Крипто-майнинговый червь крадет креды от AWS аккаунтов

Червь также крадет локальные учетные данные и сканирует интернет / сеть, при помощи masscan на предмет неправильно настроенных платформ Docker, после чего устанваливает свой экземпляр в докер контейнеры

Червь TeamTNT содержит код, скопированный с другого червя по имени Kinsing, который предназначен в том числе для остановки инструментария Alibaba Cloud Security

Добывает Monero, из пулов видно, что для добычи используются целые Kubernetes кластера и сервера сборки Jenkins

Рекомендации:

- Определите, какие системы хранят файлы учетных данных AWS, и удалите / защитите их должным образом
- Используйте правила брандмауэра, чтобы ограничить любой доступ к Docker API
- Проверяйте сетевой трафик на наличие подключений к пулам для майнинга или с использованием протокола майнинга Stratum

Детальный PoC:

https://www.cadosecurity.com/2020/08/17/teamtnt-the-first-crypto-mining-worm-to-steal-aws-credentials/

Upgrade from RHEL 6 to RHEL 7 / CentOS 6 to CentOS 7

Самый настоящий апдейт - процедура обновления, нативными средствами:

https://forum.sys-adm.in/t/upgrade-from-rhel-6-to-rhel-7/7231

P.S. Мне как-раз пригодилось. Спасибо @around84, автору поста

Однако

Social media data broker exposes nearly 235 million profiles scraped from Instagram, TikTok, and Youtube

- Profile name
- Full real name
- Profile photo
- Account denoscription
- Whether the profile belongs to a business or has advertisements

Statistics about follower engagement, including:
- Number of followers
- Engagement rate
- Follower growth rate
- Audience gender
- Audience age
- Audience location
- Likes
- Last post timestamp
- Age
- Gender

https://www.comparitech.com/blog/information-security/social-data-leak/

DDoS / Криптоминер бот Lucifer нацелен на Linux системы

Изначально он был нацелен на Windows платформы, на сегодня появился порт под Linux

Linux-версия Lucifer поддерживает DDoS-атаки на основе TCP, UCP, ICMP и HTTP включая HTTP GET/POST флуд

Последнее время все чаще и чаще встречается малварь нацеленная именно на Linux системы, системы контейнеров (внутри которых тоже крутится как правило Linux)

Поэтому сторонникам мнения "под Linux не вирусов", пора бы уже пересмотреть свою точку зрения (которую нужно было пересмотреть, как минимум несколько лет назад)

PoC:

https://www.netscout.com/blog/asert/lucifers-spawn

Еще один P2P ботнет, эксплуатирующий SSH (FRITZFROG)

Хороший повод задуматься над безопасностью SSH подключений и служб. Снова.

https://www.guardicore.com/2020/08/fritzfrog-p2p-botnet-infects-ssh-servers/

Dropbox мисспелл или как Ваши секретные данные могут быть доступны третьим лицам

https://www.forbes.com/sites/barrycollins/2020/08/19/a-typo-could-send-all-your-sensitive-dropbox-files-to-a-stranger

Credential Digger сканер захардкоженных кред в GitHub (Passwords, API Keys, Secret Keys, Tokens, personal information, etc)

https://github.com/SAP/credential-digger#requirements

Образ Windows 10, version 20H2 доступен для загрузки

Анонс - https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-10-version-20h2-available-for-commercial-pre-release/ba-p/1602750
Прямая ссылка на загрузку - https://www.microsoft.com/en-us/software-download/windows10ISO

Говорят там много нового - меню Пуск, Alt+Tab. переработана панель системных настроек (улучшен интерфейс), обновленный менеджер устройств…

Socks Over RDP / Socks Over Citrix

Совместимость SOCKS proxy с Terminal Services (или Remote Desktop Services) / Citrix (XenApp/XenDesktop)

https://github.com/nccgroup/SocksOverRDP

New BIND releases are available: 9.11.22, 9.16.6, and 9.17.4
https://www.mail-archive.com/bind-announce@lists.isc.org/msg00579.html

String-classifier - is a python module for detecting random string and hashes text/code

Автор Adobe. Средство (модуль) для обнаружения чуствительных данных (api ключей, паролей), санитайзинг логов

https://github.com/adobe/stringlifier

Btrfs Coming to Fedora 33
https://fedoramagazine.org/btrfs-coming-to-fedora-33/

#дайджест

- Уязвимость Chrony (служба времени NTP в Linux) позволяла перезаписать любой файл в системе - https://www.openwall.com/lists/oss-security/2020/08/21/1

- Веб-браузер Google Chrome содержит уязвимость в компоненте WebGL, которая может позволить пользователю выполнять произвольный код в контексте процесса браузера - https://blog.talosintelligence.com/2020/08/vuln-spotlight-chrome-use-free-aug-2020.html

- Не пропатченная фича Google Drive может быть использована злоумышленниками для распространения вредоносных файлов, замаскированных под легитимные документы или изображения https://thehackernews.com/2020/08/google-drive-file-versions.html

- Интернет-магазины на базе связки WordPress + WooCommerce подвержены риску эксплуатации уязвимости SQL инъекции. PoC - https://www.webarxsecurity.com/multiple-vulnerabilities-in-discount-rules-for-woocommerce-plugin/

- Freepik (портал векторных изображений, фотографий, иконок для сайтов, PSD теплейтов). Произошла утечка данных 8.3 миллионов пользователей, включая 4.5 миллиона не хешированных паролей - https://www.freepik.com/blog/statement-on-security-incident-at-freepik-company/

- TLSv1.3 будет по умолчанию включен в ОС Windows - https://www.microsoft.com/security/blog/2020/08/20/taking-transport-layer-security-tls-to-the-next-level-with-tls-1-3/a

WindowsSpyBlocker 🛡️написан на Go доставляется в единственном исполняемом файле, цель - блокировка трекинга / слежки в Windows системах

Не тестировал, но давно искал что-то подобное:

https://github.com/crazy-max/WindowsSpyBlocker

Кража локальных данных при помощи Safari Web Share API

macOS, iOS

PoC:

https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html

Использование Knockd в связке с Firewalld

Тот случай, когда сервер знает определенную последовательность “постукиваний” на сервер, когда сервер обнаруживает определенную последовательность обращений к порту(ам), он запускает команду, определенную в файле конфигурации.

Что в свою очередь может быть использовано для запуска той или иной команды, как например открытие порта или firewalld сервиса (в данном случае  ssh) для доступа на сервер:

https://sys-adm.in/systadm/nix/920-zashchishchaem-centos-server-pri-pomoshchi-knockd-firewalld.html

Паблик превью Application Guard от MS

Защита доверенных ресурсов от не доверенных источников.

Официальная инструкция по деплою:

https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/install-app-guard?view=o365-worldwide

Обеспечение безопасности инфраструктуры 5G. Тезисный материал от CISA (Cybersecurity and Infrastructure Security Agency)

Новый релиз Chrome 85 с фиксами безопасности

Всего фиксов порядка 20, обновление доступно для Windows, Mac и Linux, обновиться можно прямо сейчас:

https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop_25.html

D(COM) V(ulnerability) S(canner)

Можно использовать как модуль PowerShell, может быть крайне полезен Windows админам и безопасникам:

https://github.com/ScorpionesLabs/DVS

Пример работы:

https://youtu.be/FAjwybmFJAA

Swap Detector - Clang Static Analyzer Plugin

Может быть использован так же с PyLint. В программировании функция swap() присваивает переменным значения друг друга. Данный модуль проверяет такие вызовы в программном коде. Авторы, одна из компаний занимающихся кибербезопасностью:

https://github.com/GrammaTech/swap-detector

Индустриальный шпионаж при помощи уязвимостей продуктов Autodesk. Отчет.

Информация об уязвимостях на официальном сайте Autodesk (есть low, medium, high, critical):

https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0005?_ga=2.195054248.546884189.1597408951-950846007.1597408951