО взаимодействует со службой ИИ, используя компонент WebView2 в Windows 11. Причем даже если этот компонент отсутствует в целевой системе, злоумышленник может внедрить его в вредоносное ПО.
WebView2 используется разработчиками для отображения веб-контента в интерфейсе нативных настольных приложений, что устраняет необходимость в полнофункциональном браузере.
Исследователям удалось создать программу на C++, которая открывает WebView, указывающий либо на Grok, либо на Copilot». Таким образом, злоумышленник может передать помощнику инструкции, включающие команды для выполнения или извлечения информации из скомпрометированной машины.
Веб-страница выдает встроенные инструкции, которые злоумышленник может изменять по своему усмотрению, а ИИ извлекает или обобщает их в ответ на запрос вредоносной ПО. Она анализирует ответы голосового помощника в чате и извлекает из них инструкции.
Таким образом создается двусторонний канал связи через сервис ИИ, которому доверяют инструменты интернет-безопасности, и способный осуществлять обмен данными, не будучи детектированным или заблокированным.
Апробированный на платформах Grok и Microsoft Copilot прототип Check Point не требует учетной записи или ключей API для работы с сервисами ИИ, что упрощает отслеживаемость и решение проблем, связанных с основной инфраструктурой.
Обычно злоупотребление легитимными сервисами для C2 является тем, насколько легко можно перекрыть эти каналы: заблокировать учетную запись, отозвать ключ API, приостановить действие учетной записи клиента.
Однако прямое взаимодействие с ИИ-агентом через веб-страницу меняет ситуацию. Нет необходимости отзывать API-ключ, и если разрешено анонимное использование, то, возможно, даже не будет учетной записи, которую можно было бы заблокировать.
Несмотря на то, что существуют механизмы защиты, блокирующие явно вредоносный обмен данными на указанных платформах ИИ, но эти проверки безопасности можно легко обойти, зашифровав данные в высокоэнтропийные блоки.
В свою очередь, в Microsoft по поводу выявленной уязвимости Copilot пояснили: как и в случае с любым скомпрометированным устройством, злоумышленники могут попытаться установить связь, используя различные доступные сервисы, включая сервисы на основе ИИ.
Посоветовали пользователям подобные вопросы решать самостоятельно, рекомендуя практиковать многоуровневые меры безопасности, которые призваны предотвратить первоначальное заражение вредоносным ПО и уменьшить последствия действий после взлома.
ИИ, используемый такими помощниками, как Grok и Microsoft Copilot, обладающими возможностями просмотра веб-страниц и получения URL-адресов, может быть использовандля передачи команд и извлечения украденных данных из систем жертв.
Дабы не быть голословными исследователи даже создали экспериментальный образец, демонстрирующий принцип работы системы, и представили свои результаты Microsoft и xAI.
Вместо того чтобы вредоносное ПО напрямую подключалось к серверу С2, размещенному на инфраструктуре злоумышленника, Check Point предложила использовать веб-интерфейс ИИ для связи с ним, давая агенту команду получить URL-адрес злоумышленника и получить ответ в выходных данных ИИ.
В разработанном Check Point сценарии вредоносная ПО взаимодействует со службой ИИ, используя компонент WebView2 в Windows 11. Причем даже если этот компонент отсутствует в целевой системе, злоумышленник может внедрить его в вредоносное ПО.
WebView2 используется разработчиками для отображения веб-контента в интерфейсе нативных настольных приложений, что устраняет необходимость в полнофункциональном браузере.
Исследователям удалось создать программу на C++, которая открывает WebView, указывающий либо на Grok, либо на Copilot». Таким образом, злоумышленник может передать помощнику инструкции, включающие команды для выполнения или извлечения информации из скомпрометированной машины.
Веб-страница выдает встроенные инструкции, которые злоумышленник может изменять по своему усмотрению, а ИИ извлекает или обобщает их в ответ на запрос вредоносной ПО. Она анализирует ответы голосового помощника в чате и извлекает из них инструкции.
Таким образом создается двусторонний канал связи через сервис ИИ, которому доверяют инструменты интернет-безопасности, и способный осуществлять обмен данными, не будучи детектированным или заблокированным.
Апробированный на платформах Grok и Microsoft Copilot прототип Check Point не требует учетной записи или ключей API для работы с сервисами ИИ, что упрощает отслеживаемость и решение проблем, связанных с основной инфраструктурой.
Обычно злоупотребление легитимными сервисами для C2 является тем, насколько легко можно перекрыть эти каналы: заблокировать учетную запись, отозвать ключ API, приостановить действие учетной записи клиента.
