sophos-2021-threat-report.pdf
3.7 MB
Отчёт Sophos об ИТ/ИБ угрозах
Тренды, таргеты и тп
Тренды, таргеты и тп
Ransomware - Записки о выкупе теперь печатаются на принтерах
Авторы программ-вымогателей знают, что многие предприятия предпочли бы скрыть атаку программы-вымогателя, чем предать ее гласности, в том числе для сотрудников, из-за опасений, что новости могут повлиять на цены акций и их репутацию.
Программа-вымогатель Egregor использует новый подход, чтобы привлечь внимание жертвы после атаки - многократно печатает записки о выкупе со всех доступных принтеров.
https://www.bleepingcomputer.com/news/security/egregor-ransomware-bombards-victims-printers-with-ransom-notes/
Авторы программ-вымогателей знают, что многие предприятия предпочли бы скрыть атаку программы-вымогателя, чем предать ее гласности, в том числе для сотрудников, из-за опасений, что новости могут повлиять на цены акций и их репутацию.
Программа-вымогатель Egregor использует новый подход, чтобы привлечь внимание жертвы после атаки - многократно печатает записки о выкупе со всех доступных принтеров.
https://www.bleepingcomputer.com/news/security/egregor-ransomware-bombards-victims-printers-with-ransom-notes/
BleepingComputer
Egregor ransomware bombards victims' printers with ransom notes
The Egregor ransomware uses a novel approach to get a victim's attention after an attack - shoot ransom notes from all available printers.
Руководство по мониторингу подозрительной активности при помощи Sysinternals Sysmon
https://docs.microsoft.com/en-us/archive/blogs/motiba/sysinternals-sysmon-suspicious-activity-guide
https://docs.microsoft.com/en-us/archive/blogs/motiba/sysinternals-sysmon-suspicious-activity-guide
Docs
Sysinternals Sysmon suspicious activity guide
Те, кто сделал Let's Encrypt, делают инструменты для сбора анонимных метрик использования приложений конечными пользователями
Такие приложения, как веб-браузеры, мобильные приложения и веб-сайты, генерируют показатели, которые отсылаются разработчикам, по представленной идее инструментария данные будут должным образом анонимизированы и зашифрованы в едином месте..
С другой стороны, владельцы такого "шлюза" будут "править миром" как минимум маркетинга, а если сюда представить всю мощь потенциала Let's Encrypt...
В общем есть такая вот инициатива и Mozilla с 2018 года уже пробует этот метод, называемый Prio, можно представить сколько там информации собрано:
https://www.theregister.com/AMP/2020/11/18/isrg_prio_services/
Такие приложения, как веб-браузеры, мобильные приложения и веб-сайты, генерируют показатели, которые отсылаются разработчикам, по представленной идее инструментария данные будут должным образом анонимизированы и зашифрованы в едином месте..
С другой стороны, владельцы такого "шлюза" будут "править миром" как минимум маркетинга, а если сюда представить всю мощь потенциала Let's Encrypt...
В общем есть такая вот инициатива и Mozilla с 2018 года уже пробует этот метод, называемый Prio, можно представить сколько там информации собрано:
https://www.theregister.com/AMP/2020/11/18/isrg_prio_services/
The Register
The ones who brought you Let's Encrypt, bring you: Tools for gathering anonymized app usage metrics from netizens
Tech tackles two things: 'Aggregate statistics to improve an application, maintain the privacy of the people'
Kali Linux 2020.4 Release | Kali Linux
https://www.kali.org/news/kali-linux-2020-4-release/
https://www.kali.org/news/kali-linux-2020-4-release/
Kali Linux
Kali Linux 2020.4 Release (ZSH, Bash, CME, MOTD, AWS, Docs, Win-KeX & Vagrant) | Kali Linux Blog
We find ourselves in the 4th quarter of 2020, and we are ecstatic to announce the release of Kali Linux 2020.4, which is ready for immediate download or updating.
