Check Point Sandblast - универсальный инструмент для анализа систем и данных.

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Check Point SandBlast — это механизм песочницы, предназначенный для анализа приложений и скриптов с целью выявления неизвестных угроз. Он интегрируется в существующие решения компании Check Point, такие как сетевые шлюзы и средства защиты рабочих мест.

⏺В линейке продуктов представлены SandBlast Network Security для анализа и блокировки вредоносного трафика, SandBlast Agent для защиты конечных точек от вирусов и фишинга, а также SandBlast Cloud для фильтрации и анализа почтовых сообщений в облачных сервисах.

⏺Преимущества SandBlast включают возможность анализа сетевого трафика, защиту почтовых серверов и конечных устройств, а также поддержку различных типов файлов, таких как исполняемые файлы и офисные документы. Интеграция с существующей инфраструктурой Check Point снижает затраты на внедрение и администрирование, обеспечивая комплексную защиту от современных угроз.

ZeroDay | #Инструмент

Вирусы Rootkit

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу о вирусе , чем он опасен и какие имеет особенности.

⏺ Что такое Rootkit: Rootkit — это тип вредоносного программного обеспечения, предназначенного для скрытия присутствия других программ или процессов в системе.

⏺Основная цель rootkit'ов — обеспечивать привилегированный доступ к компьютеру или сети без обнаружения пользователем или антивирусными средствами.

⏺ Механизм действия:
Rootkit'ы работают на различных уровнях операционной системы, от уровня ядра до уровня приложения. Они могут внедряться в драйверы устройств, системные библиотеки или даже в загрузочные сектора.

⏺После проникновения в систему, rootkit устанавливает скрытые процессы и модули, которые позволяют злоумышленникам управлять системой, получать доступ к конфиденциальной информации, запускать другие вредоносные программы и обходить системы безопасности. Одной из особенностей rootkit'ов является их способность персистентно сохраняться в системе, даже после перезагрузки.

ZeroDay | #вирус #атака

Защита с помощью инструмента AIDE

👋 Приветствую в мире цифровой безопасности!

Разберем инструмент, который может помочь вам контролировать целостность файлов и защитить систему от таких вирусов, как руткит и не только.

⏺ Контроль целостности файлов с помощью AIDE (Advanced Intrusion Detection Environment) помогает защитить систему от несанкционированных изменений и обнаруживать вторжения. AIDE создаёт базу данных с хэш-суммами и атрибутами файлов, которые используются для последующего сравнения. При изменении, удалении или добавлении файлов AIDE уведомляет администратора. Это помогает выявлять:

• Вредоносные изменения (например, внедрение руткитов или малваре).
• Неправомерные действия пользователей.
• Изменения конфигурационных файлов.

⏺Инициализация базы данных AIDE: После установки AIDE необходимо инициализировать базу данных, которая будет содержать информацию о текущем состоянии файлов:

sudo aideinit

Это создаст файл базы данных /var/lib/aide/aide.db.new.

⏺Замена базы данных: После инициализации необходимо заменить новую базу данных на активную:

sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

⏺Проведение проверки целостности: Для проверки целостности файлов используйте следующую команду:

sudo aide --check

Эта команда сравнит текущие файлы с записями в базе данных и выведет отчет о всех изменениях.

⏺Регулярное обновление базы данных: После внесения легитимных изменений в систему (например, обновления ПО или конфигурационных файлов) необходимо обновить базу данных AIDE:

sudo aideinit
sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

⏺Автоматизация проверок: Для автоматизации проверок целостности файлов можно создать cron-задание. Откройте crontab для редактирования:

sudo crontab -e

Добавьте следующую строку, чтобы проверка выполнялась ежедневно в 2:00 утра:

0 2 * * * /usr/bin/aide --check

ZeroDay | #безопасность

Чек-лист по внедрению DLP (Data Loss Prevention)

Внедрение систем Data Loss Prevention (DLP) — важный шаг для защиты компании от утечек информации. DLP-системы предназначены для предотвращения несанкционированного доступа и передачи данных, обеспечивая контроль и безопасность информации.

⏺В статье я расскажу о ключевых этапах внедрения DLP-системы, представив подробный чек-лист, начиная с подготовки и заканчивая финальными тестированиями и настройками. Мы рассмотрим важные вопросы, которые следует учитывать на каждом этапе, чтобы процесс внедрения прошел эффективно, и обсудим распространенные ошибки, а также способы их предотвращения.

ZeroDay | #Статья

От RFC до RCE, или как неожиданная особенность библиотечного метода стала причиной уязвимости

Недавно была обнаружена интересная уязвимость, связанная с внедрением системных команд (OS command injection) в облачной инфраструктуре. Эта уязвимость оказалась результатом использования сторонней библиотеки, поддерживающей специфичный стандарт RFC, что привело к неожиданным последствиям.

