📚 IPv6 book.

• Бесплатная книга об IPv6, которая содержит в себе более 130 страниц информации на данную тему. Книга на английском языке, но с учетом развития различных ИИ ресурсов у Вас не составит труда ее перевести (если не владеете английским языком): https://github.com/becarpenter/book6/

• К слову, добавил книгу в свой репо. Обязательно загляните, если изучаете сети, тут много полезной информации: https://github.com/SE-adm/Awesome-network/

#Сети

📦 Malware Configuration And Payload Extraction.

• CAPE (Malware Configuration And Payload Extraction) — это автоматизированная система анализа вредоносного ПО с открытым исходным кодом.

• Песочница используется для автоматического запуска и анализа файлов, а также для сбора полной информации. Результаты анализа показывают, что делает вредоносное ПО во время работы внутри изолированной операционной системы (в основном ОС Windows).

• CAPE может получить следующие типы результатов:

- Следы вызовов Win32 API, которые выполнялись всеми процессами, порожденными вредоносным ПО;
- Файлы, которые были созданы, удалены и загружены вредоносной программой во время ее выполнения;
- Дампы памяти процессов вредоносного ПО;
- Трассировка сетевого трафика в формате PCAP;
- Снимки экрана рабочего стола Windows, сделанные во время работы вредоносной программы;
- Полные дампы памяти виртуальных машин.

• CAPE является "выходцем" из одной достаточно популярной песочницы Cuckoo Sandbox и предназначен для использования как в качестве автономного приложения, так и в качестве интегрированного решения в более крупные структуры благодаря своей модульной конструкции.

• Что можно анализировать:

- Общие исполняемые файлы Windows;
- DLL-файлы;
- PDF-документы;
- Документы Microsoft Office;
- URL-адреса и HTML-файлы;
- PHP-скрипты;
- CPL-файлы;
- Сценарии Visual Basic (VB);
- ZIP-файлы;
- Java-JAR-файл - Файлы Python;
- Почти все остальное.

• CAPE обладает мощными возможностями, которые благодаря модульности архитектуры позволяет создавать неограниченное количество различных сценариев.

➡ Документация есть вот тут: https://capev2.readthedocs.io/en/latest/

➡ Cтабильная и упакованная версия продукта: https://github.com/kevoreilly/CAPEv2

#Песочница #Malware

🪟 Скрытые функции Windows: откуда взялись BEAR, BUNNY и PIGLET?

• Если покопаться в системных файлах Windows 95, там можно было обнаружить недокументированные функции с именами наподобие BEAR35, BUNNY73 и PIGLET12. Откуда взялись эти дурацкие имена? Оказывается, что у них занятная история:

• «Мишка» (Bear) был талисманом Windows 3.1. Это был плюшевый мишка, которого всюду таскал за собой Дэйв — один из самых главных программистов, занятых в проекте. Когда он приходил к кому-нибудь в офис, он запускал мишку в монитор, чтобы на него отвлеклись.

• Кроме имён системных функций, Мишка засветился ещё в двух местах в Windows 3.1. В диалоге выбора шрифта для DOS-окна, если выбрать маленький шрифт, можно было увидеть в списке файлов несуществующий файл BEAR.EXE.

• Мишка перенёс немало издевательств. Однажды через его голову продели шнур питания, от уха до уха. В другой раз ему в зад запихали петарду. Ко времени Windows 95 состояние Мишки стало уже плачевным, так что его отставили с должности, и заменили розовым кроликом, получившим кличку Кролик (Bunny). Но Мишка-ветеран не отправился на помойку: дети одного из менеджеров сжалились над ним, и неплохо подлатали.

• Дэйв занимался в основном GUI, так что названия BEAR и BUNNY получали функции, относящиеся к интерфейсу с пользователем. Ядром занимался Майк, а у него был плюшевый диснеевский Пятачок. Так что когда нужно было назвать в ядре новую функцию для внутреннего использования, её называли PIGLET.

• Примечание: BEAR и BUNNY до сих пор живы в 32-битных версиях Windows. Раньше BEAR жил в \Windows\System32\user.exe, а BUNNY в \Windows\System32\krnl386.exe; но начиная с Windows 8, они переехали в каталог \Windows\WinSxS\x86_microsoft-windows-ntvdm-system32-payload_31bf3856ad364e35_<версия>_none_<хэш>\

➡️ https://devblogs.microsoft.com/oldnewthing/20030818-00/?p=42873

#Разное

🔒 Защита от Bluetooth-маячков.

