#news Исследователи разработали новую технику, основанную на фаззинге, под названием «Blacksmith», которая возрождает атаки уязвимости Rowhammer на современные устройства DRAM в обход существующих средств защиты. Эта уязвимость обходит программные механизмы безопасности, что приводит к повышению привилегий, повреждению памяти и многому другому.
@tomhunter
Rowhammer - это средство защиты, основанное на утечке электрических зарядов между соседними ячейками памяти, что позволяет злоумышленнику переключать единицы и нули и изменять содержимое в памяти.▶️ https://youtu.be/7IQi2mJ9mek
@tomhunter
#anon #os Продолжаем говорить об анонимности. В первой части мы обсудили физическую защиту смартфона от отслеживания. Тема нашего сегодняшнего поста - альтернативные операционные системы (ОС). Вы удивитесь, но их достаточно много...
МОБИЛЬНЫЕ ОС
├ubuntu
├lineage
├sailfish
├Nethunter
├graphene
└AOSP
Альтернативные ОС ориентированы на большую конфиденциальность и безопасность своих пользователей. Это означает, что они (скорее всего) сохраняют меньше пользовательских данных, а также то, что запрашивать эти данные гораздо сложнее.
Что мы получили? Устройство, которое не собирает и не передает информацию о своих пользователях ключевым ИТ-корпорациям (Google, Apple, Facebook, ну или Яндекс). Предположительно, такое устройство также не подвержено отслеживанию через ADINT (рекламные идентификаторы). Разумеется, при соблюдении норм цифровой гигиены, о которых мы поговорим в следующих постах.
@tomhunter
МОБИЛЬНЫЕ ОС
├ubuntu
├lineage
├sailfish
├Nethunter
├graphene
└AOSP
Альтернативные ОС ориентированы на большую конфиденциальность и безопасность своих пользователей. Это означает, что они (скорее всего) сохраняют меньше пользовательских данных, а также то, что запрашивать эти данные гораздо сложнее.
Что мы получили? Устройство, которое не собирает и не передает информацию о своих пользователях ключевым ИТ-корпорациям (Google, Apple, Facebook, ну или Яндекс). Предположительно, такое устройство также не подвержено отслеживанию через ADINT (рекламные идентификаторы). Разумеется, при соблюдении норм цифровой гигиены, о которых мы поговорим в следующих постах.
@tomhunter
#event 1 декабря в Москве пройдет конференция КРЭБ (Конкурентная разведка & Экономическая безопасность), на которой будет обсуждаться как эффективно обеспечить корпоративную безопасность в 2022 году.
На КРЭБе также обсудят корпоративную безопасность с учетом человеческого фактора, противодействие внешним угрозам, мошенничеству и коррупции, а также проведут круглый стол с представителями клубов безопасности. Участвовать можно офлайн и онлайн.
Смотреть программу: https://clck.ru/Yrb8d
@tomhunter
На КРЭБе также обсудят корпоративную безопасность с учетом человеческого фактора, противодействие внешним угрозам, мошенничеству и коррупции, а также проведут круглый стол с представителями клубов безопасности. Участвовать можно офлайн и онлайн.
Смотреть программу: https://clck.ru/Yrb8d
@tomhunter
#news В продолжение эпопеи: Гитхаб (родительская компания npm) рассказал о двух критических уязвимостях, которые недавно устранил.
Во-первых, на некоторое время в конце октября названия приватных пакетов, хранящихся на зеркале npm, оказались публично доступны. Содержимое не засветили, но для эксплойта dependency confusion-уязвимости достаточно и названий. Гитхаб изменил процесс генерации зеркала, чтобы предотвратить такие сливы в будущем.
Вторая уязвимость позволяла публиковать обновления к пакетам, не имея должной авторизации. Гитхаб говорит, что ответственные за авторизацию микросервисы работали не совсем корректно, что и стало причиной уязвимости. При этом данных об эксплойтах нет, и компания уверена, что баг не использовали как минимум с сентября 2020.
А с 2022 npm включит обязательную двухфакторку для разработчиков. Если бы она стояла у владельцев UAParser.js, coa и прочих героев звучавших здесь весёлых историй, то взломов этих пакетов могло и не быть.
@tomhunter
Во-первых, на некоторое время в конце октября названия приватных пакетов, хранящихся на зеркале npm, оказались публично доступны. Содержимое не засветили, но для эксплойта dependency confusion-уязвимости достаточно и названий. Гитхаб изменил процесс генерации зеркала, чтобы предотвратить такие сливы в будущем.
Вторая уязвимость позволяла публиковать обновления к пакетам, не имея должной авторизации. Гитхаб говорит, что ответственные за авторизацию микросервисы работали не совсем корректно, что и стало причиной уязвимости. При этом данных об эксплойтах нет, и компания уверена, что баг не использовали как минимум с сентября 2020.
А с 2022 npm включит обязательную двухфакторку для разработчиков. Если бы она стояла у владельцев UAParser.js, coa и прочих героев звучавших здесь весёлых историй, то взломов этих пакетов могло и не быть.
@tomhunter
#news Microsoft представила управляемую искусственным интеллектом систему обнаружения атак программ-вымогателей для клиентов Microsoft Defender, которая дополняет существующую облачную защиту, оценивая риски и блокируя участников по периметру. В отличие от облачной защиты, которую администраторы настраивают вручную, новая система является адаптивной, что означает, что она может автоматически повышать или понижать агрессивность решений о блокировке, доставляемых через облако, на основе данных в реальном времени и прогнозов машинного обучения.
