Malware as a service - MaaS

Анализ нового семейства малвари от Malwarebytes

Вечные VPS сервера - реальность

VDSina.ru предлагает вечные серверы по разовой цене (одина раз купил и забыл), это именно та ситуация, когда не нужно думать о последующей оплате сервера 🙂

Дата-центр - Россия (Москва, DataPro), DDoS-защита в коробке, 500Мбит/сек, выделенный IPv4, вменяемая тех-поддержка

Предлагается несколько конфигураций:
- 1 ГБ / RAM, 30 ГБ / NVMe, 1 core / vCPU, 32 ТБ / Трафик
- 2 ГБ / RAM, 40 ГБ / NVMe, 2 core / vCPU, 32 ТБ / Трафик
- 8 ГБ / RAM, 80 ГБ / NVMe, 4 core / vCPU, 32 ТБ / Трафик

Детали Здесь

P.S. Сам использую не первый год ряд серверов у VDSina, работают без перебоев, IO и тп тесты очень даже приемлемы, что говорить, для теста можно попробовать посуточную оплату на минимальных параметрах 11р. в день
⁠

Apple выпустили более 40 патчей для macOS Catalina, чего там только нет:

https://support.apple.com/en-gb/HT211170

Уже несколько раз встречаю. В Windows есть утилита для захвата сетевых пакетов - Packet Monitor, доступен из коробки, известен как pktmon.exe, можно сказать встроенный виндовый сниффер, аналог tcpdump

Вводный хелп:
pktmon start help

Может конвертировать свои логи в pcap:
pctmon pcapng help

Которые потом можно открыть например в том же Wireshark

Официальная информация, принцип работы:

https://techcommunity.microsoft.com/t5/networking-blog/introducing-packet-monitor/ba-p/1410594

Целая пачка различных проблем, которые MS признало, расследует, а к некоторым проблема есть даже внятные описания:

https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-2004#381msgdesc

Скоро в коробочке будет помещаться целая рабочая станция

Обновленный Raspberry Pi:

https://www.raspberrypi.org/blog/8gb-raspberry-pi-4-on-sale-now-at-75/

https://www.raspberrypi.org/products/raspberry-pi-4-model-b/

kGKE - Google запустил программу вознаграждения где при помощи открытой платформы, лабораторной среды - Kubernetes-based Capture-the-Flag (CTF) называемой kCTF, будут выдавать вознаграждения до 10000$ тысяч за получение нескольких флагов (выход из контейнерной среды, предоставление нескольких флагов в качестве доказательства):

https://security.googleblog.com/2020/05/expanding-our-work-with-open-source.html?m=1

SaltStack FrameWork Vulnerabilities Affecting Cisco Products (Critical)

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-salt-2vx545AG

А вот тот самый SaltStack

RCE - https://blog.f-secure.com/new-vulnerabilities-make-exposed-salt-hosts-easy-targets/

Ранее, IDE NetBeans активно использовал в своей работе, оказывается на сегодня эта IDE, вернее пользователи этой IDE и в частности их проекты подвергаются достаточно серьезному риску.

На прошлой неделе GitHub рассказал, что он обнаружил 26 хранилищ NetBeans, заражённых вредоносным ПО Octopus Scanner. Когда пользователь пытается загрузить любое из этих хранилищ, вредоносное ПО начинает распространяться путем поиска установки IDE NetBeans на целевом компьютере. Затем он заражает другие java-проекты, и таким образом цикл самораспространения повторяется, при этом без разницы какая конечная платформа используется Windows, Linux или macOS:

https://securitylab.github.com/research/octopus-scanner-malware-open-source-supply-chain

MS сообщает, что ATP (advanced thread protection) для о365 теперь использует машинное обучение, продвинутую эвристику, помогает бороться с фишингом...