• 20 апреля 2021 года на презентации Apple был представлен очень интересный девайс — Apple AirTag. Идея таких Bluetooth-трекеров заключается в том, что они помогают нам в повседневной деятельности (искать предметы, которые вы успешно забыли где-либо). Как это работает? При помощи технологии Bluetooth различные девайсы экосистемы Apple определяют наличие метки поблизости и передают примерные или точные координаты в вашу учетную запись Apple. При помощи сервиса Apple Find My вы можете посмотреть, куда в итоге попала ваша вещь — в бюро находок или к новому владельцу. Самое главное, что все это происходит автоматически, и даже устанавливать ничего не надо. Все нужное для работы системы поиска AirTag уже встроено в iOS у сотен миллионов пользователей.

• Так вот, это я к тому, что когда данный девайс поступил в продажу, то люди начали следить за другими людьми с помощью AirTag. Спустя год и несколько громких дел Apple догадались выпустить обновление для своих устройств и реализовали оповещения, которые информируют человека о том, что рядом находится метка AirTag.

• Но ведь помимо AirTag в мире существует сотни других маячков, не так ли? И есть достаточно популярные устройства, которые никак не связаны с экосистемами по типу Samsung или Apple. Как в таком случае защититься от слежки? Такие решения есть! Еще и с открытым исходным кодом и для вашего #Android:

• AirGuard и MetaRadar: оба инструмента работают по следующему принципу — сканируют частоты, на которых работают Bluetooth-трекеры, а приложения определяют те идентификаторы, которые находятся постоянно с вами (наушники, часы, браслеты, которые принадлежат вам). Как только появляется новое устройство перемещающиеся с вами (порог срабатывания выставляется либо вручную, либо по умолчанию фиксируется 3 появления в зоне присутствия смартфона) приложения начинают вас информировать о неизвестном устройстве и показывают отметку на карте, где оно было зафиксировано. В среднем обнаружение может занимать от 30 минут до 3х часов. Пользуйтесь!

#Разное

👾 Icelandic. 1989.

• Предметом искусства может быть картина, скульптура, поэма, симфония и даже компьютерный вирус, как бы странно это не звучало. К сожалению, создание вирусов в наши дни сопряжено с извлечением выгоды из своего творения или причинением вреда окружающим. Однако на заре компьютерных технологий вирусописатели были истинными художниками, чьими красками были кусочки кода, умело смешанные они превращались в шедевр. И цель их была не столь обидеть кого-то, сколь заявить о себе, продемонстрировать свой ум и смекалку и, порой, просто позабавить людей. Сегодня поговорим о первом вирусе, который инфицировал исключительно файл .exe на системе DOS:

• Вирус под названием Icelandic попадал на компьютер в виде файла .exe, при запуске которого вирус проверял наличие себя самого в памяти системы. Если его копии там не было, вирус становился резидентным. Также он модифицировал некоторые блоки памяти дабы скрыть свое присутствие. Это могло привести к падению системы, если программа пыталась провести запись на эти самые блоки. Вирус далее заражал каждый десятый исполняемый файл, добавляя в конце каждого свой код. Если же файл был формата «read only», Icelandic удалял свой код.

• Если на компьютере использовались жесткие диски объемом более 10 мегабайт, вирус выбирал область FAT, которая не использовалась, и помечал ее как битую. Эта операция проводилась каждый раз, когда происходило заражение нового файла.

• Также существовало несколько разновидностей Icelandic, которые отличались друг от друга некоторыми функциями и свойствами:

- Icelandic.632 — заражал каждую третью программу. Помечал как битый один кластер на диске, если тот был больше 20 мегабайт;
- Icelandic.B — был усовершенствован для усложнения обнаружения некоторыми антивирусами, не производил никаких действий кроме распространения;
- Icelandic.Jol — подвариант Icelandic.B, который 24 декабря выводил сообщение на исландском «Gledileg jol» («Счастливого Рождества»);
- Icelandic.Mix1 — впервые обнаруженный в Израиле, вызывал искажение символов при передаче их серийным устройствам (к примеру, принтеры);
- Icelandic.Saratoga — с 50% вероятностью заражал запущенный файл.

