Уязвимость спуфинга Windows

Подписанные файлы, считаются операционной системой, иногда антивирусами, как доверенные и могут исполняться в различных контекстах ОС

В чем суть уязвимости - Windows неправильно проверяет подписи файлов. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может обойти функции безопасности, загрузить неправильно подписанные файлы

Описание от производителя + патчи

CVE-2020-1464 | Windows Spoofing Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1464

Описание уязвимости от исследователя. Что характерно, подобная уязвимость уже присутствовала в Windows

GlueBall: The story of CVE-2020–1464

https://medium.com/@TalBeerySec/glueball-the-story-of-cve-2020-1464-50091a1f98bd

TLSv1.3 для уклонения от цензуры, обхода защиты сети

Домен-фронтинг, методы обхода интернет-цензуры и мониторинга путем обфускации домена в HTTPS-соединении, был "убит" крупными облачными провайдерами еще в прошлом году

Однако с появлением TLSv1.3 технологии позволяют "скрывать" соединения

Ниже представлено несколько утилит, доклад и описание как "это" работает:

Репозиторий:
https://github.com/SixGenInc/Noctilucent

Видео-доклад, демонстрация:
https://youtu.be/TDg092qe50g

Аналог:
https://github.com/iyouport-org/relaybaton

FestIN the powered S3 bucket finder and content discover

Куча опций, фич, очень внятный ридми:

https://github.com/cr0hn/festin

⁠
Известны точные даты следующего OFFZONE (22 и 23 апреля, 2021г.)

В этом году к сожалению конференция была отменена из-за COVID-19, но все у кого сохранились билеты:

- может посетить мероприятие в 21 году
- сдать билет и получить 100% от его стоимости (сдать до 21 марта 2021г.)
- кто покупал билет до 12 марта 2020г. получает футболку 🙂

Отсчет пошел. 22 и 23 апреля следующего года OFFZONE 2021 в Москве (можно не проверять, это четверг и пятница), если все сложится там и свидимся 😉

Сайт конференции - https://offzone.moscow/
⁠

Шаблоны, методы и детали создания сценариев и инструментов PowerShell от двух экспертов в этой области

Спасибо за наводку @zenkyo

⁠
Релиз Kali Linux 2020.3
⁠
GUI новшества, bash заменен на zsh, Windows + Kali Desktop EXperience (Win-KeX) с поддержкой WSL2

Детали релиза, скриншоты интерфейсов:

https://www.kali.org/news/kali-2020-3-release/
⁠

Крипто-майнинговый червь крадет креды от AWS аккаунтов

Червь также крадет локальные учетные данные и сканирует интернет / сеть, при помощи masscan на предмет неправильно настроенных платформ Docker, после чего устанваливает свой экземпляр в докер контейнеры

Червь TeamTNT содержит код, скопированный с другого червя по имени Kinsing, который предназначен в том числе для остановки инструментария Alibaba Cloud Security

Добывает Monero, из пулов видно, что для добычи используются целые Kubernetes кластера и сервера сборки Jenkins

Рекомендации:

- Определите, какие системы хранят файлы учетных данных AWS, и удалите / защитите их должным образом
- Используйте правила брандмауэра, чтобы ограничить любой доступ к Docker API
- Проверяйте сетевой трафик на наличие подключений к пулам для майнинга или с использованием протокола майнинга Stratum

Детальный PoC:

https://www.cadosecurity.com/2020/08/17/teamtnt-the-first-crypto-mining-worm-to-steal-aws-credentials/

Upgrade from RHEL 6 to RHEL 7 / CentOS 6 to CentOS 7

Самый настоящий апдейт - процедура обновления, нативными средствами:

https://forum.sys-adm.in/t/upgrade-from-rhel-6-to-rhel-7/7231

P.S. Мне как-раз пригодилось. Спасибо @around84, автору поста

Однако

Social media data broker exposes nearly 235 million profiles scraped from Instagram, TikTok, and Youtube

- Profile name
- Full real name
- Profile photo
- Account denoscription
- Whether the profile belongs to a business or has advertisements

Statistics about follower engagement, including:
- Number of followers
- Engagement rate
- Follower growth rate
- Audience gender
- Audience age
- Audience location
- Likes
- Last post timestamp
- Age
- Gender

https://www.comparitech.com/blog/information-security/social-data-leak/

DDoS / Криптоминер бот Lucifer нацелен на Linux системы

Изначально он был нацелен на Windows платформы, на сегодня появился порт под Linux

Linux-версия Lucifer поддерживает DDoS-атаки на основе TCP, UCP, ICMP и HTTP включая HTTP GET/POST флуд

