Исследователи Elastic выкатили аналитику по более чем 100 000 образцам вредоносного ПО для Windows, благодаря которой наметили основные тенденции по наиболее распространенным TTP, наблюдаемым в дикой природе.

Безусловно, изученный набор данных не является исчерпывающим и может не отражать весь спектр поведения вредоносного ПО, тем не менее результаты исследования Elastic с практической точки зрения весьма информативны в контексте выработки приоритетов в области обнаружения и зашиты в условиях ограниченности ресурсов.

В связи с чем, рекомендуем ознакомиться с цифрами, методами и подтехниками по каждой из наиболее встречающихся тактик, подробно останавливаться не будем.

Поиск секретов в скрытых Git-коммитах

Искать секреты в исходном коде мы уже умеем. Но в git-репозиториях остались интересные места, до которых стандартными способами не доберешься. Речь о скрытых коммитах - информации об измененных файлах в репозитории, которая была удалена и не отображается в истории проекта.

Когда разработчик вносит изменения (коммит) в репозиторий, а затем по какой-то причине хочет отменить эти изменения, он выполняет команды:

git reset --hard HEAD^
git push origin -f

Первая строка отменяет последний коммит и все последние изменения в файлах целевого репозитория, а вторая строка применяет все изменения в этом репозитории. То есть, данные команды удаляют последние внесенные изменения.

Тут появляется важная особенность, которую отметили исследователи: если коммит недоступен в истории изменений, то это не означает, что его нельзя восстановить. И тогда все коммиты, которые содержали секреты и затем были удалены разработчиком, можно восстановить и извлечь из них ценную информацию.

Исследователи опубликовали инструмент для извлечения скрытых коммитов публичного GitHub-репозитория и их анализа. Для репозиториев GitLab эта техника тоже работает, и также есть готовый инструмент. Security-чемпионы и специалисты по безопасности приложений берут этот подход в работу.

Квантовое превосходство и необходимость внедрения квантовоустойчивых алгоритмов стала ещё на шаг ближе.

https://www.theverge.com/2024/4/8/24120103/microsoft-says-its-cracked-the-code-on-an-important-quantum-computing-problem

Российский аналог Have I Been Pwned от НКЦКИ

На сайте safe-surf ru запущен новый сервис по поиску себя в утёкших базах данных. Можно искать по электронной почте, логину, номеру телефона, паролю. В результатах поиска показываются совпадения в базах с указанием названия сервиса и даты утечки.

По сути, это выглядит, как сервис Have I Been Pwned. Сообщается, что сами данные не хранятся на сайте, а история запросов не сохраняется.

Сервису не помешало бы более детальное описание, откуда берутся данные и как они хранятся (по аналогии с HIBP). Пока это не очень понятно, можно предположить, что база утечек формируется из всех слитых баз. Сообщается: «Мы получаем данные об утечках из публично доступных источников». Данные обновляются несколько раз в неделю.

"🏓 Интересный инструмент для ИБ-команд в телеком-компаниях. Рабочая группа по обеспечению безопасности Ассоциации GSM выпустила MoTIF — фреймворк, описывающий TTP злоумышленников при атаке на инфраструктуру 2G/3G/4G/5G. Охвачены не только специфические протоколы и инструменты телеком-операторов, но и обычные с учётом особенностей применения в телекоме. Авторы не стали делать вид, что ATT&CK и FiGHT не существуют в природе, а постарались расширить эти фреймворки и провести параллели межу ATT&CK и MoTIF, там где это уместно. Доступны определения для STIX."
источник новости https://news.1rj.ru/str/kasperskyb2b

Опубликовали записи с CISO Forum2024 https://www.youtube.com/@TrinityEventsGroup/videos