видеокарты теперь тоже увеличивают площадь атаки и это будет новый подкласс угроз
Forwarded from SecAtor
В даркнете реализован PoC, позволяющий использовать буфер памяти графического процессора для хранения и выполнения вредоносного кода, что обеспечивает ему надежную защиту от антивирусных средств, нацеленных, прежде всего, на оперативную память.
Метод оптимизирован под ОС Windows с версией фреймворка OpenCL 2.0 и выше и прошел успешные испытания на видеокартах Intel (UHD 620/630), Radeon (RX 5700) и GeForce (GTX 740M, GTX 1650).
Это первое боевое применение найденного в 2013 году исследователями из FORTH (Греция) и Колумбийского университета (США) метода, положенного в основу реализации кейлоггера на базе памяти графических процессоров. В расчет не принимается также история с JellyFish, когда в мае 2015 года публиковались PoC для кейлоггера на базе графического процессора и трояна удаленного доступа на базе графического процессора для Windows.
Подробности сделки не раскрываются, и вряд ли будут раскрыты. PoC ушел за две недели и по сути открыл новый этап в хакерской индустрии. Последствия сделки так или иначе скоро проявят себя, ведь вычислительная мощность графического процессора позволяет значительно ускорять выполнение кода со сложными схемами шифрования, нежели чем процессор.
VX-Underground обещают демонстрацию новой техники в самое ближайшее время. Так что ждем.
Метод оптимизирован под ОС Windows с версией фреймворка OpenCL 2.0 и выше и прошел успешные испытания на видеокартах Intel (UHD 620/630), Radeon (RX 5700) и GeForce (GTX 740M, GTX 1650).
Это первое боевое применение найденного в 2013 году исследователями из FORTH (Греция) и Колумбийского университета (США) метода, положенного в основу реализации кейлоггера на базе памяти графических процессоров. В расчет не принимается также история с JellyFish, когда в мае 2015 года публиковались PoC для кейлоггера на базе графического процессора и трояна удаленного доступа на базе графического процессора для Windows.
Подробности сделки не раскрываются, и вряд ли будут раскрыты. PoC ушел за две недели и по сути открыл новый этап в хакерской индустрии. Последствия сделки так или иначе скоро проявят себя, ведь вычислительная мощность графического процессора позволяет значительно ускорять выполнение кода со сложными схемами шифрования, нежели чем процессор.
VX-Underground обещают демонстрацию новой техники в самое ближайшее время. Так что ждем.
Forwarded from Необязательное Мнение
Кто ещё на прошлой неделе (25 августа) обратил внимание на RCE Confluence CVE-2021-26084 и успел озадачить своих JIRAводов, тот молодец. 😌 Потому что сегодня она уже с публичным эксплоитом. "An OGNL injection vulnerability exists that would allow an authenticated user, and in some instances unauthenticated user, to execute arbitrary code on a Confluence Server or Data Center instance."
Exploit Database
Confluence Server 7.12.4 - 'OGNL injection' Remote Code Execution (RCE) (Unauthenticated)
Confluence Server 7.12.4 - 'OGNL injection' Remote Code Execution (RCE) (Unauthenticated). CVE-2021-26084 . webapps exploit for Java platform
https://attack-community.org/event/
The eight EU ATT&CK Community Workshop will take place, in virtual format, on 22 October 2021 from 2pm CET until 6pm CET. The workshop is supported by CERT-EU, CIRCL and the MITRE Engenuity Center for Threat-Informed Defense. It is organized by practitioners and for practitioners with an interest in the use of the MITRE ATT&CK® Framework in Prevention, Detection/Hunting and Response.
The eight EU ATT&CK Community Workshop will take place, in virtual format, on 22 October 2021 from 2pm CET until 6pm CET. The workshop is supported by CERT-EU, CIRCL and the MITRE Engenuity Center for Threat-Informed Defense. It is organized by practitioners and for practitioners with an interest in the use of the MITRE ATT&CK® Framework in Prevention, Detection/Hunting and Response.
www.attack-community.org
2025 EU MITRE ATT&CK® Community Workshop
# EU MITRE ATT&CK® Community Workshop – Slide decks The 2025 EU ATT&CK Community Workshop has taken place on 15 May 2025. The slide decks of the presentations at the event can be downloaded on the following link: Presentations at the 2025 EU MITRE ATT&CK…
Forwarded from Пост Лукацкого
Австралийский ACSC предлагает поучаствовать в челендже по реагированию на инциденты и форензике. Все инструкции и материалы выложены на https://t.co/5TplwGrx0G https://t.co/WJoXLVC7Z1
— Alexey Lukatsky (@alukatsky) Sep 5, 2021
— Alexey Lukatsky (@alukatsky) Sep 5, 2021
www.cyber.gov.au
ACSC cyber security challenge | Cyber.gov.au
Would you like to put your cyber incident response skills to the test?