What’s different with this release since 2020.3 in August 2020 is:
ZSH is the new default shell…
What’s different with this release since 2020.3 in August 2020 is:
ZSH is the new default shell…
Уязвимость Drupal - удалённое выполнение кода (статус critical)
https://www.drupal.org/sa-core-2020-012
https://www.drupal.org/sa-core-2020-012
Drupal.org
Drupal core - Critical - Remote code execution - SA-CORE-2020-012
Update November 18: Documented longer list of dangerous file extensions Drupal core does not properly sanitize certain filenames on uploaded files, which can lead to files being interpreted as the incorrect extension and served as the wrong MIME type or executed…
Cloud native security for your clusters
Цель статьи состоит в том, чтобы смоделировать и внедрить безопасность в четыре логических этапа жизненного цикла облачных приложений: разработка, распространение, развертывание и выполнение
Вводная. Просто, концептуально:
https://kubernetes.io/blog/2020/11/18/cloud-native-security-for-your-clusters/
Цель статьи состоит в том, чтобы смоделировать и внедрить безопасность в четыре логических этапа жизненного цикла облачных приложений: разработка, распространение, развертывание и выполнение
Вводная. Просто, концептуально:
https://kubernetes.io/blog/2020/11/18/cloud-native-security-for-your-clusters/
Kubernetes
Cloud native security for your clusters
Over the last few years a small, security focused community has been working diligently to deepen our understanding of security, given the evolving cloud native infrastructure and corresponding iterative deployment practices. To enable sharing of this knowledge…
Патчи для VMware SD-WAN Orchestrator
Тот случай когда не авторизованный атакующий может положить всю сеть
https://www.vmware.com/security/advisories/VMSA-2020-0025.html
Тот случай когда не авторизованный атакующий может положить всю сеть
https://www.vmware.com/security/advisories/VMSA-2020-0025.html
Более отзывчивые/быстрые веб-сайты/приложения/ API-интерфейсы и сети напрямую повышают конверсию и удобство для пользователей/посетителей web-ресурсов...
Google Search например будет напрямую учитывать (всегда учитывал, а теперь особенно) данные о веб-производительности при ранжировании результатов на страницах результатов своей поисковой выдачи...
Немного о том, как Cloudflare помогает улучшить поисковую выдачу/отрисовку контента:
https://blog.cloudflare.com/improving-performance-and-search-rankings-with-cloudflare-for-fun-and-profit/
Google Search например будет напрямую учитывать (всегда учитывал, а теперь особенно) данные о веб-производительности при ранжировании результатов на страницах результатов своей поисковой выдачи...
Немного о том, как Cloudflare помогает улучшить поисковую выдачу/отрисовку контента:
https://blog.cloudflare.com/improving-performance-and-search-rankings-with-cloudflare-for-fun-and-profit/
The Cloudflare Blog
Improving Performance and Search Rankings with Cloudflare for Fun and Profit
Making things fast is one of the things we do at Cloudflare. More responsive websites, apps, APIs, and networks directly translate into improved conversion and user experience.
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Transitioning from Docker to Podman - Red Hat Developer
https://developers.redhat.com/blog/2020/11/19/transitioning-from-docker-to-podman/
https://developers.redhat.com/blog/2020/11/19/transitioning-from-docker-to-podman/
Red Hat Developer
How to transition from Docker to Podman | Red Hat Developer
Podman is an excellent alternative to Docker containers when you need increased security, unique identifier (UID) separation using namespaces, and integration with systemd. In this article, I use
Пока все говорили про zoom, cisco webex потихоньку слушали, сливали митинги и дёргали информацию об участниках (включая email / ip адреса)
Но про это почему-то никто не кричит на всех закоулках 🤔
https://securityintelligence.com/posts/ibm-works-with-cisco-exorcise-ghosts-webex-meetings/
Но про это почему-то никто не кричит на всех закоулках 🤔
https://securityintelligence.com/posts/ibm-works-with-cisco-exorcise-ghosts-webex-meetings/
Security Intelligence
IBM Works With Cisco to Exorcise Ghosts From Webex Meetings
IBM found openings in Webex Meetings that could let 'ghosts' listen in. Now patched, the vulnerabilities show the importance of securing remote work tools.
