Прикольная подборка шаблонов для выпечки Windows packer образов (vagrant box’ов):
https://github.com/jacqinthebox/packer-templates
https://github.com/jacqinthebox/packer-templates
GitHub
GitHub - jacqinthebox/packer-templates: Building a development environment with Vagrant, Packer, Windows 10 and Server 2016
Building a development environment with Vagrant, Packer, Windows 10 and Server 2016 - jacqinthebox/packer-templates
Ультразвуковая волна против голосовых помощников
От SurfingAttack не спасают даже силиконовые чехлы, для атаки уязвимы устройства от - Apple, Google, Samsung, Huawei, Xiaomi...
Атака позволяет совершать звонки, читать SMS, взаимодействовать с голосовым помощником...
Атака происходит через колебания передаваемые через твердые поверхности (например стол).
Защита - более толстый чехол, уменьшение площади касания телефона с твердыми поверхностями, отключение голосового помощника
Детали:
https://surfingattack.github.io/
От SurfingAttack не спасают даже силиконовые чехлы, для атаки уязвимы устройства от - Apple, Google, Samsung, Huawei, Xiaomi...
Атака позволяет совершать звонки, читать SMS, взаимодействовать с голосовым помощником...
Атака происходит через колебания передаваемые через твердые поверхности (например стол).
Защита - более толстый чехол, уменьшение площади касания телефона с твердыми поверхностями, отключение голосового помощника
Детали:
https://surfingattack.github.io/
VSCode-python - inject_dll_x86.exe is detected like malware
Антивирусы ругаются на малварь в офф коде от MS VSCode - McAfee, Sophos, Cisco AMP for Endpoints
Народ жалуется:
- https://github.com/microsoft/vscode-python/issues/9474
Но вроде как все сходится к false positive, но тут что-то вспонилось - "суслика видишь? нет? а он есть!"
За ссылку спасибо @rustc
Антивирусы ругаются на малварь в офф коде от MS VSCode - McAfee, Sophos, Cisco AMP for Endpoints
Народ жалуется:
- https://github.com/microsoft/vscode-python/issues/9474
Но вроде как все сходится к false positive, но тут что-то вспонилось - "суслика видишь? нет? а он есть!"
За ссылку спасибо @rustc
GitHub
inject_dll_x86.exe is detected like malware · Issue #9474 · microsoft/vscode-python
Today ran Visual Studio Code and the Python Extension was updated to 2020.1.57204. My company use Cisco AMP for Endpoints like antimalware / antivirus and the next file was detected like malware. C...
Как происходит установка Net Support Manager RAT (rat - remote access trojan)
- Word документ, замаскированный под защищенный документ NortonLifeLock
- Пользователь вводит пароль от документа (именно правильный пароль, который возможно указан в письме куда прикреплен word документ)
- После ввода пароля, запускается VBA скрипт, который запускает cmd в результате чего создается bat файл в temp каталоге пользователя
- Далее загружается msi файл, выполняется и снова в temp уже устанавливается powershell скрипт
- Далее происходит остановка антивирусного ПО (Avast, AVG)
- Готово, RAT отправляет данные на сервер управления (включая гео-локационные)
Собственно детали:
https://unit42.paloaltonetworks.com/cortex-xdr-detects-netsupport-manager-rat-campaign/
- Word документ, замаскированный под защищенный документ NortonLifeLock
- Пользователь вводит пароль от документа (именно правильный пароль, который возможно указан в письме куда прикреплен word документ)
- После ввода пароля, запускается VBA скрипт, который запускает cmd в результате чего создается bat файл в temp каталоге пользователя
- Далее загружается msi файл, выполняется и снова в temp уже устанавливается powershell скрипт
- Далее происходит остановка антивирусного ПО (Avast, AVG)
- Готово, RAT отправляет данные на сервер управления (включая гео-локационные)
Собственно детали:
https://unit42.paloaltonetworks.com/cortex-xdr-detects-netsupport-manager-rat-campaign/
Unit 42
Cortex XDR™ Detects New Phishing Campaign Installing NetSupport Manager RAT
Unit 42 discovered a new phishing campaign attempting to deliver a NetSupport Manager RAT through a malicious Microsoft Word document.
Фаззинг — техника тестирования программного обеспечения, часто автоматическая или полуавтоматическая...
Гугл выложил в паблик инструмент FizzBanch:
https://github.com/google/fuzzbench
Анонс (пример генерируемого отчета там тоже имеется):
https://security.googleblog.com/2020/03/fuzzbench-fuzzer-benchmarking-as-service.html?m=1
Гугл выложил в паблик инструмент FizzBanch:
https://github.com/google/fuzzbench
Анонс (пример генерируемого отчета там тоже имеется):
https://security.googleblog.com/2020/03/fuzzbench-fuzzer-benchmarking-as-service.html?m=1
GitHub
GitHub - google/fuzzbench: FuzzBench - Fuzzer benchmarking as a service.
