Новый релиз Git уже может работать не с 'master'
Команда init.defaultBranch, позволяет указать имя основной ветки по умолчанию:
https://lkml.org/lkml/2020/7/27/1375
Команда init.defaultBranch, позволяет указать имя основной ветки по умолчанию:
https://lkml.org/lkml/2020/7/27/1375
Система распространения малвари Emotet теперь как Gif
Многие крупные компании (например Microsoft) и ИБ ресерчеры заметили массовый фишинг с использованием gif изображений, которые могут использоваться для обновления, распространения малвари. В качестве источников используются взломанные сайты на WordPress, иные ресурсы:
https://doublepulsar.com/emotet-being-hijacked-by-another-actor-b22414352a7b
Многие крупные компании (например Microsoft) и ИБ ресерчеры заметили массовый фишинг с использованием gif изображений, которые могут использоваться для обновления, распространения малвари. В качестве источников используются взломанные сайты на WordPress, иные ресурсы:
https://doublepulsar.com/emotet-being-hijacked-by-another-actor-b22414352a7b
Medium
Emotet being hijacked by another actor
Emotet is back… and is being hijacked by James Franco (sort of).
Кратко об Azure DevOps
https://intellipaat.com/blog/tutorial/microsoft-azure-tutorial/azure-devops-tutorial/
https://intellipaat.com/blog/tutorial/microsoft-azure-tutorial/azure-devops-tutorial/
Intellipaat
Azure DevOps Tutorial for Beginners
Azure DevOps tutorial for Beginners will teach you what is Azure DevOps and the various services it provides. Become expert in DevOps process on Microsoft Azure platform.
Следите за своими контейнерами - Doki заражает серверы Docker:
https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/
https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/
Уязвимости в промышленных VPN решениях
- Secomea GateManager
- Moxa EDR-G902
- EDR-G903
- eWon HMS Networks
Данные решения широко используются в нефтегазовой, коммунальной секторах. Эксплуатация уязвимостей потенциально позволяет получить доступ к устройствам внутри периметра:
https://www.claroty.com/2020/07/28/vpn-security-flaws/
https://www.claroty.com/2020/07/15/cve-2020-14511/
- Secomea GateManager
- Moxa EDR-G902
- EDR-G903
- eWon HMS Networks
Данные решения широко используются в нефтегазовой, коммунальной секторах. Эксплуатация уязвимостей потенциально позволяет получить доступ к устройствам внутри периметра:
https://www.claroty.com/2020/07/28/vpn-security-flaws/
https://www.claroty.com/2020/07/15/cve-2020-14511/
Claroty
VPN Security Flaws Pose Cyber Risk to Remote OT Personnel
Claroty researchers have discovered multiple vulnerabilities in popular industrial VPN-based solutions that provide remote access. Learn more.
VHD Ransomware
Шифрует данные алгоритмами AES-256 ECB + RSA-2048, может распространяться через VPN, RDP, Email, различные уязвимости систем... Может распространяться при помощи деплоя с использованием механизмов Active Directory:
https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/
Шифрует данные алгоритмами AES-256 ECB + RSA-2048, может распространяться через VPN, RDP, Email, различные уязвимости систем... Может распространяться при помощи деплоя с использованием механизмов Active Directory:
https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/
Securelist
Lazarus on the hunt for big game
By investigating a number of targeted ransomware attacks and through discussions with some of our trusted industry partners, we feel that we now have a good grasp on how the ransomware ecosystem is structured.
Удалённое выполнение кода Cisco ASA, Firepower:
https://nvd.nist.gov/vuln/detail/CVE-2020-3452
Теперь можно искать при помощи nuclei:
https://github.com/projectdiscovery/nuclei
https://nvd.nist.gov/vuln/detail/CVE-2020-3452
Теперь можно искать при помощи nuclei:
https://github.com/projectdiscovery/nuclei
GitHub
GitHub - projectdiscovery/nuclei: Nuclei is a fast, customizable vulnerability scanner powered by the global security community…
Nuclei is a fast, customizable vulnerability scanner powered by the global security community and built on a simple YAML-based DSL, enabling collaboration to tackle trending vulnerabilities on the ...
Уязвимость GRUB2 BootHole
Суть - обход UEFI Secure Boot. Чревато например использованием нелегитимного ПО в процессах загрузки, это могут быть например руткиты:
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
up
После обновления Grub / Kernel на VPS, несколько серверов упало. Будьте внимательны.
Суть - обход UEFI Secure Boot. Чревато например использованием нелегитимного ПО в процессах загрузки, это могут быть например руткиты:
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
up
После обновления Grub / Kernel на VPS, несколько серверов упало. Будьте внимательны.