Critical - VMware ESXi, Workstation
Privilege escalation vulnerabilities
https://www.vmware.com/security/advisories/VMSA-2020-0026.html
Privilege escalation vulnerabilities
https://www.vmware.com/security/advisories/VMSA-2020-0026.html
Setting up a Dev VM with Vagrant
Детальный гайд по работе с Vagrant
https://laredoute.io/blog/setting-up-a-dev-vm-with-vagrant/
Детальный гайд по работе с Vagrant
https://laredoute.io/blog/setting-up-a-dev-vm-with-vagrant/
Smartdump - создаёт дампы выбранных таблиц MySQL вместе с зависимостями
https://github.com/BenMorel/smartdump
https://github.com/BenMorel/smartdump
GitHub
GitHub - BenMorel/smartdump: Dumps selected MySQL tables together with their relationships
Dumps selected MySQL tables together with their relationships - BenMorel/smartdump
Подборка ссылок по PCI DSS AWS
- FAQ - https://aws.amazon.com/ru/compliance/pci-dss-level-1-faqs/
- Подборка сервисов, которые соответствуют PCI - https://aws.amazon.com/ru/compliance/services-in-scope/
- Модель общей ответственности - https://aws.amazon.com/ru/compliance/shared-responsibility-model/
Еще
- https://aws.amazon.com/compliance/pci-dss-level-1-faqs/#:~:text=Yes%2C%20Amazon%20Web%20Services%20(AWS,Qualified%20Security%20Assessor%20(QSA).
Подборка ссылок по PCI DSS AWS
- FAQ - https://aws.amazon.com/ru/compliance/pci-dss-level-1-faqs/
- Подборка сервисов, которые соответствуют PCI - https://aws.amazon.com/ru/compliance/services-in-scope/
- Модель общей ответственности - https://aws.amazon.com/ru/compliance/shared-responsibility-model/
Еще
- https://aws.amazon.com/compliance/pci-dss-level-1-faqs/#:~:text=Yes%2C%20Amazon%20Web%20Services%20(AWS,Qualified%20Security%20Assessor%20(QSA).
Amazon
Соответствие требованиям PCI – Amazon Web Services (AWS)
Все организации, обрабатывающие данные кредитных карт, должны иметь сертификат PCI. Узнайте, как соответствие AWS стандарту может помочь вашей компании.
VMware - command injection vulnerability (critical)
Испоавлений нет, есть workaround, уязвимость влияет как на операционные системы Windows, так и дистрибутивы Linux, так и на Workspace One.
https://www.vmware.com/security/advisories/VMSA-2020-0027.html
Информация об уязвимости на сайте CISA
https://us-cert.cisa.gov/ncas/current-activity/2020/11/23/vmware-releases-workarounds-cve-2020-4006
Испоавлений нет, есть workaround, уязвимость влияет как на операционные системы Windows, так и дистрибутивы Linux, так и на Workspace One.