Forwarded from k8s (in)security (D1g1)
Недавно вышел достаточно увесистый отчет "Kubernetes Control Plane Vulnerability Assessment", в рамках которого аудиторы рассматривают, что и как может атакующий, получивший доступ к
Весь анализ происходит на
По отчету есть небольшая запись в блоге "Looking at the Kubernetes Control Plane for Multi-Tenancy". Но по мне она совсем не передает сути работы и лучше читать оригинал - там много классных, тонких моментов для ценителей ;)
Ключевые слова по отчету это:
Вишенкой на торте является раздел "
Node (на пример, через побег из контейнера).Весь анализ происходит на
K8s версии 1.21.0 и идет в разрезе темы multi-tenancy и безопасности Control Plane. Правда по факту тут они касаются только node-based multi-tenancy, а других подходов, что рассматривает сейчас рабочая группа не затрагивают.По отчету есть небольшая запись в блоге "Looking at the Kubernetes Control Plane for Multi-Tenancy". Но по мне она совсем не передает сути работы и лучше читать оригинал - там много классных, тонких моментов для ценителей ;)
Ключевые слова по отчету это:
Taints & Tolerations, Node Authorizer, NodeRestriction. Не знаете, что это и зачем нужно в security - читайте отчет и со всем разберетесь!Вишенкой на торте является раздел "
Threat Model".Forwarded from SecAtor
Известная своими громкими «крестовыми походами» на компании-миллиардеры банда вымогателей Ragnar Locker обещает применять жесткие санкции к своим нынешним и потенциальным жертвам, которые будут ими уличены в связях с правоохранительными органами, спецслужбами или инфосек компаниями.
К «нарушителям тишины» хакеры будут применять репрессивные меры и сливать украденные данные независимо от этапа переговоров и выплаты выкупа, планка которого у Ragnar и без того достаточно высока. В случае с Capcom сумма выкупа достигла 11 млн. долларов.
Аналогичные действия будут предприниматься и в ситуации с обращением к «профессиональным переговорщикам» или специалистам по по восстановлению данных, которые, по мнению хакеров, так или иначе сотрудничают со спецслужбами.
Учитывая, что Ragnar Locker вручную развертывают полезные нагрузки, предварительно проводя тщательную разведку сетевых ресурсов, резервных копий компании и других конфиденциальных файлов до этапа шифрования, вымогатели теперь каждый раз будут готовиться к возможным утечкам, реализуя максимально высокий репетиционный или экономический ущерб для нарушителей своего нового джентльменского соглашения.
Дополнительные тактические уловки, к которым прибегают операторы ransomware, - не что иное, как ответная реакция на попытки лишить компании-жертвы возможности оплаты выкупа, которые предпринимаются правительствами ряда стран на законодательном и административном уровнях.
Рынок трансформируется и обретает новые контуры в виде появления datamarketplace, переходу к тайным операциям и переговорам без анонсирования атак на сайтах утечек, соглашения о ненападении на критические отрасли или объекты, ребрендинг и качественное обновление арсенала вредоносных программ, собственно о чем мы писали последнее время.
Уверены, первые показательные утечки будут весьма резонансны, особенно зная характер клиентов Ragnar Locker, а в целом будет понятен профит нового метода, который также может быть быстро заимствован и другими группами.
К «нарушителям тишины» хакеры будут применять репрессивные меры и сливать украденные данные независимо от этапа переговоров и выплаты выкупа, планка которого у Ragnar и без того достаточно высока. В случае с Capcom сумма выкупа достигла 11 млн. долларов.
Аналогичные действия будут предприниматься и в ситуации с обращением к «профессиональным переговорщикам» или специалистам по по восстановлению данных, которые, по мнению хакеров, так или иначе сотрудничают со спецслужбами.
Учитывая, что Ragnar Locker вручную развертывают полезные нагрузки, предварительно проводя тщательную разведку сетевых ресурсов, резервных копий компании и других конфиденциальных файлов до этапа шифрования, вымогатели теперь каждый раз будут готовиться к возможным утечкам, реализуя максимально высокий репетиционный или экономический ущерб для нарушителей своего нового джентльменского соглашения.
Дополнительные тактические уловки, к которым прибегают операторы ransomware, - не что иное, как ответная реакция на попытки лишить компании-жертвы возможности оплаты выкупа, которые предпринимаются правительствами ряда стран на законодательном и административном уровнях.
Рынок трансформируется и обретает новые контуры в виде появления datamarketplace, переходу к тайным операциям и переговорам без анонсирования атак на сайтах утечек, соглашения о ненападении на критические отрасли или объекты, ребрендинг и качественное обновление арсенала вредоносных программ, собственно о чем мы писали последнее время.
Уверены, первые показательные утечки будут весьма резонансны, особенно зная характер клиентов Ragnar Locker, а в целом будет понятен профит нового метода, который также может быть быстро заимствован и другими группами.