#Разное

💻 Бесплатный мини-курс: MySQL для новичков.

• Еще один бесплатный курс от Selectel для новичков, который описывает установку и настройку базы данных MySQL и как ими управлять, Вы научитесь работать с таблицами и разными типами данных, создавать ключи и настраивать права доступа. В конце курса — подборка полезных книг, которые точно пригодятся в начале пути.

- Как установить MySQL на Windows;
- Как установить и настроить MySQL в Ubuntu 20.04;
- Создание базы данных в MySQL;
- Типы данных в MySQL;
- Как создавать таблицы в MySQL (Create Table);
- Создание нового пользователя и настройка прав в MySQL;
- Сброс пароля root в MySQL;
- ALTER TABLE — изменение таблицы в SQL;
- Insert в MySQL — добавление данных в таблицу;
- Работа с командой UPDATE — как обновить данные в таблице MySQL;
- Как установить и использовать MySQL Workbench;
- Как создать первичные и внешние ключи MySQL;
- Книги по MySQL: пособия для начинающих и продолжающих.

#MySQL

🔎 Archie: первый в мире поисковик.

• До появления поисковиков пользователь был вынужден заходить на FTP-серверы и вручную просматривать каждый документ, ориентируясь только на краткое описание. Вы не могли ввести куда-то запрос из серии: «Сколько весит слон?» и получить мгновенную пачку ответов. Проблему вызвался решить Алан Эмтейдж, который в 1990 году разработал первый в мире поисковик Archie на Unix.

• Если кратко, Archie представлял собой набор скриптов, которые выполняли поиск по списку общедоступных FTP-серверов с использованием протокола Telnet и создавали индексные файлы. Пользователь вводил тему и получал в ответ список адресов в виде доступного каталога документов. При этом Archie оказался удивительно производительным: мог обработать до 2 миллионов файлов, распределенных на сотнях серверов всего за пару минут.

#Разное

📲 Мобильник для перехвата чужих SMS сообщений.

• Есть такая занимательная статистика, которая демонстрирует топ самых продаваемых мобильных телефонов в истории. Первое место в этой статистике занимает Nokia 1100, а общее число продаж этого телефона перевалило за 250 миллионов. Вот Вам забавная история, которая случилась в далеком 2009 году...

• В процессе расследования дела о почтовом мошенничестве в Нидерландах полиция столкнулась с весьма интересным фактом – неизвестный покупатель отдал 25 тысяч евро за телефон Nokia 1100. Данная бюджетная модель была выпущена в конце 2003 г. и предназначалась для развивающихся рынков, а цена телефона составляла менее 100 евро.

• В попытках выяснить, почему хакеры готовы платить такие большие деньги за дешевый и внешне непримечательный аппарат, полиция обратилась к компании Ultrascan Advanced Global Investigations. Эксперты Ultrascan выяснили, что хакеров привлекают не все аппараты Nokia 1100, а только изготовленные на фабрике Nokia в г. Бохум (Германия).

• Эта серия аппаратов была признана бракованной из-за проблем в устаревшем программном обеспечении, созданном еще в 2002 г. За счет этого самого «брака» хакеры научились перехватывать чужие SMS сообщения, в частности, одноразовые коды для банковских транзакций — mTAN (mobile Transaction Authentication Number), которые европейские банки присылали своим клиентам по SMS.

• Таким образом, получается, что хакерам оставалось лишь подключить этот телефон (без какой бы то ни было перепрошивки) к снифферу наподобие #WireShark и дело в шляпе — можно перехватывать SMS, а затем перевести деньги на свой счет.

• Интересно заметить, что на момент инцидента (2009 год), компания Nokia продала во всем мире более 200 миллионов экземпляров Nokia 1100 и моделей на ее базе, однако количество уязвимых аппаратов остается неизвестным...

#Разное

📘 История подростка, взломавшего Twitter и укравшего миллионы долларов.

• 15 июля 2020 года на аккаунте Илона Маска появился следующий твит:

«Отправьте мне биткоин на тысячу долларов, и я верну вам две тысячи. Это предложение действительно только в течение 30 минут".