https://www.vmware.com/security/advisories/VMSA-2020-0027.html
Информация об уязвимости на сайте CISA
https://us-cert.cisa.gov/ncas/current-activity/2020/11/23/vmware-releases-workarounds-cve-2020-4006
Найдена публичная БД Elasticsearch содержащую более 380 миллионов записей, включая учетные данные для входа, проверяемые с помощью сервиса Spotify
Возможно это какая-то компания, так как БД похоже не имеет отношения к самому Spotify. БД весит 72Гб и содержит:
- Имена пользователей и пароли учетных записей проверяются на Spotify
- Адреса электронной почты
- Страну проживания
- Множество IP адресов (возможно адреса прокси-серверов операторов компании)
Потенциальные последствия могут быть разные:
- фишинговые атаки
- финансовые мошеннические операции
- злоупотребление счетами пользователей сервиса
Рекомендуется пользователям Spotify сменить как минимум пароли от своих учетных записей
Информация от первого лица:
https://www.vpnmentor.com/blog/report-spotify-scam/
Возможно это какая-то компания, так как БД похоже не имеет отношения к самому Spotify. БД весит 72Гб и содержит:
- Имена пользователей и пароли учетных записей проверяются на Spotify
- Адреса электронной почты
- Страну проживания
- Множество IP адресов (возможно адреса прокси-серверов операторов компании)
Потенциальные последствия могут быть разные:
- фишинговые атаки
- финансовые мошеннические операции
- злоупотребление счетами пользователей сервиса
Рекомендуется пользователям Spotify сменить как минимум пароли от своих учетных записей
Информация от первого лица:
https://www.vpnmentor.com/blog/report-spotify-scam/
vpnMentor
Report: Spotify Targeted in Potential Fraud Scheme
Led by Noam Rotem and Ran Locar, vpnMentor’s research team has discovered a possible credential stuffing operation whose origins are unknown, but that affected some online users
WAPDropper - вредоносное ПО для Android, подписывающее жертв на премиальные услуги
WAPDropper начинает со сбора данных об устройстве и системе жертвы, включая:
- Идентификатор устройства
- MAC-адрес
- ID подписчика
- Модель устройства
- Список всех установленных приложений
- Список запущенных сервисов
- Количество свободного места для хранения
- Общий объем RAM и доступная RAM
- Список несистемных приложений
А подписывает он на поставщиков телекоммуникационных услуг Таиланда и Малайзии
Детальный PoC:
https://research.checkpoint.com/2020/enter-wapdropper-subscribe-users-to-premium-services-by-telecom-companies/
WAPDropper начинает со сбора данных об устройстве и системе жертвы, включая:
- Идентификатор устройства
- MAC-адрес
- ID подписчика
- Модель устройства
- Список всех установленных приложений
- Список запущенных сервисов
- Количество свободного места для хранения
- Общий объем RAM и доступная RAM
- Список несистемных приложений
А подписывает он на поставщиков телекоммуникационных услуг Таиланда и Малайзии
Детальный PoC:
https://research.checkpoint.com/2020/enter-wapdropper-subscribe-users-to-premium-services-by-telecom-companies/
Check Point Research
Enter WAPDropper – An Android Malware Subscribing Victims To Premium Services By Telecom Companies - Check Point Research
Research by: Aviran Hazum, Danil Golubenko, Ohad Mana Overview Check Point researchers recently encountered WAPDropper, a new malware which downloads and executes an additional payload. In the current campaign, it drops a WAP premium dialer which subscribes…
Blackrota - запутанный бэкдор, написанный на Go
А использует этот бэкдор уязвимость несанкционированного доступа в Docker Remote API
PoC:
https://blog.netlab.360.com/blackrota-an-obfuscated-backdoor-written-in-go-en/
А использует этот бэкдор уязвимость несанкционированного доступа в Docker Remote API
PoC:
https://blog.netlab.360.com/blackrota-an-obfuscated-backdoor-written-in-go-en/
Вредоносное ПО создает мошеннические интернет-магазины на взломанных сайтах WordPress
Исследование от первого лица:
https://blogs.akamai.com/sitr/2020/11/wordpress-malware-setting-up-seo-shops.html
Исследование от первого лица:
https://blogs.akamai.com/sitr/2020/11/wordpress-malware-setting-up-seo-shops.html
GitHub - yardenshafir/CVE-2020-1034: PoC demonstrating the use of cve-2020-1034 for privilege escalation
https://github.com/yardenshafir/CVE-2020-1034
https://github.com/yardenshafir/CVE-2020-1034
GitHub
GitHub - yardenshafir/CVE-2020-1034: PoC demonstrating the use of cve-2020-1034 for privilege escalation
PoC demonstrating the use of cve-2020-1034 for privilege escalation - yardenshafir/CVE-2020-1034