Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
CWiCCS (Check Windows and Control Configs and Security) - PowerShell инструмент для проверки и контроля Windows конфигураций
CWiCCS - это аббревиатура от полного названия инструмента - Check Windows and Control Configs and Security. В базовом варианте, это PowerShell инструмент для проверки и контроля Windows конфигураций, в том числе конфигураций связанных с безопасностью ОС.
CWiCCS можно использовать в том числе для поиска мисконфигов в ОС Windows, или как ПО для сканирования GPO Security Options, Passwords / Audit политик АД / Локальных политик на соответствия требованиям ИБ (или собственным требованиям, которые можно определять к кастомных профилях проверки систем). Работает локально и из сетевых шар, может складывать HTML отчеты туда-же в шары.
- Тестировано на Windows 2012 - 2019. PowerShell v5-v6
- Скоро будет вариант под Windows 10 и адаптация под PowerShell v7
https://sys-adm.in/systadm/windows/933-cwiccs-check-windows-and-control-configs-and-security-powershell-instrument-dlya-proverki-i-kontrolya-windows-konfiguratsij.html
CWiCCS - это аббревиатура от полного названия инструмента - Check Windows and Control Configs and Security. В базовом варианте, это PowerShell инструмент для проверки и контроля Windows конфигураций, в том числе конфигураций связанных с безопасностью ОС.
CWiCCS можно использовать в том числе для поиска мисконфигов в ОС Windows, или как ПО для сканирования GPO Security Options, Passwords / Audit политик АД / Локальных политик на соответствия требованиям ИБ (или собственным требованиям, которые можно определять к кастомных профилях проверки систем). Работает локально и из сетевых шар, может складывать HTML отчеты туда-же в шары.
- Тестировано на Windows 2012 - 2019. PowerShell v5-v6
- Скоро будет вариант под Windows 10 и адаптация под PowerShell v7
https://sys-adm.in/systadm/windows/933-cwiccs-check-windows-and-control-configs-and-security-powershell-instrument-dlya-proverki-i-kontrolya-windows-konfiguratsij.html
lab.sys-adm.in
Sys-Admin Laboratory
Open Sys-Admin BLD DNS - Focus on information for free with adblocking and implicit cybersecurity threat prevention.
Sys-Admin InfoSec pinned «CWiCCS (Check Windows and Control Configs and Security) - PowerShell инструмент для проверки и контроля Windows конфигураций CWiCCS - это аббревиатура от полного названия инструмента - Check Windows and Control Configs and Security. В базовом варианте, это…»
Neurax: A library for constructing self-spreading binaries
С помощью Neurax двоичные файлы Golang могут распространяться по локальной сети без использования внешних серверов.
Разнообразные параметры конфигурации и этапы команд позволяют быстро распространяться в различных беспроводных средах.
https://github.com/redcode-labs/Neurax
С помощью Neurax двоичные файлы Golang могут распространяться по локальной сети без использования внешних серверов.
Разнообразные параметры конфигурации и этапы команд позволяют быстро распространяться в различных беспроводных средах.