Однако прямое взаимодействие с ИИ-агентом через веб-страницу меняет ситуацию. Нет необходимости отзывать API-ключ, и если разрешено анонимное использование, то, возможно, даже не будет учетной записи, которую можно было бы заблокировать.
Несмотря на то, что существуют механизмы защиты, блокирующие явно вредоносный обмен данными на указанных платформах ИИ, но эти проверки безопасности можно легко обойти, зашифровав данные в высокоэнтропийные блоки.
В свою очередь, в Microsoft по поводу выявленной уязвимости Copilot пояснили: как и в случае с любым скомпрометированным устройством, злоумышленники могут попытаться установить связь, используя различные доступные сервисы, включая сервисы на основе ИИ.
Посоветовали пользователям подобные вопросы решать самостоятельно, рекомендуя практиковать многоуровневые меры безопасности, которые призваны предотвратить первоначальное заражение вредоносным ПО и уменьшить последствия действий после взлома.
Check Point Research
AI in the Middle: Turning Web-Based AI Services into C2 Proxies & The Future Of AI Driven Attacks - Check Point Research
Key Points Introduction AI is rapidly becoming embedded in day-to-day enterprise workflows, inside browsers, collaboration suites, and developer tooling. As a result, AI service domains increasingly blend into normal corporate traffic, often allowed by default…
• Когда создавался протокол Telnet, об аспектах безопасности практически никто не задумывался. До массового распространения персональных компьютеров было минимум десятилетие, а вот идея создать простой протокол для удаленного управления была очень востребована.
• Системы того времени чаще всего работали с компьютерными терминалами, специализированными девайсами, совмещающими в себе дисплей, клавиатуру и часто указательные устройства, вроде трекбола, мыши или светового пера.
Некоторые производители предусматривали подключение нескольких таких терминалов к одному компьютеру, что давало возможность одновременной работы множества пользователей.
• Примерно в то же время была придумана концепция виртуального терминала (Virtual TTY). Это программный интерфейс, который полностью имитирует поведение настоящего устройства. Такая абстракция позволила отвязать пользователей от конкретного «железа» и бонусом дать возможность работать за терминалом без необходимости его физического подключения.
• Telnet был спроектирован как раз для решения этой задачи. В самом названии протокола заложен его смысл — TELecommunications NETwork, то есть сеть телекоммуникаций. Некоторые исследователи предлагают иную, неофициальную, расшифровку аббревиатуры — Teletype Over Network Protocol. Истина, вероятно, где-то посередине.
• С возложенной на него миссией Telnet справился великолепно. Пользователи получили доступ к виртуальным терминалам прямо по сети. Это сильно расширяло возможности построения распределенной вычислительной инфраструктуры. Поддержку этого протокола постарались реализовать буквально везде — на тот момент наличие клиента Telnet было само собой разумеющимся явлением.
• Почему же мы сейчас администрируем серверы и настраиваем роутеры по SSH, а не через Telnet? Увы, этот протокол не предусматривал никакой защиты или шифрования. Все данные передаются по сети в открытом виде, даже если это логины или пароли. Получается, что Telnet бесполезен для любого применения, где необходима хотя бы минимальная конфиденциальность. Это и поставило жирный крест на его массовом использовании.
• Парадоксальным образом практически все вендоры сетевого оборудования продолжают поддерживать его и добавлять в свои продукты. В первую очередь это сохраняет обратную совместимость. Многие промышленные и военные системы были созданы для использования Telnet, и их модернизация попросту нерентабельна. Такие заказчики будут вынуждены искать современные устройства с поддержкой древних протоколов, и это меняет правила игры.
• Вторая причина звучит хуже. Сейчас дешевизна разработки и скорость выхода на рынок всегда имеют приоритет над безопасностью. Так что многие компании предпочитают встраивать в недорогие потребительские устройства простой Telnet, а не более защищенный и сложный в реализации SSH. Его включают на этапе отладки и часто забывают выключать. В итоге десятки тысяч устройств в интернете имеют открытый порт Telnet и не предусматривают никакой аутентификации, что делает их очень легкой жертвой хакеров.
• Но есть у протокола Telnet одно применение, о котором знают немногие, — его до сих пор используют радиолюбители для передачи публичных данных о выходящих в эфир радиостанциях. Так то...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Palo Alto Networks на этой неделе зафиксировала резкое увеличение числа случаев эксплуатации двух недавно исправленных 0-day Ivanti Endpoint Manager Mobile (EPMM).
