Porteus Kiosk - бесплатная, легкая (образ весит ~60Mb) универсальная система на базе Linux
Можно использовать для отображения информации, баннеров, так же использовать как интернет-киоск, в общедоступных веб-терминалах, школах, кафе, отелях и тп
Позволяет использовать только браузер, предотвращает вмешательство пользователей в настройки, установку, загрузку софта. После предварительной настройки и загрузки системы киоск открывает браузер (Firefox или Chrome) с указанной страницей. Собственно суть системы - сказал, настроил "запечатал" и забыл:
https://porteus-kiosk.org/index.html
Можно использовать для отображения информации, баннеров, так же использовать как интернет-киоск, в общедоступных веб-терминалах, школах, кафе, отелях и тп
Позволяет использовать только браузер, предотвращает вмешательство пользователей в настройки, установку, загрузку софта. После предварительной настройки и загрузки системы киоск открывает браузер (Firefox или Chrome) с указанной страницей. Собственно суть системы - сказал, настроил "запечатал" и забыл:
https://porteus-kiosk.org/index.html
porteus-kiosk.org
Porteus Kiosk - linux based kiosk software for web terminals.
Porteus Kiosk is a locked down linux operating system for public access computers. It is fast small and secure.
Adobe - новые патчи для Flash Player (critical)
Аффект - Windows, macOS and Linux. Произвольное выполнение кода из-под контекста пользователя:
https://helpx.adobe.com/security/products/flash-player/apsb20-58.html
Аффект - Windows, macOS and Linux. Произвольное выполнение кода из-под контекста пользователя:
https://helpx.adobe.com/security/products/flash-player/apsb20-58.html
Adobe
Adobe Security Bulletin
Security updates available for Adobe Flash Player | APSB20-58
Уязвимость Windows TCP/IP Remote Code Execution
Уязвимость удаленного выполнения кода возникает, когда стек Windows TCP / IP неправильно обрабатывает пакеты ICMPv6. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить возможность выполнять код на целевом сервере или клиенте.
Чтобы воспользоваться этой уязвимостью, злоумышленник должен отправить специально созданные пакеты ICMPv6 на удаленный компьютер Windows.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
Спасибо за ссылку другу канала ✌️
Уязвимость удаленного выполнения кода возникает, когда стек Windows TCP / IP неправильно обрабатывает пакеты ICMPv6. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить возможность выполнять код на целевом сервере или клиенте.
Чтобы воспользоваться этой уязвимостью, злоумышленник должен отправить специально созданные пакеты ICMPv6 на удаленный компьютер Windows.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
Спасибо за ссылку другу канала ✌️
Проблемы Windows и драйверов
Обычное дело. Описание актуальных проблем с драйверами и возможностью их решения:
https://docs.microsoft.com/en-us/windows/release-information/resolved-issues-windows-10-2004#1492msgdesc
Обычное дело. Описание актуальных проблем с драйверами и возможностью их решения:
https://docs.microsoft.com/en-us/windows/release-information/resolved-issues-windows-10-2004#1492msgdesc
Docs
Windows release health
Quickly find official information on Windows updates and servicing milestones. Access resources, tools, and news about known issues and safeguards to help you plan your next update. Want the latest Windows release health updates? Follow @WindowsUpdate on…
Шпионское ПО для Fitbit или как обойти проверки Google и Apple
В итоге собрать информацию об устройстве, местоположении, а так же - пол, возраст, вес, частота сердечных сокращений, так же можно получить доступ к данным календаря
Исследование на заданную тему от первого лица:
https://www.immersivelabs.com/resources/blog/fitbit-spyware/
В итоге собрать информацию об устройстве, местоположении, а так же - пол, возраст, вес, частота сердечных сокращений, так же можно получить доступ к данным календаря
Исследование на заданную тему от первого лица:
https://www.immersivelabs.com/resources/blog/fitbit-spyware/
Immersivelabs
Research: Can you build spyware for a Fitbit?
Kev Breen, Director of Cyber Threat Research, wrote a malicious Fitbit app that would bypass the protections in app stores. Here's what he found.