⏺В этой статье я расскажу о процессе обнаружения уязвимости в исходном коде сервисов, а также о формировании полезной нагрузки и её эксплуатации. Во второй части статьи я поделюсь лучшими практиками защищенной разработки, которые помогут предотвратить такие уязвимости в будущем.

ZeroDay | #Статья

🆘 Срочные новости: В телеграм найдена уязвимость

В Telegram найден эксплойт, с помощью которого можно взломать смартфоны на Android.

Жертва получает видео, которое предлагают открыть через сторонний плеер — как только вы соглашаетесь, смартфон начинает загрузку вирусов.

В ближайшее время ожидаем подробностей, и просим вас не открывать медиафайлы от незнакомых

ZeroDay | #Новость

Trivy - инструмент для выявления уязвимостей в файлах и образах.

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Инструмент выявляет уязвимости в образах контейнеров и конфигурационных файлах Docker, Kubernetes и Terraform. При этом утилита поддерживает разные форматы: Buildah, Podman, img, Kaniko. Отчеты по сканированию содержат не только описания потенциальных слабых мест и уровней критичности, но и рекомендуемые обновления. Результаты доступны в ряде поддерживаемых форматов: XML, SARIF, HTML и JSON.

⏺Также Trivy Operator может автоматизировать сканирование кластера, например, запускать проверку безопасности при добавлении пода. Trivy хвалят за простоту интеграции в CI/CD-пайплайн и настройку автоматических функций.

ZeroDay | #Инструмент

Реподжекинг

👋 Приветствую в мире цифровой безопасности!

Поговорим о таком виде атаки, как кража репозитория или же реподжекинг.

⏺ Реподжекинг или захват репозитория/перехват контроля над репозиторием — это особый вид атак на цепочки поставок. Этот тип атаки привлекает внимание из-за своего потенциального влияния на программное обеспечение с открытым исходным кодом. Если вы получаете все свои программные зависимости из менеджера пакетов — например, npm или PyPI, то эта атака не может на вас повлиять. Однако если вы берёте зависимости напрямую с GitHub, нужно быть более осторожными, но есть простое решение — зафиксировать определённый ID коммита.

⏺В случае реподжекинга, злоумышленник заменяет доверенный репозиторий на вредоносный. Например, если репозиторий kubernetes/kubernetes будет заменён на вредоносное ПО, многие разработчики могут не заметить подмены и загрузить вредоносный код на свои системы. Самым простым способом атаки было бы размещение вредоносного коммита кем-то с правами на запись.

ZeroDay | #вирус #атака

Защита от реподжекинга

👋 Приветствую в мире цифровой безопасности!

Продолжим обсуждать реподжекинг и разберем, как правильно защитить систему от этого типа атаки.

⏺Установка фиксации ID коммита в GitHub Actions: Если ваша система сборки загружает ПО непосредственно с GitHub, риск взлома репозитория становится реальной проблемой. Использование ID коммита помогает избежать взлома, так как хэши SHA-1 практически невозможно подделать. Для безопасности в GitHub Actions зафиксируйте ID коммита:

steps:
    - uses: actions/javanoscript-action@4be183afbd08ddadedcf09f17e8e112326894107

Это гарантирует загрузку кода с конкретного коммита, предотвращая атаки через подмену кода.

⏺Проверка идентификатора репозитория с API GitHub: Используйте API GitHub для проверки, был ли репозиторий переименован или заменён.

Пример кода на Python:

from github import Github

def check_repo_id(full_name, id):
    gh = Github()
    repo = gh.get_repo(full_name)
    if repo.id != id:
        raise Exception(f'repo ID has changed to {repo.id}')
    if repo.full_name != full_name:
        raise Exception(f'repo has been renamed to {repo.full_name}')

check_repo_id("github/cmark-gfm", 75244322)

Эта функция проверяет идентификатор репозитория и выбрасывает исключение, если он изменился.

⏺Использование менеджеров пакетов для защиты: Менеджеры пакетов создают дополнительный уровень защиты от взлома репозиториев. Примеры: npm (JavaScript), PyPI (Python), crates.io (Rust). Всегда проверяйте источник пакетов и избегайте использования последней версии напрямую с GitHub, если это возможно.

ZeroDay | #вирус #атака

😒Подборка каналов для каждого безопасника и хакера

Арсенал Безопасника - Проект по кибербезопасности - сборник лучших инструментов и утилит по OSINT, хакингу и деанону

Бункер Хакера - Сборник инструментов, книг, справочников, гайды и ресурсы по информационной безопасности, анонимности и разведки.