Критические CVE-2026-1281 и CVE-2026-1340 могут быть использованы удаленными, неаутентифицированными злоумышленниками для RCE на целевых серверах и получения полного контроля над целевой инфраструктурой управления мобильными устройствами (MDM).
Ivanti устранила уязвимости в системе безопасности в конце января, уведомив пользователей о том, что ей было известно об атаках нулевого дня, направленных на «очень ограниченное число клиентов».
Вскоре после раскрытия уязвимостей началось широкомасштабное использование злоумышленников, собственно с чем и столкнулись в Palo Alto Networks, наблюдая широкий спектр атак.
Злоумышленники используют уязвимости для загрузки вредоносного ПО на скомпрометированные платформы Ivanti, включая веб-оболочки, майнеры криптовалюты и постоянный бэкдор.
В Palo Alto также наблюдали, как злоумышленники задействуют утилиту мониторинга с открытым исходным кодом Nezha (недавно выявленную в вредоносной деятельности, связанной с КНР), реализуют обратные шелл-оболочки и проводят разведку.
Вместе с тем, в открытых источниках нет упоминаний об использовании CVE-2026-1281 и CVE-2026-1340, которые, если верить немецкой BSI, эксплуатировались еще с июля 2025 года.
Наряду с Ivanti популярность в киберподполье, как мы и предупреждали, получила и BeyondTrust с критической CVE-2026-1731 (CVSS: 9,9) в Remote Support (RS) и Privileged Remote Access (PRA), которая также используется для проведения широкого спектра вредоносных действий:
В настоящее время масштабы атак, использующих эту уязвимость, варьируются от разведки до развертывания бэкдоров, включая:
- Задействование пользовательского скрипта на Python для получения доступа к административной учетной записи.
- Внедрение нескольких веб-оболочек в разных каталогах, включая PHP-бэкдор, способный выполнять необработанный PHP-код или произвольный PHP-код без записи новых файлов на диск, а также bash-дроппер, создающий постоянную веб-оболочку.
- Развертывание вредоносного ПО, такого как VShell и Spark RAT.
- Использование методов внеполосного тестирования безопасности приложений (OAST) для проверки успешного выполнения кода и идентификации систем, скомпрометированных с помощью анализа отпечатков пальцев.
- Выполнение команд для подготовки, сжатия и извлечения конфиденциальных данных, включая файлы конфигурации, внутренние системные базы данных и полный дамп PostgreSQL, на внешний сервер.
Выявленная кампания была нацелена на секторы финансовых услуг, юридических услуг, высоких технологий, образования, торговли, а также здравоохранения в США, Франции, Германии, Австралии и Канаде.
Исследователи описывают уязвимость как сбой в процессе проверки подлинности, позволяющий использовать уязвимый скрипт thin-scc-wrapper, доступный через интерфейс WebSocket, для внедрения и выполнения произвольных команд оболочки в контексте пользователя сайта.
Исследователи акцентируют внимание на взаимосвязь между CVE-2026-1731 и CVE-2024-12356, указывающую на локализованную, повторяющуюся проблему с проверкой входных данных в различных путях выполнения.
И, учитывая наблюдавшиеся случаи использования CVE-2024-12356 китайскими APT, в том числе Silk Typhoon, в Palo Alto полагают, что CVE-2026-1731 также может стать целью для продвинутых злоумышленников.
Но будем, конечно, посмотреть.
Критические CVE-2026-1281 и CVE-2026-1340 могут быть использованы удаленными, неаутентифицированными злоумышленниками для RCE на целевых серверах и получения полного контроля над целевой инфраструктурой управления мобильными устройствами (MDM).
Ivanti устранила уязвимости в системе безопасности в конце января, уведомив пользователей о том, что ей было известно об атаках нулевого дня, направленных на «очень ограниченное число клиентов».
Вскоре после раскрытия уязвимостей началось широкомасштабное использование злоумышленников, собственно с чем и столкнулись в Palo Alto Networks, наблюдая широкий спектр атак.
Злоумышленники используют уязвимости для загрузки вредоносного ПО на скомпрометированные платформы Ivanti, включая веб-оболочки, майнеры криптовалюты и постоянный бэкдор.
В Palo Alto также наблюдали, как злоумышленники задействуют утилиту мониторинга с открытым исходным кодом Nezha (недавно выявленную в вредоносной деятельности, связанной с КНР), реализуют обратные шелл-оболочки и проводят разведку.