FuzzBench - Fuzzer benchmarking as a service. Contribute to google/fuzzbench development by creating an account on GitHub.
Миллионы Андроид девайсов под угрозой. Какие устройства, какие чипы, как эксплуатировать руткит (о нем ниже):
https://www.xda-developers.com/mediatek-su-rootkit-exploit
Android Security бюллетень. Одна из уязвимостей, описанных в последнем бюллетене, это CVE-2020-0069, критический эксплойт безопасности (тот самый руткит):
https://source.android.com/security/bulletin
https://www.xda-developers.com/mediatek-su-rootkit-exploit
Android Security бюллетень. Одна из уязвимостей, описанных в последнем бюллетене, это CVE-2020-0069, критический эксплойт безопасности (тот самый руткит):
https://source.android.com/security/bulletin
Letsencrypt будет отзывать ряд сертификатов (а именно
3,048,289) в виду найденой баги:
https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864
Есть сайт, где можно проверить свой серт на предмет САА:
https://checkhost.unboundtest.com
Как можно быстро проверить свой серт при помощи curl:
Результат:
The certificate currently available on domain_name is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem.
3,048,289) в виду найденой баги:
https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864
Есть сайт, где можно проверить свой серт на предмет САА:
https://checkhost.unboundtest.com
Как можно быстро проверить свой серт при помощи curl:
curl -XPOST -d 'fqdn=domain_name' https://unboundtest.com/caaproblem/checkhostРезультат:
The certificate currently available on domain_name is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem.
Let's Encrypt Community Support
Revoking certain certificates on March 4
[Update 2020-03-05: The most up-to-date summary is at 2020.02.29 CAA Rechecking Bug] Due to the 2020.02.29 CAA Rechecking Bug, we unfortunately need to revoke many Let’s Encrypt TLS/SSL certificates. We’re e-mailing affected subscribers for whom we have…
Zero-day - латинские гомоглифы в доменных именах:
https://www.soluble.ai/blog/public-disclosure-emoji-to-zero-day
https://www.soluble.ai/blog/public-disclosure-emoji-to-zero-day
Опасный OneNote обходит любые файерволы. Фишинг с полезной нагрузкой :) Общий обзор:
https://cofense.com/threat-actor-uses-onenote-learn-credential-phishing-evade-microsoft-fireeye-detection/
https://cofense.com/threat-actor-uses-onenote-learn-credential-phishing-evade-microsoft-fireeye-detection/
Знаю многие используют Cisco Webex. Произвольное выполнение кода в Webex Player (hight):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player
Cisco
Cisco Security Advisory: Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities
Multiple vulnerabilities in Cisco Webex Network Recording Player for Microsoft Windows and Cisco Webex Player for Microsoft Windows could allow an attacker to execute arbitrary code on an affected system.
The vulnerabilities are due to insufficient validation…
The vulnerabilities are due to insufficient validation…
PowerShell 7, доступен для множества платформ, куча фиксов и плюшек. Детали в анонсе:
https://devblogs.microsoft.com/powershell/announcing-powershell-7-0/
https://devblogs.microsoft.com/powershell/announcing-powershell-7-0/
Microsoft News
Announcing PowerShell 7.0
Today, we’re happy to announce the Generally Available (GA) release of PowerShell 7.0! Before anything else, we’d like to thank our many, many open-source contributors for making this release possible by submitting code, tests, documentation, and issue feedback.…
MCSA, MCSD, MCSE с июля 2020 года (конец финансового года в Microsoft) вместе со всеми предыдущими экзаменами, кроме новых Role-based, прекращают своё существование
https://habr.com/ru/post/490598/
За ссылку спасибо Denis Konarev
https://habr.com/ru/post/490598/
За ссылку спасибо Denis Konarev
Конфиденциально-дружественные альтернативы сервисам Google. Без трекинга:
https://nomoregoogle.com/
За ссылку спасибо @ldviolet
https://nomoregoogle.com/
За ссылку спасибо @ldviolet
No More Google
Privacy-friendly alternatives to Google that don't track you
Intel. Обнаружена уязвимость (Positive Techlogies) в ПЗУ Converged Security and Management Engine (CSME). Уязвимость ставит под угрозу доверие к Intel в принципе так как Intel CSME отвечает за первоначальную аутентификацию Intel-based систем путем загрузки и проверки других прошивок устройств. Например, Intel CSME взаимодействует с микрокодом CPU для аутентификации UEFI BIOS с помощью BootGuard. Intel CSME также проверяет контроллер управления питанием, отвечающий за подачу питания на чипсет Intel… В общем весело.. инфа по сабжу от авторов:
