Открытый перелом файловой системы со смещением таблицы разделов. Требуется срочная операция по вправлению суперблока.
#предложка

Типичный 🏥 Сисадмин

#предложка
Когда флешка так сильно грелась, что пришлось применить радикальные меры охлаждения 🏥

Типичный 🥸 Сисадмин

Внезапное оптическое заземление? 🏥

Типичный 🥸 Сисадмин

🤔 Вся жизнь процесса это ложь... malloc() обещает ему непрерывный кусок памяти, которого физически не существует. Процесс счастлив в своём неведении, созерцая тени страниц на стенах виртуальной адресации, даже не подозревая, что его данные давно размазаны по свопу.

Если вывести процесс из пещеры виртуальной адресации и показать ему прямой доступ к физической памяти, он ослепнет и упадет в Kernel Panic. Некоторые истины лучше не знать.

З.Ы. Обратите внимание на Хром слева. Он счастлив в своём неведении, пожирая гигабайты и думая, что вся память мира принадлежит ему. Он не знает, что за стеной стоит OOM Killer с дубиной, готовый в любой момент разрушить его хрупкий мир абстракций.

.... и тогда Хром поймёт главную истину, что ложки не существует. Есть только Null Pointer 🥄

Типичный 👾 Сисадмин

И, возможно, прямо сейчас где-то Снаружи нашей симуляции сидит Админ, смотрит на твой🫵 зависший процесс и уже заносит палец над kill -9.

Notepad++ мог скачать малварь через апдейтер 😱

Разработчики Notepad++ экстренно выкатили версию 8.8.9, выяснилось, что механизм автообновления редактора (тот самый GUP.exe) годами толком не проверял подлинность скачиваемых файлов. Этим воспользовались хацкеры, которые начали перехватывать трафик апдейтера и подсовывать пользователям вместо новой версии редактора троян.

Апдейтер стучится за обновлением, но из-за отсутствия нормальной криптографической проверки перенаправляется на вредоносный сервер. В итоге в папку %TEMP% прилетает файл AutoUpdater.exe, который вместо патча начинает активно собирать инфу о системе... запускает netstat, systeminfo, tasklist и whoami. Собранные данные потом сливаются на публичный файлообменник temp.sh через системный curl.

В новой версии 8.8.9 наконец-то прикрутили жесткую проверку цифровой подписи установщика, так что теперь, если подпись не сойдется, обновление прервется.

Типичный 🥸 Сисадмин

Типичный 💾 Сисадмин

Тот неловкий момент 😬

Типичный 🥸 Сисадмин

Zabbix присылает алерт Power_Loss вместо Interface_Down после твоих кривых рук. Счастье есть 👨‍🦳

Типичный 🥸 Сисадмин

#предложка
Гигантский леденец, который провайдер приготовил для своих абонов на Новый год.

Типичный 🥸 Сисадмин

Когда всю жизнь работал матросом и вязал морские узлы, а потом пошел тянуть опту, создавая такие аппаратные шейперы трафика 👨‍🔬

Типичный 🥸 Сисадмин

🎅 SantaStealer стучится в порты...

Пока рядовые юзеры закупают мандарины, режут оливье и готовятся к корпоративам, вирусописатели выкатили праздничный релиз. В дикой природе обнаружен SantaStealer, который нацелен на тех, кто верит в халяву под Новый год. Распространяется эта радость через фишинговые рассылки под видом подарочных сертификатов, уведомлений о скидках или конкурсов. Расчет сделан идеально... расслабленный предпраздничной суетой офисный планктон кликнет на любой файл, если в теме письма ему несказанно повезло.

Зловред написан на C++, весит копейки и не имеет лишних зависимостей, что делает его эффективным при доставке через классический фишинг 🐑

Техническая мякотка начинается с механизма эксфильтрации. SantaStealer обчищает хранилища учетных данных, используя легитимные вызовы API для взаимодействия с базами данных SQLite, в которых браузеры хранят пароли и куки. Помимо стандартного набора (пароли, автозаполнение, кредитки), стилер охотится за расширениями криптокошельков и игровыми аккаунтами. Особенность архитектуры в том, что он не просто дампит файлы, а проводит предварительную сортировку данных на машине жертвы, упаковывает ценное в зашифрованный архив и отправляет оператору. В качестве командного центра (C2) выступает связка из веб-панели и бота в телеге (очевидный тренд на телегу).

Интересен подход к закреплению в системе и защите от песочниц. Перед началом работы SantaStealer проводит серию проверок... чекает наличие отладчиков, виртуальных сред и специфических имен процессов, характерных для лабораторий вирусных аналитиков. Если малварь понимает, что попала на виртуалку, она тихо самоуничтожается, не выдавая своей активности. Для обхода сетевых экранов используется маскировка трафика под обычные HTTPS-запросы к легитимным облачным сервисам 😱

Для тех, кто держит оборону, рекомендуется мониторить аномальную активность процессов, пытающихся получить доступ к папкам %AppData%\Local\Google\Chrome\User Data и аналогичным путям других браузеров. Также стоит обратить внимание на внезапные попытки системных утилит (например, curl или powershell) достучаться до незнакомых внешних IP по порту 443 сразу после открытия подозрительных вложений. Разумная паранойя и жесткие политики безопасности не повредят.

Типичный 🎄 Сисадмин