Вместе с тем, в открытых источниках нет упоминаний об использовании CVE-2026-1281 и CVE-2026-1340, которые, если верить немецкой BSI, эксплуатировались еще с июля 2025 года.
Наряду с Ivanti популярность в киберподполье, как мы и предупреждали, получила и BeyondTrust с критической CVE-2026-1731 (CVSS: 9,9) в Remote Support (RS) и Privileged Remote Access (PRA), которая также используется для проведения широкого спектра вредоносных действий:
В настоящее время масштабы атак, использующих эту уязвимость, варьируются от разведки до развертывания бэкдоров, включая:
- Задействование пользовательского скрипта на Python для получения доступа к административной учетной записи.
- Внедрение нескольких веб-оболочек в разных каталогах, включая PHP-бэкдор, способный выполнять необработанный PHP-код или произвольный PHP-код без записи новых файлов на диск, а также bash-дроппер, создающий постоянную веб-оболочку.
- Развертывание вредоносного ПО, такого как VShell и Spark RAT.
- Использование методов внеполосного тестирования безопасности приложений (OAST) для проверки успешного выполнения кода и идентификации систем, скомпрометированных с помощью анализа отпечатков пальцев.
- Выполнение команд для подготовки, сжатия и извлечения конфиденциальных данных, включая файлы конфигурации, внутренние системные базы данных и полный дамп PostgreSQL, на внешний сервер.
Выявленная кампания была нацелена на секторы финансовых услуг, юридических услуг, высоких технологий, образования, торговли, а также здравоохранения в США, Франции, Германии, Австралии и Канаде.
Исследователи описывают уязвимость как сбой в процессе проверки подлинности, позволяющий использовать уязвимый скрипт thin-scc-wrapper, доступный через интерфейс WebSocket, для внедрения и выполнения произвольных команд оболочки в контексте пользователя сайта.
Исследователи акцентируют внимание на взаимосвязь между CVE-2026-1731 и CVE-2024-12356, указывающую на локализованную, повторяющуюся проблему с проверкой входных данных в различных путях выполнения.
И, учитывая наблюдавшиеся случаи использования CVE-2024-12356 китайскими APT, в том числе Silk Typhoon, в Palo Alto полагают, что CVE-2026-1731 также может стать целью для продвинутых злоумышленников.
Но будем, конечно, посмотреть.
Unit 42
Critical Vulnerabilities in Ivanti EPMM Exploited
We discuss widespread exploitation of Ivanti EPMM zero-day vulns CVE-2026-1281 and CVE-2026-1340. Attackers are deploying web shells and backdoors.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
• Нашел очень содержательный и актуальный Mindmap по командам Linux. Всё необходимое на одной схеме и всегда у вас под рукой:
➡ Пользовательские;
➡ Админские;
➡ Встроенные в bash;
➡ Команды-фильтры;
➡ Мониторинг;
➡ И многое другое...
• В хорошем качестве можно скачать по ссылке ниже:
➡️ https://xmind.app/m/WwtB/
#Linux #Mindmap
• В хорошем качестве можно скачать по ссылке ниже:
#Linux #Mindmap
Please open Telegram to view this post
VIEW IN TELEGRAM
• В 2005 году хитрые Японцы выпустили уникальное устройство - Sharp Zaurus SL-C1000. Это был настоящий карманный мини-ПК на Linux для тех, кто любит ковыряться «под капотом». Под его складывающейся крышкой прятался Intel XScale с частотой 416 МГц, 64 МБ RAM и 128 МБ флеш-памяти — достаточно, чтобы засунуть в него Qtopia, сетевые утилиты и собственные скрипты. Его отличительной особенностью была полноценная QWERTY-клавиатура в компактном корпусе с откидным и поворотным 3,7-дюймовым цветным сенсорным экраном с разрешением 640×480. Вы могли использовать Zaurus как в режиме ноутбука, так и в режиме планшета. И все это 20 лет назад. Только представьте.
• За счет SD и CompactFlash, инфракрасного порта и USB-хоста/клиента устройство превращалось в швейцарский нож: подключить внешний диск, клавиатуру или даже запустить эмулятор старой приставки было делом пары кликов, после которых SL-C1000 превращался в мобильный сервер или ретро-консоль.
• Но энтузиастам, привыкшим к готовому решению, пришлось несладко: настройка требовала погружения в Linux-туннели, а локализованной прошивки не было. Официально Zaurus продавали только в Японии, а всему остальному миру приходилось полагаться на импорт и независимую локализацию. К тому же на горизонте уже маячили более дружелюбные PocketPC и Palm — аудитория SL-C1000 осталась узкой.