https://github.com/redcode-labs/Neurax
GitHub
GitHub - redcode-labs/neurax: A framework for constructing self-spreading binaries
A framework for constructing self-spreading binaries - redcode-labs/neurax
После установки новых feature обновлений Windows 10 нередко возникают ошибки, проблемы с производительностью / сбои, которые требуют отката установленных компонент до тех пор, пока ошибки не будут исправлены
По умолчанию Microsoft позволяет пользователям в течение десяти дней удалить установленное обновление Windows 10 и вернуться к предыдущей версии операционной системы, это делается в разделе Recovery:
Start > Settings > Update & Security > Recovery
Этот порог, при помощи CMD можно увеличить до 60 дней:
https://www.bleepingcomputer.com/news/microsoft/how-to-get-more-time-to-uninstall-windows-10-feature-updates/
По умолчанию Microsoft позволяет пользователям в течение десяти дней удалить установленное обновление Windows 10 и вернуться к предыдущей версии операционной системы, это делается в разделе Recovery:
Start > Settings > Update & Security > Recovery
Этот порог, при помощи CMD можно увеличить до 60 дней:
DISM /Online /Set-OSUninstallWindow /Value:59https://www.bleepingcomputer.com/news/microsoft/how-to-get-more-time-to-uninstall-windows-10-feature-updates/
BleepingComputer
How to get more time to uninstall Windows 10 feature updates
By default, Microsoft allows users ten days to uninstall a new Windows 10 feature update and roll back to a previous version of the operating system. In this article, we will show you how to increase your 'OS uninstall window' to give you more time to test…
New MacOS Backdoor Connected to OceanLotus Surfaces
PoC
https://www.trendmicro.com/en_us/research/20/k/new-macos-backdoor-connected-to-oceanlotus-surfaces.html
PoC
https://www.trendmicro.com/en_us/research/20/k/new-macos-backdoor-connected-to-oceanlotus-surfaces.html
Trend Micro
New MacOS Backdoor Connected to OceanLotus Surfaces
We recently discovered a new backdoor we believe to be related to the OceanLotus group. Some of the updates of this new variant include new behavior and domain names.
Множественные уязвимости WebKit
Позволяют и удаленное исполнение кода и произвольное исполнение кода и много чего еще
Кто не знает WebKit - это открытый движок для отображения веб-страниц, используется во многих программах и браузерах (например Safari)
https://blog.talosintelligence.com/2020/11/vuln-spotlight-webkit-use-after-free-nov-2020.html
Сайт WebKit
https://webkit.org/
Позволяют и удаленное исполнение кода и произвольное исполнение кода и много чего еще
Кто не знает WebKit - это открытый движок для отображения веб-страниц, используется во многих программах и браузерах (например Safari)
https://blog.talosintelligence.com/2020/11/vuln-spotlight-webkit-use-after-free-nov-2020.html
Сайт WebKit
https://webkit.org/
Cisco Talos Blog
Vulnerability Spotlight: Multiple vulnerabilities in WebKit
Marcin “Icewall” Noga of Cisco Talos discovered these vulnerabilities. Blog by Jon Munshaw.
Executive summary
The WebKit browser engine contains multiple vulnerabilities in various functions of the software. A malicious web page code could trigger multiple…
Executive summary
The WebKit browser engine contains multiple vulnerabilities in various functions of the software. A malicious web page code could trigger multiple…
Шестые релизы дистрибутивов. CentOS 6/RHEL 6, Scientific Linux 6 подошли к концу. Oracle Linux 6 будет прекращена поддержка в следующем году
https://www.mail-archive.com/scientific-linux-announce@listserv.fnal.gov/msg00057.html
Oracle ELSP
https://www.oracle.com/a/ocom/docs/elsp-lifetime-069338.pdf
https://www.mail-archive.com/scientific-linux-announce@listserv.fnal.gov/msg00057.html
Oracle ELSP
https://www.oracle.com/a/ocom/docs/elsp-lifetime-069338.pdf
Уязвимости в системе управления конфигурациями SaltStack
Из интересного:
- Внедрение кода/комманд неаутентифицированным пользователем при использовании salt-api через ssh-клиента
- Обход механизмов аутентификации
https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/
PoC по внедрению команд
https://www.thezdi.com/blog/2020/11/24/detailing-saltstack-salt-command-injection-vulnerabilities
Из интересного:
- Внедрение кода/комманд неаутентифицированным пользователем при использовании salt-api через ssh-клиента
- Обход механизмов аутентификации
https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/
PoC по внедрению команд
https://www.thezdi.com/blog/2020/11/24/detailing-saltstack-salt-command-injection-vulnerabilities
Gootkit banker / Вымогатель-шифровальщик REvil нацелены на жителей Германии
В компании используются скомпрометированные веб-сайты побуждающие посетителей загрузить вредоносное ПО при помощи социальной инженерии