• Под твитом был указан номер биткоин кошелька, а сам твит выглядел как скам, но он был опубликован на официальном верифицированном аккаунте Илона Маска. Аналогичный твит появился и на других популярных аккаунтах, таких как Apple, Uber, Джефф Безос, Билл Гейтс, Барак Обама, Джо Байден, Канье Уэст и другие известные личности с миллионами подписчиков.

• Когда стало ясно, что это крупнейшая хакерская атака в истории Twitter, компания приостановила работу всех известных верифицированных аккаунтов, пока не выяснит, что же произошло. Никто не ожидал, что ответственным за взлом окажется 17-летний подросток. Изучив его прошлое, выяснилось, что он был мошенником и опытным хакером, работавшим в этой сфере с 13 лет, и украл миллионы долларов. Кроме того, он был замешан в торговле наркотиками и убийствах. Как же подростку удалось все это сделать и как ему удалось взломать одну из крупнейших платформ?

➡ https://habr.com/ru/post/818165/ [17 min].

#Разное

Доброе утро... 🫠

#Понедельник

📶 Бэкдор в OpenSSH.

• Помните атаку на репозиторий liblzma/xz‑utils в начале этого года, конечной целью которой был бэкдор в OpenSSH? Мало кто знает, что бэкдор в xz‑utils на самом деле второй широко известной попыткой внедрения бэкдора в OpenSSH. Впервые это произошло более 22 года назад, в 2002 году:

• Атака 2002 года была довольно простой. Оригинальный анонс: OpenSSH Security Advisory: Trojaned Distribution Files. В те времена, исходный код OpenSSH размещался на ftp.openbsd.org, и каким‑то образом он был заменён на версию с бэкдором. Точно неизвестно, как это произошло, но злоумышленнику удалось подменить файлы .tar .gz для нескольких версий. В то время в хакерской среде активно распространялись эффективные эксплойты для серверов, так что в этом нет ничего особо удивительного. К счастью, благодаря разнице в контрольных суммах файлов, бэкдору не удалось долго просуществовать. Например, при попытке собрать версию OpenSSH с бэкдором на FreeBSD система «портов» автоматически проверяла контрольные суммы пакетов, и так как в ней уже была информация о контрольных суммах этих версий до внедрения бэкдора, она сообщала о расхождении. Если бы атакующие дождались выхода новой версии и сразу заменили бы файлы .tar .gz и файлы с контрольными суммами, они могли бы добиться гораздо большего успеха.

• Как не посмотри, это был простой бэкдор, возможно, самый простой, который можно себе представить. Шаг первый: в сборку пакета были внесены изменения, благодаря которым при запуске configure компилировались и выполнялись файлы добавленные злоумышленником. Шаг второй: вредоносный код подключался к захардкоженному IP‑адресу в Австралии каждый час и получал список команд для выполнения на скомпрометированном устройстве.

• До сих пор неизвестно, кто именно стоял за этим бэкдором, но распространённое мнение (по крайней мере среди разработчиков OpenBSD) заключается в том, что это были просто мелкие проделки, которые были вполне обычным делом для 2002 года. Это, конечно, был не первый подобный случай. Например, Wu‑FTPd, самый популярный ftpd 90-х годов, столкнулся с чем‑то подобным еще в 1993 году. Однако это было хорошим предзнаменованием того, что последует дальше. Случай 2002 года представляет собой интересное историческое событие, поскольку он демонстрирует как сходства, так и различия по сравнению с современной попыткой внедрения бэкдора xz‑utils в OpenSSH. Исследуя эти различия мы можем извлечь полезные уроки на будущее.

- Источник 1;
- Источник 2.

#OpenSSH #XZ #backdoor

🔎 deepdarkCTI.

• Собранная информация об актуальных угрозах и хакерских группировках, позволяет нам изучить цели, тактику, методы и различные инструменты, которые применяются на этапе разведки и проникновения. Такую информацию можно собирать вручную или автоматически из разных источников, в том числе из новостей, форумов, ресурсов даркнета, мессенджеров и т.д. А найти такие источники поможет репозиторий, в котором перечислены различные ресурсы и аккуратно разбиты на категории:

- Discord;
- Telegram;
- Twitter;
- Forum;
- Exploits;
- Phishing;
- Maas;
- Markets;
- Methods;
- Search engines;
- Rat;
- CVE most exploited;
- Ransomware gang;
- Others.

➡️ https://github.com/fastfire/deepdarkCTI

#ИБ #OSINT