• Тем не менее, наследие Zaurus чувствуется и сегодня: это был один из первых массовых Embedded Linux-карманников, задавший тон многим промышленным и игровым Linux-гаджетам. Открытая архитектура вдохновила производителей делать портативные решения «под себя» и доказала: по-настоящему гибкое устройство должно быть максимально настраиваемым.
➡️ https://www.ebay.com/sch/Zaurus+SL-C1000
#Разное
• За счет SD и CompactFlash, инфракрасного порта и USB-хоста/клиента устройство превращалось в швейцарский нож: подключить внешний диск, клавиатуру или даже запустить эмулятор старой приставки было делом пары кликов, после которых SL-C1000 превращался в мобильный сервер или ретро-консоль.
• Но энтузиастам, привыкшим к готовому решению, пришлось несладко: настройка требовала погружения в Linux-туннели, а локализованной прошивки не было. Официально Zaurus продавали только в Японии, а всему остальному миру приходилось полагаться на импорт и независимую локализацию. К тому же на горизонте уже маячили более дружелюбные PocketPC и Palm — аудитория SL-C1000 осталась узкой.
• Тем не менее, наследие Zaurus чувствуется и сегодня: это был один из первых массовых Embedded Linux-карманников, задавший тон многим промышленным и игровым Linux-гаджетам. Открытая архитектура вдохновила производителей делать портативные решения «под себя» и доказала: по-настоящему гибкое устройство должно быть максимально настраиваемым.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
📦 Hermit: A reproducible container.
• Нашел очень интересный проект на GitHub, благодаря которому мы можем запустить программу в изолированном и полностью воспроизводимом окружении.
• Например, даже если программа использует
• Тулза окажется полезной как при работе над багами в программах, так и, например, при наблюдении за работой подозрительного софта, исполнение которого, будучи запущенным в Hermit, полностью контролируется нами.
➡️ https://github.com/facebookexperimental/hermit
#Песочница
• Нашел очень интересный проект на GitHub, благодаря которому мы можем запустить программу в изолированном и полностью воспроизводимом окружении.
• Например, даже если программа использует
/dev/urandom, то будучи запущенной в hermit, программа будет забирать эти данные из псевдослучайного генератора, который, если потребуется, будет отдавать одни и те же данные при воспроизведении работы контейнера с программой.• Тулза окажется полезной как при работе над багами в программах, так и, например, при наблюдении за работой подозрительного софта, исполнение которого, будучи запущенным в Hermit, полностью контролируется нами.
#Песочница
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи F6 в новом отчете обращают внимание на вымогателей с востока, которым удалось атаковать более 40 российских компаний менее чем за год.
Действующая в формате RaaS персидская C77L появилась в марте 2025 года и нацелена на российские и белорусские предприятия малого и среднего бизнеса преимущественно в сферах торговли, производства и услуг.
Помимо этого среди пострадавших оказались и государственные компании. В целом же, по итогам 2025 C77L заняла шестое место по количеству атак с использованием ransomeware.
Часто восточные партнерские программы строятся относительно программ-вымогателей, например: Proton, LokiLocker, Sauron, Mimic, HardBit, Enmity и другие.
Причем имеют достаточно закрытый формат, но при этом они связаны друг с другом: многие преступные группы могут быть участниками нескольких RaaS.
Исследователи полагают, что C77L была образована в отдельную партнерскую программу участниками Proton.
В среднем суммы первоначального выкупа, которые запрашивали в биткоинах участники C77L за расшифровку данных, варьировались от 400 000 до 2 400 000 рублей (5000–30 000 долл.).
Причем сами атаки RaaS скоротечны: злоумышленники не ставят перед собой задачу украсть данные жертв, а сосредоточены исключительно на шифровании данных для получения быстрой и главное - стабильной прибыли.
Восточные шифровальщики используют схожие концептуальные идеи и характеризуются большим числом одновременно используемых версий и форков.
Программа-вымогатель C77L не стала исключением, она имеет схожие черты с такими семействами, как Proton, Proxima и LokiLocker.
Программа-вымогатель C77L разработана на языке программирования С++ и отличается высокой скоростью шифрования файлов. За девять месяцев разработчиками было выпущено уже пять версий ransomeware.
Как отмечают в F6, основным первоначальным вектором атаки C77L служит брут паролей учетных записей публично доступных служб удаленного доступа (RDP и VPN). При этом обычно проникновение злоумышленников в инфраструктуру жертвы происходит в ночное время.