Airgeddon: многофункциональный инструмент для аудита безопасности Wi-Fi сетей

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Airgeddon - это мощное универсальное средство, предназначенное для аудита безопасности беспроводных сетей. Инструмент поддерживает различные функции, включая сканирование сетей на наличие уязвимостей, атаки на пароли WPS и WPA/WPA2-PSK, перехват трафика и множество других операций, необходимых для тестирования на проникновение. Airgeddon легко устанавливается и запускается из репозитория на GitHub, что делает его доступным для широкого круга пользователей, занимающихся обеспечением информационной безопасности беспроводных сетей.

⏺Этот инструмент особенно полезен для специалистов по безопасности, которые занимаются оценкой и укреплением защиты Wi-Fi сетей. Airgeddon предоставляет возможность не только обнаруживать уязвимости, но и проводить целенаправленные тесты на проникновение для идентификации потенциальных уязвимых точек в сетевой инфраструктуре.

ZeroDay | #Инструмент

Использование ModSecurity в Nginx — практика защиты проекта на WordPress

Использование ModSecurity в Nginx для защиты проекта на WordPress представляет собой эффективный подход к обеспечению безопасности веб-приложений. ModSecurity является одним из ведущих в мире веб-файрволов (WAF), способным предотвращать широкий спектр атак, таких как SQL-инъекции, XSS и CSRF. Этот инструмент интегрируется в серверы Apache, Nginx и IIS, обеспечивая надежную защиту на уровне приложения.

⏺В статье я подробно рассмотрю несколько ключевых аспектов использования ModSecurity для защиты WordPress. Мы начнем с методов отключения ModSecurity в административной части сайта, настройки безопасных параметров в php.ini для предотвращения уязвимостей, а также рассмотрим специфические меры защиты для таких популярных компонентов как PHPMyAdmin, RoundCube и WordPress.

ZeroDay | #Статья

Глобальный сбой систем Windows

👋 Приветствую в мире цифровой безопасности!

По всему миру наблюдается сбой в работе устройств с системой Windows.

⏺ Сбой вызван ошибкой в обновлении от поставщика решений информационной безопасности CrowdStrike.

⏺Пользователи жалуются на появление «синего экрана смерти» на устройствах с Windows 10. Falcon Sensor, система безопасности от CrowdStrike, блокирующая кибератаки, стала причиной массовых сбоев.

⏺Сбой носит глобальный характер, затронув пользователей из США, Великобритании и других стран.

⏺Прекращено вещание британского телеканала Sky News, нарушена работа авиакомпаний Delta, United и American Airlines. В Великобритании пострадали железнодорожные службы, а в Израиле — больницы, банки и системы экстренной помощи.

⏺Причиной сбоя стало изменение конфигурации в части внутренних рабочих нагрузок Azure, платформы облачных вычислений Microsoft. Это вызвало перебои между ресурсами хранения и вычислений, что привело к сбоям подключения и затронуло службы Microsoft 365. Microsoft признала проблему и работает над ее решением.

⏺В России сбои в работе Windows не зафиксированы.

ZeroDay | #разное

Попытки отключить глобальный интернет

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, какие были попытки отключить или помешать работе глобальной сети.

⏺Утром 8 февраля 2007 года произошла значительная DDoS-атака на два из тринадцати рутовых серверов доменных имен (DNS).

⏺Серверы G и L не смогли справиться с резким увеличением трафика, что привело к тому, что около 90% стандартных DNS-запросов остались без ответа.

⏺Атака стала напоминанием о событиях 2002 года, когда подобная атака затронула 13 рутовых DNS-серверов, вызвав проблемы у восьми из них. Эти инциденты подчеркнули уязвимость и важность безопасности рутовых DNS-серверов, которые играют ключевую роль в функционировании интернета.

⏺Интересно отметить, что рутовые DNS-серверы не находятся под единым управлением компании или организации. Администрирование серверов осуществляется организацией по назначению доменных имен ICANN и Министерством обороны США.

ZeroDay | #разное

Неизвестные «окирпичили» 600 000 маршрутизаторов с помощью малвари

👋 Приветствую в мире цифровой безопасности!

Давай расскажу о массовой атаке на маршрутизаторы с использованием малвари Chalubo.

⏺В октябре 2023 года пользователи провайдера Windstream столкнулись с массовым выходом из строя своих маршрутизаторов.

⏺Атака была осуществлена с использованием малвари Chalubo, которая затронула более 600 000 устройств.

⏺Среди пострадавших устройств были модели ActionTec T3200s, ActionTec T3260s и Sagemcom F5380.

⏺Малварь Chalubo использовала шифрование ChaCha20 для связи с управляющими серверами, а также могла отправлять команды через Lua-скрипты для эксфильтрации данных и внедрения дополнительных нагрузок.

ZeroDay | #разное