Eclypsium | Supply Chain Security for the Modern Enterprise
There's a Hole in the Boot - Eclypsium | Supply Chain Security for the Modern Enterprise
The BootHole vulnerability in the GRUB2 bootloader opens up Windows and Linux devices using Secure Boot to attack. The majority of laptops, desktops, servers and workstations are affected, as well as network appliances and other special purpose equipment
Настраиваем top в GNU/Linux
Оказывается top может конкурировать с htop по внешнему виду:
https://www.cloud4y.ru/about/news/nastraivaem-top-v-gnu-linux/
Оказывается top может конкурировать с htop по внешнему виду:
https://www.cloud4y.ru/about/news/nastraivaem-top-v-gnu-linux/
Trickbot, банковской троян, теперь под Linux, использует DNS, для получения команд, новый порт известен, как Anchor_DNS:
https://medium.com/stage-2-security/anchor-dns-malware-family-goes-cross-platform-d807ba13ca30
https://medium.com/stage-2-security/anchor-dns-malware-family-goes-cross-platform-d807ba13ca30
Medium
Anchor_dns malware family goes cross platform
The actor’s behind Trickbot, a high profile banking trojan, have recently developed a Linux port of their new DNS command and control tool…
Дайджест новостей за последние дни
• Описание, диагностика, митигация Boot Hole Vulnerability - GRUB 2 boot loader - CVE-2020-10713 от Red Hat
• Уязвимость KDE Arc позволяет при открытии архива перезаписать файлы вне каталога для распаковки - Описание, Фикс
• GNU NANO 5.0 увидел свет - Описание релиза
• HTTP/2 как платформа для новых типов атак - PoC
• Новый systemd - Описание релиза
• Debian 10.5, корректирующее обновление, которое включает фикс GRUB Boot Hole - Описание обновления
• Microsoft Edge, это малварь которая навязывает себя и крадет данные из Google Chrome, частное мнение автора статьи на Zdnet
• Описание, диагностика, митигация Boot Hole Vulnerability - GRUB 2 boot loader - CVE-2020-10713 от Red Hat
• Уязвимость KDE Arc позволяет при открытии архива перезаписать файлы вне каталога для распаковки - Описание, Фикс
• GNU NANO 5.0 увидел свет - Описание релиза
• HTTP/2 как платформа для новых типов атак - PoC
• Новый systemd - Описание релиза
• Debian 10.5, корректирующее обновление, которое включает фикс GRUB Boot Hole - Описание обновления
• Microsoft Edge, это малварь которая навязывает себя и крадет данные из Google Chrome, частное мнение автора статьи на Zdnet
PE Tree - реверс-инжиниринг инструмент с открытым исходным кодом
Инструмент разработан командой BlackBerry Research and Intelligence Team, предназначен для просмотра портативных исполняемых файлов (PE) в древовидном представлении с использованием pefile и PyQt5, интегрируется с декомпилятором HexRays IDA Pro, с целью обеспечить навигацию PE-структур, а также сброс PE-файлов в память и выполнение реконструкции импорта, детали в блоге авторов
Репозиторий GitHub PE Tree:
• https://github.com/blackberry/pe_tree
Репозиторий GitHub pefile:
• https://github.com/erocarrera/pefile
Инструмент разработан командой BlackBerry Research and Intelligence Team, предназначен для просмотра портативных исполняемых файлов (PE) в древовидном представлении с использованием pefile и PyQt5, интегрируется с декомпилятором HexRays IDA Pro, с целью обеспечить навигацию PE-структур, а также сброс PE-файлов в память и выполнение реконструкции импорта, детали в блоге авторов
Репозиторий GitHub PE Tree:
• https://github.com/blackberry/pe_tree
Репозиторий GitHub pefile:
• https://github.com/erocarrera/pefile
Монитор ресурсов - процессор, процессы, память, диски. Работает непосредственно в терминале, во многих дистрибутивах ставится из коробки (например в Fedora -
Репозиторий с описанием и скринами:
https://github.com/aristocratos/bashtop
dnf install bashtop) утилита - огонь.Репозиторий с описанием и скринами:
https://github.com/aristocratos/bashtop
Windows Defender борется с приватностью пользователей
Defender помечает Windows Hosts файл, как зловредный если в нем отключить телеметрию (HostFileHijack), а CCleaner помечает как потенциально-вредоносное ПО - Hosts as malicious, CCleaner as PUP
Августовский набор патчей Android (порядка 50-ти)
Включая серьезные уязвимости удаленного выполнения кода - Android Security Bulletin—August 2020
Уязвимый Newsletter WordPress Plugin
XSS уязвимости в плагине новостей для Wordpress с количеством более 300к установок - Newsletter Plugin Vulnerabilities
Уязвимый еxpress-fileupload NodeJs Plugin
Плагин NodeJs имеющий более 7-ми миллионов установок имеет уязвимости связанные с загрузкой шелла (remote shell), выполнения DoS атак - Express-fileupload Vulnerabilities
Defender помечает Windows Hosts файл, как зловредный если в нем отключить телеметрию (HostFileHijack), а CCleaner помечает как потенциально-вредоносное ПО - Hosts as malicious, CCleaner as PUP
Августовский набор патчей Android (порядка 50-ти)
Включая серьезные уязвимости удаленного выполнения кода - Android Security Bulletin—August 2020
Уязвимый Newsletter WordPress Plugin
XSS уязвимости в плагине новостей для Wordpress с количеством более 300к установок - Newsletter Plugin Vulnerabilities
Уязвимый еxpress-fileupload NodeJs Plugin
Плагин NodeJs имеющий более 7-ми миллионов установок имеет уязвимости связанные с загрузкой шелла (remote shell), выполнения DoS атак - Express-fileupload Vulnerabilities
Курс Junior DevOps от практикующих Dev/DevOps/Ops инженеров
Авторы обещают:
- Возможность посмотреть, как работают боевые инженеры
- Неформальное общение
- Максимум практики + Менторство / Индивидуальный подход + Еженедельные стримы
- Не учить тыкать кнопки, а разобрать до косточек как всё работает
- Брать приложение, "облеплять" его технологиями используя актуальные инструменты
- Приложение "продакшен реди", начиная от мониторинга, CI/CD и заканчивая высокими нагрузками
Цена символическая - 5000₽/мес. Цель - обучить.