Целевыми объектами атак являются Windows-системы, как самые распространенные операционные системы в ИТ-инфраструктурах среднего и малого бизнеса.
Атакующие C77L демонстрируют в атаках те же техники, что и другие персидские группировки, не отличаясь какими либо изощренными и инновационными методами.
Злоумышленникам не требуется высокая квалификация - при проведении атак руководствуются шаблонными инструкциями и используют для автоматизации большинства действий готовые скрипты.
Тем не менее, большинство атак на российские и белорусские предприятия заканчивались успехом атакующих.
Технические подробности исследования - в отчете F6.
Кроме того, дополнительная информация по штаммам ransomware и группировкам из багажа F6 доступна на GitHub - здесь.
Действующая в формате RaaS персидская C77L появилась в марте 2025 года и нацелена на российские и белорусские предприятия малого и среднего бизнеса преимущественно в сферах торговли, производства и услуг.
Помимо этого среди пострадавших оказались и государственные компании. В целом же, по итогам 2025 C77L заняла шестое место по количеству атак с использованием ransomeware.
Часто восточные партнерские программы строятся относительно программ-вымогателей, например: Proton, LokiLocker, Sauron, Mimic, HardBit, Enmity и другие.
Причем имеют достаточно закрытый формат, но при этом они связаны друг с другом: многие преступные группы могут быть участниками нескольких RaaS.
Исследователи полагают, что C77L была образована в отдельную партнерскую программу участниками Proton.
В среднем суммы первоначального выкупа, которые запрашивали в биткоинах участники C77L за расшифровку данных, варьировались от 400 000 до 2 400 000 рублей (5000–30 000 долл.).
Причем сами атаки RaaS скоротечны: злоумышленники не ставят перед собой задачу украсть данные жертв, а сосредоточены исключительно на шифровании данных для получения быстрой и главное - стабильной прибыли.
Восточные шифровальщики используют схожие концептуальные идеи и характеризуются большим числом одновременно используемых версий и форков.
Программа-вымогатель C77L не стала исключением, она имеет схожие черты с такими семействами, как Proton, Proxima и LokiLocker.
Программа-вымогатель C77L разработана на языке программирования С++ и отличается высокой скоростью шифрования файлов. За девять месяцев разработчиками было выпущено уже пять версий ransomeware.
Как отмечают в F6, основным первоначальным вектором атаки C77L служит брут паролей учетных записей публично доступных служб удаленного доступа (RDP и VPN). При этом обычно проникновение злоумышленников в инфраструктуру жертвы происходит в ночное время.
Целевыми объектами атак являются Windows-системы, как самые распространенные операционные системы в ИТ-инфраструктурах среднего и малого бизнеса.
Атакующие C77L демонстрируют в атаках те же техники, что и другие персидские группировки, не отличаясь какими либо изощренными и инновационными методами.
Злоумышленникам не требуется высокая квалификация - при проведении атак руководствуются шаблонными инструкциями и используют для автоматизации большинства действий готовые скрипты.
Тем не менее, большинство атак на российские и белорусские предприятия заканчивались успехом атакующих.
Технические подробности исследования - в отчете F6.
Кроме того, дополнительная информация по штаммам ransomware и группировкам из багажа F6 доступна на GitHub - здесь.
• Небольшая коллекция ресурсов, которые помогут запустить различные версии ОС прямо в браузере. Это особенно полезно, когда хотите ознакомиться с ОС, но не хотите заморачиваться с поиском, загрузкой и установкой. Пользуйтесь:
➡ Instant Workstation — хороший сервис для запуска ОС прямо в браузере. Для работы доступны Linux, BSD, Haiku, Redox, TempleOS и Quantix.
➡ distrosea — если не можете выбрать подходящий Linux дистрибутив, то вот вам полностью бесплатный сервис, который позволяет прямо в браузере затестить различные версии операционных систем. Тут даже есть богатый выбор графических оболочек, а общее кол-во доступных систем переваливает за 70!
➡ PCjs Machines — эмулятор вычислительных систем 1970–1990 годов. Он работает в обычном браузере. Данный проект появился в 2012 году — его основал программист из Сиэтла Джефф Парсонс. Он хотел помочь людям понять, как работали первые компьютеры, и дать им возможность «поиграть» с различными конфигурациями этих машин.
• Дополнительно: полезный список ресурсов с готовыми образами для виртуальных машин VirtualBox и VMWare. Очень удобно для быстрого развертывания в качестве стендов для экспериментов.
➡ Подборка различных образов для VirtualBox.