Gootkit - это троян, который собирает нажатия клавиш, делает видеозаписи и тп, предназначен для хищения финансовой информации, что интересно:
- взломанные сайты активно используют SEO технологии (технологии поисковой оптимизации)
- используется безфайловый процесс заражения при помощи скрипта, который содержится внутри загруженного жертвой архива
- инит-скрипт, это js скрипт, обфусцированный в несколько "слоев"
- далее загружается powershell скрипт и запускается в обход политики исполнения PS
- далее происходит деплой малвари
Детальное исследование:
https://blog.malwarebytes.com/threat-analysis/2020/11/german-users-targeted-with-gootkit-banker-or-revil-ransomware/
В компании используются скомпрометированные веб-сайты побуждающие посетителей загрузить вредоносное ПО при помощи социальной инженерии
Gootkit - это троян, который собирает нажатия клавиш, делает видеозаписи и тп, предназначен для хищения финансовой информации, что интересно:
- взломанные сайты активно используют SEO технологии (технологии поисковой оптимизации)
- используется безфайловый процесс заражения при помощи скрипта, который содержится внутри загруженного жертвой архива
- инит-скрипт, это js скрипт, обфусцированный в несколько "слоев"
- далее загружается powershell скрипт и запускается в обход политики исполнения PS
- далее происходит деплой малвари
Детальное исследование:
https://blog.malwarebytes.com/threat-analysis/2020/11/german-users-targeted-with-gootkit-banker-or-revil-ransomware/
njRAT - это троян для кражи информации, который использовался в массовых атаках, в результате которых в 2014 году Microsoft закрыла 4 миллиона сайтов
На сегодня снова обнаружена его активность в npm:
https://blog.sonatype.com/bladabindi-njrat-rat-in-jdb.js-npm-malware
На сегодня снова обнаружена его активность в npm:
https://blog.sonatype.com/bladabindi-njrat-rat-in-jdb.js-npm-malware
Sonatype
There's a RAT in my code: New npm malware with Bladabindi trojan spotted
Sonatype discovered new malware within the npm registry, jdb.js and db-json.
Продолжение истории про Android Go SMS Pro
Проблема в том, что данные приложения (которыми обменивались пользователи) хранились с недостаточной безопасностью, разработчики выпустили обновление, но как оказалось это "полуисправление" не решает проблему, как надо..
К слову сказать приложение было установлено более 100млн раз
Исследование:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/go-sms-pro-vulnerable-to-file-theft-part-2/
Проблема в том, что данные приложения (которыми обменивались пользователи) хранились с недостаточной безопасностью, разработчики выпустили обновление, но как оказалось это "полуисправление" не решает проблему, как надо..
К слову сказать приложение было установлено более 100млн раз
Исследование:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/go-sms-pro-vulnerable-to-file-theft-part-2/
Trustwave
GO SMS Pro Vulnerable to File Theft: Part 2
Last week we released an advisory about an SMS app called GO SMS Pro. Media files sent via text in the app are stored insecurely on a publicly accessible server. With some very minor noscripting, it is trivial to throw a wide net around that content. While…
Docker malware is now common, so devs need to take Docker security seriously
Докер в опасности, снова:
https://www.zdnet.com/google-amp/article/docker-malware-is-now-common-so-devs-need-to-take-docker-security-seriously/
Докер в опасности, снова:
https://www.zdnet.com/google-amp/article/docker-malware-is-now-common-so-devs-need-to-take-docker-security-seriously/
Xanthe - майнер с поддержкой Docker
Атакует "не осекуренные" контейнеры Docker
Что интересно, имеет несколько модулей:
- Модуль скрытия процессов
- Сценарий для отключения других майнеров и служб безопасности
- Сценарий для удаления контейнеров Docker с конкурирующими троянами для майнинга криптовалюты
https://blog.talosintelligence.com/2020/12/xanthe-docker-aware-miner.html?m=1#more
Необходимо помнить - контроль конфигураций, мониторинг - не забывай об этих вещах уважаемый подписчик :)
Атакует "не осекуренные" контейнеры Docker
Что интересно, имеет несколько модулей:
- Модуль скрытия процессов
- Сценарий для отключения других майнеров и служб безопасности
- Сценарий для удаления контейнеров Docker с конкурирующими троянами для майнинга криптовалюты
https://blog.talosintelligence.com/2020/12/xanthe-docker-aware-miner.html?m=1#more
Необходимо помнить - контроль конфигураций, мониторинг - не забывай об этих вещах уважаемый подписчик :)
Cisco Talos Blog
Xanthe - Docker aware miner
By Vanja Svajcer and Adam Pridgen, Cisco Incident Command
NEWS SUMMARY
* Ransomware attacks and big-game hunting making the headlines, but adversaries use plenty of other methods to monetize their efforts in less intrusive ways.