http://blog.ptsecurity.com/2020/03/intelx86-root-of-trust-loss-of-trust.html
http://blog.ptsecurity.com/2020/03/intelx86-root-of-trust-loss-of-trust.html
SMB через QUIC
QUIC-это стандартизированный протокол, который заменяет TCP на веб-ориентированный механизм UDP, который теоретически улучшает производительность. В отличие от TCP, QUIC всегда зашифрован, работает используя TLS 1.3
Сотрудник из MS говорит, что это экономит кучу денег, что виндовый новый осел (edge) его уже может, выделяет два ключевых императива:
> Безопасность - защита от MiTM
> Простота - безшовность
https://techcommunity.microsoft.com/t5/blogs/blogarticleprintpage/blog-id/ITOpsTalkBlog/article-id/600
За ссылку спасибо @ldviolet
QUIC-это стандартизированный протокол, который заменяет TCP на веб-ориентированный механизм UDP, который теоретически улучшает производительность. В отличие от TCP, QUIC всегда зашифрован, работает используя TLS 1.3
Сотрудник из MS говорит, что это экономит кучу денег, что виндовый новый осел (edge) его уже может, выделяет два ключевых императива:
> Безопасность - защита от MiTM
> Простота - безшовность
https://techcommunity.microsoft.com/t5/blogs/blogarticleprintpage/blog-id/ITOpsTalkBlog/article-id/600
За ссылку спасибо @ldviolet
Собственно вводные обозревательные ролики (много всего) по анализу малвари и реверсу
Введение в гидру, анализ exe, работа с метасплоитом и построение своего собственного RAT, построение разного рода атак и много, много другого:
https://class.malware.re/
Введение в гидру, анализ exe, работа с метасплоитом и построение своего собственного RAT, построение разного рода атак и много, много другого:
https://class.malware.re/
Один из моих любимых сервисов на сегодня - DuckDuckGo, рассказывает о трекерах и о том, как они борятся с этим выпиливая трекинг и различные механизмы слежения за пользователями
Зло которое несет трекинг в дополнение к истории покупок, они (трекеры) могут собирать историю местоположения, историю поиска, историю просмотра, сведения о возрасте и многое другое, даже сведения об этнической принадлежности, полу, интересам и привычкам. Различные компании собирают эти личные данные в детальный профиль, постоянно выставляя вас (нас) на аукцион по бросовым ценам...
Боритесь за свою конфиденциальность друзья 🤘
https://spreadprivacy.com/duckduckgo-tracker-radar/
Зло которое несет трекинг в дополнение к истории покупок, они (трекеры) могут собирать историю местоположения, историю поиска, историю просмотра, сведения о возрасте и многое другое, даже сведения об этнической принадлежности, полу, интересам и привычкам. Различные компании собирают эти личные данные в детальный профиль, постоянно выставляя вас (нас) на аукцион по бросовым ценам...
Боритесь за свою конфиденциальность друзья 🤘
https://spreadprivacy.com/duckduckgo-tracker-radar/
Spread Privacy
DuckDuckGo Tracker Radar Exposes Hidden Tracking
DuckDuckGo Tracker Radar is a best-in-class, automatically-generated data set about trackers that we've made available for research and generating block lists.
Команда US-CERT предупредила о критической уязвимости в демоне протокола PPP, реализованном в большинстве операционных систем на базе Linux, а также в прошивках различных сетевых устройств:
https://www.securitylab.ru/news/505625.php
За ссылку спасибо @ldviolet
https://www.securitylab.ru/news/505625.php
За ссылку спасибо @ldviolet
SecurityLab.ru
17-летняя уязвимость в PPPD подвергает Linux-системы риску удаленных атак
Проблема затрагивает версии PPPD с 2.4.2 по 2.4.8.
Новые уязвимости Collide+Probe и Load+Reload теперь в AMD процессорах.
Что характерно, Collide можно запустить удалённо, через браузер, без взаимодействия с пользователем. Обе атаки позволяют получить доступ к памяти атакуемого компьютера.
Успокаивает одно, эти атаки не так серьезны, как Meltdown / Zombieload
Информация на официальном сайте AMD:
https://www.amd.com/en/corporate/product-security
Что характерно, Collide можно запустить удалённо, через браузер, без взаимодействия с пользователем. Обе атаки позволяют получить доступ к памяти атакуемого компьютера.
Успокаивает одно, эти атаки не так серьезны, как Meltdown / Zombieload
Информация на официальном сайте AMD:
https://www.amd.com/en/corporate/product-security