➡ Free VirtualBox Images от разработчиков VirtualBox.
➡ Коллекция готовых VM от Oracle.
➡ Абсолютно любые конфигурации VM на базе Linux и Open Sources.
➡ Подборка различных образов для VMware.
➡ VM на iOS и MacOS: getutm и mac.getutm.
➡ Образы для Mac: mac.getutm и utmapp.
#VM #VirtualBox #VMware
• Дополнительно: полезный список ресурсов с готовыми образами для виртуальных машин VirtualBox и VMWare. Очень удобно для быстрого развертывания в качестве стендов для экспериментов.
#VM #VirtualBox #VMware
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи раскрыли подробности новой атаки (точнее серии атак) под названием AirSnitch, нацеленную на вновь выявленные уязвимости Wi-Fi, которая позволяет эффективно обходить изолированность в сетях.
Результаты исследования были представлены на Симпозиуме по сетевой и распределенной безопасности на этой неделе.
AirSnitch использует особенности работы маршрутизаторов на первых двух уровнях модели OSI, а не их ПО. Собственно, поэтому различные варианты атаки работают на широком спектре устройств, включая Netgear, D-Link, Ubiquiti, Cisco, а также под управлением DD-WRT и OpenWrt.
Исследователи протестировали следующие 11 устройств и каждый протестированный маршрутизатор был уязвим как минимум для одной атаки.
Предыдущие атаки на Wi-Fi затрагивали существующие средства защиты, такие как WEP и WPA и работали за счет использования уязвимостей в базовом шифровании.
AirSnitch, напротив, нацелен на ранее игнорируемую поверхность атаки - самые нижние уровни сетевого стека, иерархию архитектуры и протоколов, основанную на их функциях и поведении.
По мнению исследователей, AirSnitch, возможно, лучше описать как «обход» шифрования Wi-Fi, «в том смысле, что она позволяет обойти изоляцию клиента без взлома аутентификацию или шифрование.
AirSnitch полагается на ключевые особенности уровней 1 и 2, а также на неспособность привязать и синхронизировать клиент на этих и более высоких уровнях, с другими узлами и другими сетевыми именами, такими как SSID.
Такая межуровневая десинхронизация идентификации является ключевой основой атак AirSnitch.
Исследователи продемонстрировали, как AirSnitch позволила им физически прослушивать все каналы связи, нацеливаться на кражу cookie, отравление DNS и кэша.
Так что гостевая сеть, которую вы настроили для своих соседей, может быть не такой безопасной, как вам кажется.
В целом же, возможности AirSnitch по взлому глобального шифрования Wi-Fi безусловно могут способствовать совершению сложных кибератак.
Некоторые производители маршрутизаторов уже выпустили обновления, смягчающие некоторые из анонсированных атак.
Но другие отмечают, что устранение системных уязвимостей возможно лишь при полной модификации базовых микросхем.
Результаты исследования были представлены на Симпозиуме по сетевой и распределенной безопасности на этой неделе.
AirSnitch использует особенности работы маршрутизаторов на первых двух уровнях модели OSI, а не их ПО. Собственно, поэтому различные варианты атаки работают на широком спектре устройств, включая Netgear, D-Link, Ubiquiti, Cisco, а также под управлением DD-WRT и OpenWrt.
Исследователи протестировали следующие 11 устройств и каждый протестированный маршрутизатор был уязвим как минимум для одной атаки.
Предыдущие атаки на Wi-Fi затрагивали существующие средства защиты, такие как WEP и WPA и работали за счет использования уязвимостей в базовом шифровании.
AirSnitch, напротив, нацелен на ранее игнорируемую поверхность атаки - самые нижние уровни сетевого стека, иерархию архитектуры и протоколов, основанную на их функциях и поведении.
По мнению исследователей, AirSnitch, возможно, лучше описать как «обход» шифрования Wi-Fi, «в том смысле, что она позволяет обойти изоляцию клиента без взлома аутентификацию или шифрование.
AirSnitch полагается на ключевые особенности уровней 1 и 2, а также на неспособность привязать и синхронизировать клиент на этих и более высоких уровнях, с другими узлами и другими сетевыми именами, такими как SSID.
Такая межуровневая десинхронизация идентификации является ключевой основой атак AirSnitch.
Исследователи продемонстрировали, как AirSnitch позволила им физически прослушивать все каналы связи, нацеливаться на кражу cookie, отравление DNS и кэша.
Так что гостевая сеть, которую вы настроили для своих соседей, может быть не такой безопасной, как вам кажется.