Подробнее о курсе https://juneway.pro/
P.S. Детали по курсу можно спросить у авторов, в личке - @Agumilev
Курс Junior DevOps от практикующих Dev/DevOps/Ops инженеров
Авторы обещают:
- Возможность посмотреть, как работают боевые инженеры
- Неформальное общение
- Максимум практики + Менторство / Индивидуальный подход + Еженедельные стримы
- Не учить тыкать кнопки, а разобрать до косточек как всё работает
- Брать приложение, "облеплять" его технологиями используя актуальные инструменты
- Приложение "продакшен реди", начиная от мониторинга, CI/CD и заканчивая высокими нагрузками
Цена символическая - 5000₽/мес. Цель - обучить.
Подробнее о курсе https://juneway.pro/
P.S. Детали по курсу можно спросить у авторов, в личке - @Agumilev
Заражение macOS через макросы в документах
В мире Windows атаки на основе макросов хорошо понятны (и, честно говоря, являются довольно старой новостью). Однако на macOS, хотя такие атаки становятся все более популярными и довольно модными, они получили гораздо меньше внимания со стороны сообщества исследователей информационной безопасности
Во-первых, что такое макрос? Короче говоря, это фрагмент исполняемого кода, который может быть добавлен в документы Microsoft Office (как правило, с целью автоматизации повторяющихся задач)
Анализ, расширенная эксплуатация, примеры и даже побег из песочницы. Собственно PoC:
https://objective-see.com/blog/blog_0x4B.html
В мире Windows атаки на основе макросов хорошо понятны (и, честно говоря, являются довольно старой новостью). Однако на macOS, хотя такие атаки становятся все более популярными и довольно модными, они получили гораздо меньше внимания со стороны сообщества исследователей информационной безопасности
Во-первых, что такое макрос? Короче говоря, это фрагмент исполняемого кода, который может быть добавлен в документы Microsoft Office (как правило, с целью автоматизации повторяющихся задач)
Анализ, расширенная эксплуатация, примеры и даже побег из песочницы. Собственно PoC:
https://objective-see.com/blog/blog_0x4B.html
objective-see.org
Office Drama on macOS
infecting macOS via macro-laden documents and 0days
Фишинг Учетных Данных Netflix
Электронное письмо рассылаемое злоумышленниками, напоминает биллинг-письмо от Netflix. Нажав на ссылку в письме, пройдя брендированную под Netflix капчу пользователь перемещается на сайт-двойник Netflix, целью которого является кража учетных данных для входа в Netflix, адресную информацию и данные кредитной карты
Пошагово, со скриншотами, как это работает:
https://www.armorblox.com/blog/blox-tales-netflix-credential-phishing/
Электронное письмо рассылаемое злоумышленниками, напоминает биллинг-письмо от Netflix. Нажав на ссылку в письме, пройдя брендированную под Netflix капчу пользователь перемещается на сайт-двойник Netflix, целью которого является кража учетных данных для входа в Netflix, адресную информацию и данные кредитной карты
Пошагово, со скриншотами, как это работает:
https://www.armorblox.com/blog/blox-tales-netflix-credential-phishing/
Cisco
Armorblox is now part of Cisco
Furthering the AI-First Security Cloud: Cisco has acquired Armorblox.
DNS over HTTPS (DoH) в Windows
Согласно анонсу эта фича будет доступна из “коробки”
https://blogs.windows.com/windowsexperience/2020/08/05/announcing-windows-10-insider-preview-build-20185/
Что такое DoH
https://ru.wikipedia.org/wiki/DNS_%D0%BF%D0%BE%D0%B2%D0%B5%D1%80%D1%85_HTTPS
Согласно анонсу эта фича будет доступна из “коробки”
https://blogs.windows.com/windowsexperience/2020/08/05/announcing-windows-10-insider-preview-build-20185/
Что такое DoH
https://ru.wikipedia.org/wiki/DNS_%D0%BF%D0%BE%D0%B2%D0%B5%D1%80%D1%85_HTTPS
Windows Insider Blog
Announcing Windows 10 Insider Preview Build 20185
Hello Windows Insiders, today we’re releasing Windows 10 Insider Preview Build 20185 to Windows Insiders in the Dev Channel. What’s new in Build 20185 Improving DNS configuration in Settings We’re making a few changes to the Network section in Settings: Making…