* Cisco Talos recently…
NEWS SUMMARY
* Ransomware attacks and big-game hunting making the headlines, but adversaries use plenty of other methods to monetize their efforts in less intrusive ways.
* Cisco Talos recently…
Удаленная эксплуатация уязвимости повреждения памяти ядра без проверки подлинности, которая приводит к перезагрузке устройств iOS
В случае успешной эксплуатации уязвимости на любом близлежащем устройстве iOS (да “виноват” wifi) возможно кража/просмотр всех пользовательских данных в том числе
Большая статья, много и подробно рассказывается о данной уязвимости и сопутсвующих механизмах связанных с ее эксплуатацией, есть демонстрация работы, уявимость закрыта в iOS 13.5 в мае текущего года:
https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html
В случае успешной эксплуатации уязвимости на любом близлежащем устройстве iOS (да “виноват” wifi) возможно кража/просмотр всех пользовательских данных в том числе
Большая статья, много и подробно рассказывается о данной уязвимости и сопутсвующих механизмах связанных с ее эксплуатацией, есть демонстрация работы, уявимость закрыта в iOS 13.5 в мае текущего года:
https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html
Blogspot
An iOS zero-click radio proximity exploit odyssey
Posted by Ian Beer, Project Zero NOTE: This specific issue was fixed before the launch of Privacy-Preserving Contact Tracing in iOS 13.5 in...
Red_Kangaroo.pdf
3.6 MB
Более 50% образов в Docker Hub содержат критические уязвимости
Компания по обеспечению безопасности контейнеров Prevasio проанализировала 4 миллиона общедоступных образов контейнеров Docker, размещенных в Docker Hub, и обнаружила, что более половины из них имеют критические уязвимости, а тысячи образов содержат вредоносные или потенциально опасные элементы
Отчёт на эту тему
Компания по обеспечению безопасности контейнеров Prevasio проанализировала 4 миллиона общедоступных образов контейнеров Docker, размещенных в Docker Hub, и обнаружила, что более половины из них имеют критические уязвимости, а тысячи образов содержат вредоносные или потенциально опасные элементы
Отчёт на эту тему
Исследование - как DarkIRC атакует Oracle WebLogic
Не пропатченных серверов достаточно большое количество (только доступных из сети Интернет авторы статьи нашли 3109 штук), уязвимость в случае успешного использования позволяет выполнять удаленный код без проверки подлинности.
Во время атаки DarkIRC в том числе с целью защиты от песочницы пытается распознать тип гипервизора который обслуживает сервера с WebLogic
- VMware
- VirtualBox
- Qemu
- Xen
Если это не так, загружает зашифрованную копию себя на сервер, добавляется в автозагрузку, выдает за chrome, собирает данные:
- вводимые с клавиатуры
- хищение данных из браузера (ов)
- подмена bitcoin кошельков (кража транзакций)
- удалённое выполнение команд
- хищение файлов
- дальнейшее распространение по сети
Полный список возможностей и детальное исследование приведено в статье ниже:
https://blogs.juniper.net/en-us/threat-research/darkirc-bot-exploits-oracle-weblogic-vulnerability
Не пропатченных серверов достаточно большое количество (только доступных из сети Интернет авторы статьи нашли 3109 штук), уязвимость в случае успешного использования позволяет выполнять удаленный код без проверки подлинности.