Последнее время все чаще и чаще встречается малварь нацеленная именно на Linux системы, системы контейнеров (внутри которых тоже крутится как правило Linux)

Поэтому сторонникам мнения "под Linux не вирусов", пора бы уже пересмотреть свою точку зрения (которую нужно было пересмотреть, как минимум несколько лет назад)

PoC:

https://www.netscout.com/blog/asert/lucifers-spawn

Еще один P2P ботнет, эксплуатирующий SSH (FRITZFROG)

Хороший повод задуматься над безопасностью SSH подключений и служб. Снова.

https://www.guardicore.com/2020/08/fritzfrog-p2p-botnet-infects-ssh-servers/

Dropbox мисспелл или как Ваши секретные данные могут быть доступны третьим лицам

https://www.forbes.com/sites/barrycollins/2020/08/19/a-typo-could-send-all-your-sensitive-dropbox-files-to-a-stranger

Credential Digger сканер захардкоженных кред в GitHub (Passwords, API Keys, Secret Keys, Tokens, personal information, etc)

https://github.com/SAP/credential-digger#requirements

Образ Windows 10, version 20H2 доступен для загрузки

Анонс - https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-10-version-20h2-available-for-commercial-pre-release/ba-p/1602750
Прямая ссылка на загрузку - https://www.microsoft.com/en-us/software-download/windows10ISO

Говорят там много нового - меню Пуск, Alt+Tab. переработана панель системных настроек (улучшен интерфейс), обновленный менеджер устройств…

Socks Over RDP / Socks Over Citrix

Совместимость SOCKS proxy с Terminal Services (или Remote Desktop Services) / Citrix (XenApp/XenDesktop)

https://github.com/nccgroup/SocksOverRDP

New BIND releases are available: 9.11.22, 9.16.6, and 9.17.4
https://www.mail-archive.com/bind-announce@lists.isc.org/msg00579.html

String-classifier - is a python module for detecting random string and hashes text/code

Автор Adobe. Средство (модуль) для обнаружения чуствительных данных (api ключей, паролей), санитайзинг логов

https://github.com/adobe/stringlifier

Btrfs Coming to Fedora 33
https://fedoramagazine.org/btrfs-coming-to-fedora-33/

#дайджест

- Уязвимость Chrony (служба времени NTP в Linux) позволяла перезаписать любой файл в системе - https://www.openwall.com/lists/oss-security/2020/08/21/1

- Веб-браузер Google Chrome содержит уязвимость в компоненте WebGL, которая может позволить пользователю выполнять произвольный код в контексте процесса браузера - https://blog.talosintelligence.com/2020/08/vuln-spotlight-chrome-use-free-aug-2020.html

- Не пропатченная фича Google Drive может быть использована злоумышленниками для распространения вредоносных файлов, замаскированных под легитимные документы или изображения https://thehackernews.com/2020/08/google-drive-file-versions.html

- Интернет-магазины на базе связки WordPress + WooCommerce подвержены риску эксплуатации уязвимости SQL инъекции. PoC - https://www.webarxsecurity.com/multiple-vulnerabilities-in-discount-rules-for-woocommerce-plugin/

- Freepik (портал векторных изображений, фотографий, иконок для сайтов, PSD теплейтов). Произошла утечка данных 8.3 миллионов пользователей, включая 4.5 миллиона не хешированных паролей - https://www.freepik.com/blog/statement-on-security-incident-at-freepik-company/

- TLSv1.3 будет по умолчанию включен в ОС Windows - https://www.microsoft.com/security/blog/2020/08/20/taking-transport-layer-security-tls-to-the-next-level-with-tls-1-3/a

WindowsSpyBlocker 🛡️написан на Go доставляется в единственном исполняемом файле, цель - блокировка трекинга / слежки в Windows системах

Не тестировал, но давно искал что-то подобное:

https://github.com/crazy-max/WindowsSpyBlocker

Кража локальных данных при помощи Safari Web Share API

macOS, iOS

PoC:

https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html

Использование Knockd в связке с Firewalld

Тот случай, когда сервер знает определенную последовательность “постукиваний” на сервер, когда сервер обнаруживает определенную последовательность обращений к порту(ам), он запускает команду, определенную в файле конфигурации.

Что в свою очередь может быть использовано для запуска той или иной команды, как например открытие порта или firewalld сервиса (в данном случае  ssh) для доступа на сервер:

https://sys-adm.in/systadm/nix/920-zashchishchaem-centos-server-pri-pomoshchi-knockd-firewalld.html