Жаль, что они не пишут сколько стоит докупить ATP, так как в базовой поставке офиса его нет :)

https://www.microsoft.com/security/blog/2018/05/10/enhancing-office-365-advanced-threat-protection-with-detonation-based-heuristics-and-machine-learning/

Процессоры Intel / AMD. Новый тип атаки называемый Dabangg

При удачном применении нового метода атаки, можно перехватить вводимые / используемые данные жертвой, извлечь закрытые ключи AES... Атака по принципу похожа на Spectre

Сайт посвященный дабанггу (PoC, white papers, видео):

https://car3s.github.io/dabangg/

VMware Cloud Director - внедрение стороннего кода в виду неправильной обработки входных данных

PoC
- https://citadelo.com/en/blog/full-infrastructure-takeover-of-vmware-cloud-director-CVE-2020-3956/
- https://github.com/aaronsvk/CVE-2020-3956/blob/master/exploit.py
- https://www.youtube.com/watch?v=TO40leo9y9w

Информация на официальном сайте:
- https://www.vmware.com/security/advisories/VMSA-2020-0010.html

Недавно публиковал информацию про джейлбрейк (https://news.1rj.ru/str/sysadm_in_channel/1828)

Apple выпустили iOS 13.5.1 который в том числе содержит патч от unc0ver

https://support.apple.com/en-us/HT211214

AppGet - OpenSource менеджер программных пакетов для Windows

Много софта, после установки работает из командной строки, гибче недавнего winget от MS (про факты winget смотри ниже, после первой ссылки):

https://appget.net/

Выше была первая часть медали про winget, со слов разработчика AppGet - Microsoft скопировали идею, принцип работы AppGet. Перед этим приглашали его (разработчика AppGet) на собеседование, интересовались его детищем, после собеседования, спустя полгода анонсировали клон под названием winget…

О гразных играх и плагиате, расследование от The Verge:

https://www.theverge.com/2020/5/28/21272964/microsoft-winget-windows-package-manager-appget-copied

Порядка ~40 уязвимостей (среди которых есть в том числе критические) закрыто в июньском патче для Android

Детали от вендора:

https://source.android.com/security/bulletin/2020-06-01

Кейс с форума - Telegram + MikroTik part 2. Управление портами и мониторинг устройств

https://forum.sys-adm.in/t/telegram-mikrotik-part-2-upravlenie-portami-i-monitoring-ustrojstv/7078

Множественные уязвимости SAP Adaptive Server Enterprise (ASE)

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/system-takeover-through-new-sap-ase-vulnerabilities/

SQL Window Functions Cheat Sheet

https://learnsql.com/blog/sql-window-functions-cheat-sheet/

Эволюция макро-вооружения в Excel

Макросы и офисные продукты являются отличной платформой для проведения атак. Макросы, как оружие - уже не первый год (а именно почти 30 лет уже как используется этот функционал в Excel) доказывают, что это оружие может быть эффективным не только в благих, но и в наступательных и злонамеренных целях

За эти годы произошла целая эволюция в отношении того, как связывать маларь и офисные продукты, Excel в частности

- проверка защищенности среды
- выход из песочницы
- web запросы
- белый шрифт на белом фоне)
- скрытые макро-листы
- вызов внешних сценариев
- использование непечатаемых, ASCII и тп символов
- обращение к реестру Windows
- планировка запуска малвари с проверкой даты
- обфускация

Макросы Excel за всю историю доказали свою эффективность для злоумышленников, историческая подоборка с описаниями и скриншотами:

https://www.lastline.com/labsblog/evolution-of-excel-4-0-macro-weaponization/

Cisco выпустила полугодовую публикацию Cisco IOS и IOS XE

Много патчей, порядка ~30-ти при этом из них 90% с приоритетом High

https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-73388

RIPGREP - аналог GREP, ACK, написан на RUST, быстрый поиск содержимого в файлах с возможностью замены

В репозитории ripgrep есть готовые пакеты под Linux, macOS, Windows

- понимает .gitignore, не следует за символическими ссылками, пропускает бинарные и скрытые файлы, можно использовать регулярные выражения
- быстрый, сотни файлов, в разы быстрее чем аналоги

Быстрое введение в ripgrep, со ссылками на репу, ссылки на сравнительные тесты там же в статье (скорость действительно впечатляет)

https://sys-adm.in/systadm/905-ripgrep-bystryj-umnyj-poisk-soderzhimogo-v-fajlakh-ustanovka-v-linux-macos.html