Во время атаки DarkIRC в том числе с целью защиты от песочницы пытается распознать тип гипервизора который обслуживает сервера с WebLogic
- VMware
- VirtualBox
- Qemu
- Xen
Если это не так, загружает зашифрованную копию себя на сервер, добавляется в автозагрузку, выдает за chrome, собирает данные:
- вводимые с клавиатуры
- хищение данных из браузера (ов)
- подмена bitcoin кошельков (кража транзакций)
- удалённое выполнение команд
- хищение файлов
- дальнейшее распространение по сети
Полный список возможностей и детальное исследование приведено в статье ниже:
https://blogs.juniper.net/en-us/threat-research/darkirc-bot-exploits-oracle-weblogic-vulnerability
Juniper Networks
DarkIRC
Juniper Threat Labs is seeing active attacks on Oracle WebLogic software using CVE-2020-14882. This vulnerability, if successfully exploited, allows unauthenticated remote code execution. As of this writing, we found 3,109 open Oracle WebLogic servers using…
Xerox DocuShare - Уязвимость внедрения строннего XML неаутентифицированным пользователем
Доступны патчи для Windows, Linux, Solaris:
https://securitydocs.business.xerox.com/wp-content/uploads/2020/11/cert_Security_Mini_Bulletin_XRX20W_for-DocuShare-6.61_7.0_7.5.pdf
Доступны патчи для Windows, Linux, Solaris:
https://securitydocs.business.xerox.com/wp-content/uploads/2020/11/cert_Security_Mini_Bulletin_XRX20W_for-DocuShare-6.61_7.0_7.5.pdf
Андроид в опасности
Благодаря приложениям использующим библиотеку Google Play Core:
- Google Chrome
- Facebook
- Instagram
- WhatsApp
- SnapChat
- Booking
- Edge
Таким образом, данная библиотека - это шлюз для взаимодействия со службами Google Play из самого приложения, начиная с динамической загрузки кода (например, загрузки дополнительных данных только при необходимости), до доставки ресурсов для конкретных языков и взаимодействия с ними.
https://research.checkpoint.com/2020/vulnerability-in-google-play-core-library-remains-unpatched-in-google-play-applications/
О самой библиотеке и ее уязвимости:
https://blog.oversecured.com/Oversecured-automatically-discovers-persistent-code-execution-in-the-Google-Play-Core-Library/
Благодаря приложениям использующим библиотеку Google Play Core:
- Google Chrome
- SnapChat
- Booking
- Edge
Таким образом, данная библиотека - это шлюз для взаимодействия со службами Google Play из самого приложения, начиная с динамической загрузки кода (например, загрузки дополнительных данных только при необходимости), до доставки ресурсов для конкретных языков и взаимодействия с ними.
https://research.checkpoint.com/2020/vulnerability-in-google-play-core-library-remains-unpatched-in-google-play-applications/
О самой библиотеке и ее уязвимости:
https://blog.oversecured.com/Oversecured-automatically-discovers-persistent-code-execution-in-the-Google-Play-Core-Library/
Check Point Research
Vulnerability in Google Play Core Library Remains Unpatched in Google Play Applications - Check Point Research
Research by: Aviran Hazum, Jonathan Shimonovich Overview: A new vulnerability for the Google Play Core Library was published in late August, which allows Local-Code-Execution (LCE) within the scope of any application that has the vulnerable version of the…
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Linux Command Basics: 7 commands for process management
https://www.redhat.com/sysadmin/linux-command-basics-7-commands-process-management
https://www.redhat.com/sysadmin/linux-command-basics-7-commands-process-management
Redhat
Linux Command Basics: 7 commands for process management
Suppose you find yourself exploring the Linux command line for the first time or entering into Linux administration. In that case, a low-level understanding ...