В целом же, возможности AirSnitch по взлому глобального шифрования Wi-Fi безусловно могут способствовать совершению сложных кибератак.
Некоторые производители маршрутизаторов уже выпустили обновления, смягчающие некоторые из анонсированных атак.
Но другие отмечают, что устранение системных уязвимостей возможно лишь при полной модификации базовых микросхем.
GitHub
GitHub - vanhoefm/airsnitch: Generalized Wi-Fi Client Isolation Bypasses
Generalized Wi-Fi Client Isolation Bypasses. Contribute to vanhoefm/airsnitch development by creating an account on GitHub.
• А вы знали, что у Windows 95 было своеобразное дополнение, которое вынесли в отдельный продукт? Назвали его просто - Windows 95 Plus. Туда включили ряд функций и продавали за 50 баксов. Представьте: 50 баксов! 30 лет назад! На тот момент это были большие деньги для обычного человека. Но что включало в себя дополнение?
• Прозвучит смешно, но в штатной поставке Windows 95 было лишь несколько стандартных тем. Microsoft 95 Plus! добавил 11 новых, включающих в себя иконки, шрифты, указатели мыши, фоны рабочего стола и звуки. Половина из них была рассчитана на компьютеры, видеокарта которых способна отображать лишь 256 цветов, а прочие на high color, то есть 16-битный цвет. По тем временам такое было не у всех, поэтому разделение имело смысл.
• Еще была легендарная игра Pinball. Изначально она была разработана компанией Maxis и называлась Full Tilt! Pinball, где Space Cadet был лишь одним из трех пинбольных столов. Microsoft получила лицензию только на один стол, а остальные два остались за бортом.
• Если добавление игры считалось улучшением мультимедийной части операционной системы, то программы, о которых пойдет речь дальше, относились к утилитам для обслуживания. Первая называлась System Agent и представляла собой продвинутый планировщик заданий. Microsoft Plus! при установке настраивал несколько стандартных тасков, вроде проверки свободного места каждые 15 минут. Жесткие диски были довольно медленными, поэтому неравномерное распределение данных снижало общую производительность. Разумеется, можно запускать процедуру дефрагментации вручную, но большинство пользователей даже не задумывалось о проблеме. Автозапуск сервисных операций с помощью планировщика мог существенно улучшить ситуацию.
• Свободного дискового пространства тоже всегда было мало, поэтому в состав Plus! включили еще одну программу — Compression Agent. Это был тоже своего рода планировщик, который запускал софт для сжатия дисков — Microsoft DriveSpace 3. Из накопителя размером 2 Гб (где 890 Мб занято) DriveSpace 3 мог теоретически дать пользователю в три раза больше свободного места (на практике сильно меньше). Сама процедура включала в себя обязательную проверку на ошибки и длилась по несколько часов.
• А еще была тулза The Dial-Up Networking Server. Это приложение позволяло компьютеру функционировать в качестве сервера удаленного доступа. Он давал возможность другим ПК подключаться к вашей машине через телефонную линию и работать с файлами или ресурсами локальной сети так, словно они были соединены напрямую!
• Ну и самое основное: Internet. Тогда его еще часто называли Information superhighway, и Microsoft очень стремилась никому не отдать этот кусок пирога. Первые Retail-версии Windows 95 не имели браузера. Вместо этого на рабочем столе красовался значок The Microsoft Network.
• В это сложно сейчас поверить, но почти в каждом крупном российском городе был выделенный номер телефона, позвонив на который модемом, вы получали доступ к сети The Microsoft Network. Увы, но сейчас получить опыт взаимодействия с этой сетью уже нельзя. Серверы давно закрыты, а полностью воссоздать работу сети MSN Classic не представляется возможным — та была проприетарной и очень быстро эволюционировала.
• Internet Explorer впервые дебютировал именно в Microsoft Plus!, так что это был вполне официальный способ добавить браузер в ОС. И только потом, с выходом версий OSR1 и OSR2, тесно интегрирован с системой. Он позволял обращаться к веб-сайтам World Wide Web, файловым серверам FTP и ныне забытому протоколу Gopher, на начальных этапах составившему конкуренцию HTTP.
• Что в итоге? Человек, который мог позволить себе купить диск за 50 баксов получал следующее:
• Нужно отметить, что Windows 95 была вовсе не единственной системой, для которой выпускалось дополнение Plus! Подобные диски созданы для Windows 98 и даже Windows XP. А отголоски этого всего встречаются в Windows Vista. Так то...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM