Neurax: A library for constructing self-spreading binaries

С помощью Neurax двоичные файлы Golang могут распространяться по локальной сети без использования внешних серверов.

Разнообразные параметры конфигурации и этапы команд позволяют быстро распространяться в различных беспроводных средах.

https://github.com/redcode-labs/Neurax

Getting started with Fedora CoreOS

https://fedoramagazine.org/getting-started-with-fedora-coreos/

После установки новых feature обновлений Windows 10 нередко возникают ошибки, проблемы с производительностью / сбои, которые требуют отката установленных компонент до тех пор, пока ошибки не будут исправлены

По умолчанию Microsoft позволяет пользователям в течение десяти дней удалить установленное обновление Windows 10 и вернуться к предыдущей версии операционной системы, это делается в разделе Recovery:

Start > Settings > Update & Security > Recovery

Этот порог, при помощи CMD можно увеличить до 60 дней:

DISM /Online /Set-OSUninstallWindow /Value:59

https://www.bleepingcomputer.com/news/microsoft/how-to-get-more-time-to-uninstall-windows-10-feature-updates/

New MacOS Backdoor Connected to OceanLotus Surfaces

PoC

https://www.trendmicro.com/en_us/research/20/k/new-macos-backdoor-connected-to-oceanlotus-surfaces.html

Множественные уязвимости WebKit

Позволяют и удаленное исполнение кода и произвольное исполнение кода и много чего еще

Кто не знает WebKit - это открытый движок для отображения веб-страниц, используется во многих программах и браузерах (например Safari)

https://blog.talosintelligence.com/2020/11/vuln-spotlight-webkit-use-after-free-nov-2020.html

Сайт WebKit

https://webkit.org/

Шестые релизы дистрибутивов. CentOS 6/RHEL 6, Scientific Linux 6 подошли к концу. Oracle Linux 6 будет прекращена поддержка в следующем году

https://www.mail-archive.com/scientific-linux-announce@listserv.fnal.gov/msg00057.html

Oracle ELSP

https://www.oracle.com/a/ocom/docs/elsp-lifetime-069338.pdf

Уязвимости в системе управления конфигурациями SaltStack

Из интересного:
- Внедрение кода/комманд неаутентифицированным пользователем при использовании salt-api через ssh-клиента
- Обход механизмов аутентификации

https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/

PoC по внедрению команд

https://www.thezdi.com/blog/2020/11/24/detailing-saltstack-salt-command-injection-vulnerabilities

Gootkit banker / Вымогатель-шифровальщик REvil нацелены на жителей Германии

В компании используются скомпрометированные веб-сайты побуждающие посетителей загрузить вредоносное ПО при помощи социальной инженерии

Gootkit - это троян, который собирает нажатия клавиш, делает видеозаписи и тп, предназначен для хищения финансовой информации, что интересно:

- взломанные сайты активно используют SEO технологии (технологии поисковой оптимизации)
- используется безфайловый процесс заражения при помощи скрипта, который содержится внутри загруженного жертвой архива
- инит-скрипт, это js скрипт, обфусцированный в несколько "слоев"
- далее загружается powershell скрипт и запускается в обход политики исполнения PS
- далее происходит деплой малвари

Детальное исследование:

https://blog.malwarebytes.com/threat-analysis/2020/11/german-users-targeted-with-gootkit-banker-or-revil-ransomware/

njRAT - это троян для кражи информации, который использовался в массовых атаках, в результате которых в 2014 году Microsoft закрыла 4 миллиона сайтов 

На сегодня снова обнаружена его активность в npm:

https://blog.sonatype.com/bladabindi-njrat-rat-in-jdb.js-npm-malware

Продолжение истории про Android Go SMS Pro

Проблема в том, что данные приложения (которыми обменивались пользователи) хранились с недостаточной безопасностью, разработчики выпустили обновление, но как оказалось это "полуисправление" не решает проблему, как надо..

К слову сказать приложение было установлено более 100млн раз

Исследование:

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/go-sms-pro-vulnerable-to-file-theft-part-2/

Docker malware is now common, so devs need to take Docker security seriously

Докер в опасности, снова:

https://www.zdnet.com/google-amp/article/docker-malware-is-now-common-so-devs-need-to-take-docker-security-seriously/

Xanthe - майнер с поддержкой Docker

Атакует "не осекуренные" контейнеры Docker

Что интересно, имеет несколько модулей:

- Модуль скрытия процессов
- Сценарий для отключения других майнеров и служб безопасности
- Сценарий для удаления контейнеров Docker с конкурирующими троянами для майнинга криптовалюты

https://blog.talosintelligence.com/2020/12/xanthe-docker-aware-miner.html?m=1#more

Необходимо помнить - контроль конфигураций, мониторинг - не забывай об этих вещах уважаемый подписчик :)

Удаленная эксплуатация уязвимости повреждения памяти ядра без проверки подлинности, которая приводит к перезагрузке устройств iOS

В случае успешной эксплуатации уязвимости на любом близлежащем устройстве iOS (да “виноват” wifi) возможно кража/просмотр всех пользовательских данных в том числе

Большая статья, много и подробно рассказывается о данной уязвимости и сопутсвующих механизмах связанных с ее эксплуатацией, есть демонстрация работы, уявимость закрыта в iOS 13.5 в мае текущего года:

https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html

Более 50% образов в Docker Hub содержат критические уязвимости

Компания по обеспечению безопасности контейнеров Prevasio проанализировала 4 миллиона общедоступных образов контейнеров Docker, размещенных в Docker Hub, и обнаружила, что более половины из них имеют критические уязвимости, а тысячи образов содержат вредоносные или потенциально опасные элементы

Отчёт на эту тему

Исследование - как DarkIRC атакует Oracle WebLogic

Не пропатченных серверов достаточно большое количество (только доступных из сети Интернет авторы статьи нашли 3109 штук), уязвимость в случае успешного использования позволяет выполнять удаленный код без проверки подлинности.

Во время атаки DarkIRC в том числе с целью защиты от песочницы пытается распознать тип гипервизора который обслуживает сервера с WebLogic

- VMware
- VirtualBox
- Qemu
- Xen

Если это не так, загружает зашифрованную копию себя на сервер, добавляется в автозагрузку, выдает за chrome, собирает данные:

- вводимые с клавиатуры
- хищение данных из браузера (ов)
- подмена bitcoin кошельков (кража транзакций)
- удалённое выполнение команд
- хищение файлов
- дальнейшее распространение по сети

Полный список возможностей и детальное исследование приведено в статье ниже:

https://blogs.juniper.net/en-us/threat-research/darkirc-bot-exploits-oracle-weblogic-vulnerability

Xerox DocuShare - Уязвимость внедрения строннего XML неаутентифицированным пользователем

Доступны патчи для Windows, Linux, Solaris:

https://securitydocs.business.xerox.com/wp-content/uploads/2020/11/cert_Security_Mini_Bulletin_XRX20W_for-DocuShare-6.61_7.0_7.5.pdf

Андроид в опасности

Благодаря приложениям использующим библиотеку Google Play Core:

- Google Chrome
- Facebook
- Instagram
- WhatsApp
- SnapChat
- Booking
- Edge

Таким образом, данная библиотека - это шлюз для взаимодействия со службами Google Play из самого приложения, начиная с динамической загрузки кода (например, загрузки дополнительных данных только при необходимости), до доставки ресурсов для конкретных языков и взаимодействия с ними.

https://research.checkpoint.com/2020/vulnerability-in-google-play-core-library-remains-unpatched-in-google-play-applications/

О самой библиотеке и ее уязвимости:

https://blog.oversecured.com/Oversecured-automatically-discovers-persistent-code-execution-in-the-Google-Play-Core-Library/

Linux Command Basics: 7 commands for process management

https://www.redhat.com/sysadmin/linux-command-basics-7-commands-process-management

Advanced Persistent Threat Actors Targeting U.S. Think Tanks | CISA

Предупреждение CISA о таргетированных атаках на аналитические центры США. В документе даются рекомендации по снижению рисков с привязкой к MITRE

https://us-cert.cisa.gov/ncas/alerts/aa20-336a

Profit Security Day 2020 - В котором я принимал участие

Есть несколько интересных моментов:

- абсолютная адекватность и внятность практически всех участников (ожидал другого если честно)
- в начале мероприятия, под конец первого доклада сессия вопросов и ответов на предмет оборота персональных данных в РК (куда и как обращаться при обнаружении нарушений, что делать когда у субъекта запрашивают (по мнению субъекта) избыточные данные) (примерно начало моих вопросов здесь - https://youtu.be/QWhsN8tSNgo?t=2463)
- после второго доклада, на панельной дискусии я добился того, что бы представители от вендоров (check point, palo alto, fortinet) выслали ссылки на бесплатные курсы (обещали выслать в чат трансляции). Как оказалось у некоторых вендоров есть и бесплатные курсы и бесплатная сертификация (!) может подойти тем, кто хочет продвинуться в этом направлении (где-то от сюда - https://youtu.be/QWhsN8tSNgo?t=6200)
- к каждому докладу у меня были вопросы иногда даже по теме)

Кому интересно, можно глянуть здесь:

https://www.youtube.com/watch?v=QWhsN8tSNgo