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Apple's T2 chip has an unfixable vulnerability that could allow root access | AppleInsider
https://appleinsider.com/articles/20/10/05/apples-mac-t2-chip-has-an-unfixable-vulnerability-that-could-allow-root-access
https://appleinsider.com/articles/20/10/05/apples-mac-t2-chip-has-an-unfixable-vulnerability-that-could-allow-root-access
AppleInsider
Apple's T2 chip has an unfixable vulnerability that could allow root access
Apple macOS devices with Intel processors and a T2 chip are vulnerable to an unfixable exploit that could give attackers root access, a cybersecurity researcher claims.
Lemon Duck или "злая утка-минер"
По сути это автоматически распространяющийся ботнет с целью майнинга Monero (XMR), со слов исследователей, это один из самых сложных ботнет с "несколькими интересными трюками в рукаве"
- Инфекционный Windows вектор - SMB, MSSQL, RDP, USB, EMAIL, MSHTA
- Linux вектор - Redis, Yarn, Sshcopy
География распространения почти по всему миру. Очень хороший разбор с примерами кода и workflow:
https://blog.talosintelligence.com/2020/10/lemon-duck-brings-cryptocurrency-miners.html
По сути это автоматически распространяющийся ботнет с целью майнинга Monero (XMR), со слов исследователей, это один из самых сложных ботнет с "несколькими интересными трюками в рукаве"
- Инфекционный Windows вектор - SMB, MSSQL, RDP, USB, EMAIL, MSHTA
- Linux вектор - Redis, Yarn, Sshcopy
География распространения почти по всему миру. Очень хороший разбор с примерами кода и workflow:
https://blog.talosintelligence.com/2020/10/lemon-duck-brings-cryptocurrency-miners.html
Cisco Talos Blog
Lemon Duck brings cryptocurrency miners back into the spotlight
By Vanja Svajcer, with contributions from Caitlin Huey.
* We are used to ransomware attacks and big-game hunting making headlines, but there are still methods adversaries use to monetize their efforts in less intrusive ways.
* Cisco Talos recently recorded…
* We are used to ransomware attacks and big-game hunting making headlines, but there are still methods adversaries use to monetize their efforts in less intrusive ways.
* Cisco Talos recently recorded…
Уязвимость BlueZ (Zero-Click) компроментирует Linux-based устройства
BlueZ - это официальный стек протоколов Bluetooth для Linux, уязвимость позволяет повысить привилегии, раскрыть информацию. Уязвимости подвержены Linux ядра начиная с версии 2.4.6 до 5.9
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html
PoC (от Google)
https://github.com/google/security-research/security/advisories/GHSA-h637-c88j-47wq
Детали о BlueZ
http://www.bluez.org/about/
BlueZ - это официальный стек протоколов Bluetooth для Linux, уязвимость позволяет повысить привилегии, раскрыть информацию. Уязвимости подвержены Linux ядра начиная с версии 2.4.6 до 5.9
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html
PoC (от Google)
https://github.com/google/security-research/security/advisories/GHSA-h637-c88j-47wq
Детали о BlueZ
http://www.bluez.org/about/
Intel
INTEL-SA-00435
Критические уязвимости SAP
Сапёры снова патчат свои продукты. Уязвимостей две:
1. Обход механизмов аутентификации
2. Инжектирование команд
Статус критичности по 10 бальной шкале - 10
Описание уязвимостей от исследователей:
https://onapsis.com/blog/sap-security-notes-October-2020
Сапёры снова патчат свои продукты. Уязвимостей две:
1. Обход механизмов аутентификации
2. Инжектирование команд
Статус критичности по 10 бальной шкале - 10
Описание уязвимостей от исследователей:
https://onapsis.com/blog/sap-security-notes-October-2020
Onapsis
SAP Security Patch Day October 2020: SAP Solution Manager and SAP Focused Run Affected by Two Critical Vulnerabilities
Discover the critical vulnerabilities affecting SAP Solution Manager and SAP Focused Run on the October SAP Security Patch Day.
Уязвимости SonicWall VPN
Критическая ошибка безопасности VPN-портала SonicWall может быть использована для DoS'а устройства, предотвращения подключения пользователей к корпоративным ресурсам, что также может открыть возможность для удаленного выполнения кода (RCE)
https://www.tripwire.com/state-of-security/vert/sonicwall-vpn-portal-critical-flaw-cve-2020-5135/
Критическая ошибка безопасности VPN-портала SonicWall может быть использована для DoS'а устройства, предотвращения подключения пользователей к корпоративным ресурсам, что также может открыть возможность для удаленного выполнения кода (RCE)
https://www.tripwire.com/state-of-security/vert/sonicwall-vpn-portal-critical-flaw-cve-2020-5135/
Tripwire
SonicWall VPN Portal Critical Flaw (CVE-2020-5135)
Tripwire VERT has identified a stack-based buffer overflow in SonicWall Network Security Appliance (NSA). The flaw can be triggered by an unauthenticated HTTP request involving a custom protocol handler. The vulnerability exists within the HTTP/HTTPS service…
HiveJack или дамп кред учетных записей Windows
Позволяет дампить данные реестра - SYSTEM, SECURITY, SAM, так же может удалить дампы
Нюансы - не дампит если на диске C нет каталога temp. Антивирус не дремлет...) Проверено, работает на Windows Server 2016
https://github.com/Viralmaniar/HiveJack
Позволяет дампить данные реестра - SYSTEM, SECURITY, SAM, так же может удалить дампы
Нюансы - не дампит если на диске C нет каталога temp. Антивирус не дремлет...) Проверено, работает на Windows Server 2016
https://github.com/Viralmaniar/HiveJack
GitHub
GitHub - Viralmaniar/HiveJack: This tool can be used during internal penetration testing to dump Windows credentials from an already…
This tool can be used during internal penetration testing to dump Windows credentials from an already-compromised host. It allows one to dump SYSTEM, SECURITY and SAM hives and once copied to the a...
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Анонс HashiCorp Waypoint
Инструмент, который обеспечивает рабочий процесс разработчика в разрезе создания, развертывания и выпуска приложений на любой платформе (большое количество поддерживаемых платформ):
https://www.hashicorp.com/blog/announcing-waypoint
Инструмент, который обеспечивает рабочий процесс разработчика в разрезе создания, развертывания и выпуска приложений на любой платформе (большое количество поддерживаемых платформ):
https://www.hashicorp.com/blog/announcing-waypoint
Твики Windows Terminal
Информация от "авторов"
https://devblogs.microsoft.com/commandline/windows-terminal-tips-and-tricks/
Информация от "авторов"
https://devblogs.microsoft.com/commandline/windows-terminal-tips-and-tricks/
Microsoft News
Windows Terminal Tips and Tricks
Windows Terminal comes with a lot of features that allow you to customize it and interact with it in a way that feels most comfortable to you. Let’s run through some tips and tricks that could help you set up your terminal in a way that’s perfect for you.
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Announcing HashiCorp Boundary
Open Source единый менеджер удаленных подключений (ssh, vpn и тп):
https://www.hashicorp.com/blog/hashicorp-boundary
Open Source единый менеджер удаленных подключений (ssh, vpn и тп):
https://www.hashicorp.com/blog/hashicorp-boundary
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Дамп NTLM хэшей Windows с расшифровкой / дальнейшим использованием
Получаем хэши юзеров (несколько способов) и потом или использоуем или расшифровываем:
https://sys-adm.in/systadm/windows/926-kak-sdelat-damp-ntlm-kheshej-windows.html
Получаем хэши юзеров (несколько способов) и потом или использоуем или расшифровываем:
https://sys-adm.in/systadm/windows/926-kak-sdelat-damp-ntlm-kheshej-windows.html
lab.sys-adm.in
Sys-Admin Laboratory
Open Sys-Admin BLD DNS - Focus on information for free with adblocking and implicit cybersecurity threat prevention.
В Visual Studio Code обнаружена уязвимость удаленного выполнения кода
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023
Выполнение произвольного кода Juniper
Эксплуатируется, если поднят telnetd. Workaround:
# delete system services telnet
# set system services ssh
# commit
Детали в официальном бюллетене:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11057&cat=SIRT_1&actp=LIST
Эксплуатируется, если поднят telnetd. Workaround:
# delete system services telnet
# set system services ssh
# commit
Детали в официальном бюллетене:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11057&cat=SIRT_1&actp=LIST
Множественные уязвимости HPE Intelligent Management Center (iMC)
Remote: Code Execution, Unauthorized Data Injection. Высокий уровень критичности.
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbnw04036en_us
За ссылку спасибо другу канала ✌️
Remote: Code Execution, Unauthorized Data Injection. Высокий уровень критичности.
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbnw04036en_us
За ссылку спасибо другу канала ✌️
Новая малварь "Vizom" нацелена на пользователей банков
В данном случае Бразильских банков. Вредоносное ПО выдает себя за легитимное, использует подмену DLL (DLL hijack), подменяет значение ярлыков для фактически всех известных браузеров (Opera, Firefox, Chrome, Edge) и специфичного банковского ПО, что интересно в итоге все ярлыка "завязываются" на другой, инфицированный браузер Vivaldi, который в свою очередь загружает Vizom.
К чему это приводит:
- К мониторингу браузера
- Соединению компьютера с сервером управления в реальном времени
- Возможности удаленного доступа
- Вредносному оверлею экрана
PoC:
https://securityintelligence.com/posts/vizom-malware-targets-brazilian-bank-customers-remote-overlay/
В данном случае Бразильских банков. Вредоносное ПО выдает себя за легитимное, использует подмену DLL (DLL hijack), подменяет значение ярлыков для фактически всех известных браузеров (Opera, Firefox, Chrome, Edge) и специфичного банковского ПО, что интересно в итоге все ярлыка "завязываются" на другой, инфицированный браузер Vivaldi, который в свою очередь загружает Vizom.
К чему это приводит:
- К мониторингу браузера
- Соединению компьютера с сервером управления в реальном времени
- Возможности удаленного доступа
- Вредносному оверлею экрана
PoC:
https://securityintelligence.com/posts/vizom-malware-targets-brazilian-bank-customers-remote-overlay/
Security Intelligence
New Vizom Malware Discovered Targets Brazilian Bank Customers with Remote Overlay Attacks
New banking malware code and an active campaign called Vizom uses spam to target users in Brazil. Take a look under the hood.
GravityRAT возвращение шпиона
Есть варианты под видом Android приложения для путешественников - Travel Mate, причем само приложение обладает достаточно полезными функциями для самих путешественников (маршруты, погода, интересные факты о местах назначений, создание списка путешественника и тп), под капотом - отсылка данных об устройстве, контактах, email адресов, различных форматов документов и изображений.
Есть вариации на .NET, Python, Electron. Исследование на заданную тему:
https://securelist.com/gravityrat-the-spy-returns/99097/
Есть варианты под видом Android приложения для путешественников - Travel Mate, причем само приложение обладает достаточно полезными функциями для самих путешественников (маршруты, погода, интересные факты о местах назначений, создание списка путешественника и тп), под капотом - отсылка данных об устройстве, контактах, email адресов, различных форматов документов и изображений.
Есть вариации на .NET, Python, Electron. Исследование на заданную тему:
https://securelist.com/gravityrat-the-spy-returns/99097/
Securelist
GravityRAT: The spy returns
In 2018, researchers at Cisco Talos published a post on the spyware GravityRAT, used to target the Indian armed forces. The Indian Computer Emergency Response Team (CERT-IN) first discovered (the document is currently not available at this link, but is
NTLMRawUnhide - Python3 скрипт предназначенный для парсинга cap* файлов и извлечения из них NTLMv2 хешей
Поддерживаемые форматы:
• *.pcap
• *.pcapng
• *.cap
• *.etl
https://github.com/mlgualtieri/NTLMRawUnHide
Поддерживаемые форматы:
• *.pcap
• *.pcapng
• *.cap
• *.etl
https://github.com/mlgualtieri/NTLMRawUnHide
GitHub
GitHub - mlgualtieri/NTLMRawUnHide: NTLMRawUnhide.py is a Python3 noscript designed to parse network packet capture files and extract…
NTLMRawUnhide.py is a Python3 noscript designed to parse network packet capture files and extract NTLMv2 hashes in a crackable format. The following binary network packet capture formats are supporte...