@tomhunter
@tomhunter
#anon #serf Возвращаемся к вопросам анонимности. В первой части мы обсудили физическую защиту смартфона от отслеживания. Во второй части - альтернативные ОС для смартфонов. Тема нашего сегодняшнего поста - браузеры с повышенной анонимностью и поисковые системы им под стать...
БРАУЗЕРЫ
├tor (Darknet)
├epic
├brave
├firefox
├duckduckgo
├inbrowser
└opera
ПОИСКОВИКИ
├darksearch (Darknet)
├notEvil (Darknet)
├Torch (Darknet)
├duckduckgo
├swisscows
├gibiru
├startpage
└qwant
Что мы получили? Избавление от следящих модулей, встроенных в популярные браузеры и поисковые машины. Прибавьте качественный VPN и вы еще больше повысите свою безопасность. Но об этом в следующий раз.
@tomhunter
БРАУЗЕРЫ
├tor (Darknet)
├epic
├brave
├firefox
├duckduckgo
├inbrowser
└opera
ПОИСКОВИКИ
├darksearch (Darknet)
├notEvil (Darknet)
├Torch (Darknet)
├duckduckgo
├swisscows
├gibiru
├startpage
└qwant
Что мы получили? Избавление от следящих модулей, встроенных в популярные браузеры и поисковые машины. Прибавьте качественный VPN и вы еще больше повысите свою безопасность. Но об этом в следующий раз.
@tomhunter
💩1
#news Криптомиксеры всегда были в эпицентре киберпреступности, позволяя хакерам «очищать» криптовалюту, украденную у жертв, и усложняли правоохранительным органам их отслеживание. Когда злоумышленники крадут криптовалюту или получают ее в качестве выкупа, правоохранительные органы или исследователи могут увидеть, на какой кошелек криптовалюты были отправлены средства. Микшеры позволяют злоумышленникам вносить незаконно полученную криптовалюту, а затем смешивать ее с большим пулом «случайных» транзакций. Таким образом, исходная криптовалюта запутывается в большом количестве сумм из множества разных и неизвестных источников. Сегодня хакеры используют четыре популярных сервиса криптомикширования, а именно Absolutio, AudiA6, Blender и Mix-btc. За исключением Mix-btc, все платформы работают в сети Tor. Они поддерживают Bitcoin, Bitcoin Cash, Dash, Ethereum, Ethereum Classic, Litecoin, Monero и Tether. Avaddon, DarkSide 2.0 (или BlackMatter) и REvil, вероятно, используют миксер BitMix.
@tomhunter
@tomhunter
#news Волна атак, начавшаяся в конце прошлой недели, взломала уже около 300 сайтов WordPress для отображения на них поддельных уведомлений о шифровании. Таким образом, преступники пытаются заставить владельцев сайтов заплатить 0,1 биткойна. Исследователи обнаружили, что веб-сайты не были зашифрованы, а скорее злоумышленники изменили установленный плагин WordPress, чтобы отображать записку о выкупе и обратный отсчет. В дополнение к отображению примечания о выкупе, плагин изменял бы все сообщения блога WordPress и устанавливал их 'post_status' в 'null', заставляя их переходить в неопубликованное состояние. Большинство обнаруженных сайтов просило перевести им биткоины на криптокошелек с адресом 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDE. Публикуем рекомендации по защите WordPress.
@tomhunter
@tomhunter
#news Агентство по кибербезопасности США (CISA) выпустило новые планы реагирования на кибербезопасность (известные как учебные пособия) для федеральных органов гражданской исполнительной власти (FCEB).
@tomhunter
@tomhunter
#news Идет война за IPv4... Генеральный директор технологической фирмы из Южной Каролины признал себя виновным по 20 пунктам обвинения в мошенничестве с использованием электронных средств связи в связи со сложной сетью фальшивых компаний, созданных для получения более 735 000 IP-адресов. В то время один IP-адрес мог приносить от 15 до 25 долларов.
@tomhunter
@tomhunter
#news На русскоязычных форумах по борьбе с киберпреступностью назревает некоторая необычная активность, где хакеры, похоже, обращаются к китайским коллегам для сотрудничества. Эти попытки привлечь китайских злоумышленников в основном видны на хакерском форуме RAMP. Исследователи предполагают, что наиболее вероятная причина заключается в том, что российские банды программ-вымогателей стремятся создать альянсы с китайскими игроками для проведения кибератак против целей в США, обмена уязвимостями или даже привлечения новых специалистов для своих операций по программе-вымогателю как услуге (RaaS).
@tomhunter
@tomhunter
#news Считаете, что TOR безопасен? Оцените возможные векторы атак, о существовании которых было известно еще год назад.
@tomhunter
@tomhunter
#news Тут Robinhood деликатно добавил, что во время недавнего взлома утекли ещё и телефонные номера. Взлом, напомню, случился из-за телефонной социнженерной атаки на сотрудника поддержки.
Представитель хакеров поделился с журналистами Motherboard копией украденных данных: слитых номеров там оказалось около 4400.
В слив ещё что-то угодило, похоже, но Robinhood пока изучает ситуацию. Компания продолжает заверять, что все финансовые данные в безопасности.
@tomhunter
Представитель хакеров поделился с журналистами Motherboard копией украденных данных: слитых номеров там оказалось около 4400.
В слив ещё что-то угодило, похоже, но Robinhood пока изучает ситуацию. Компания продолжает заверять, что все финансовые данные в безопасности.
@tomhunter
#news 24 ноября 2021 состоится онлайн-конференция AM Live «Безопасность рабочих станций в сетях АСУ ТП».
От компании T.Hunter в мероприятии примет участие Сергей Матвеев, архитектор информационной безопасности, кандидат технических наук. Вместе с экспертами Positive Technologies, Лаборатории Касперского, Trend Micro и Ростелеком-Солар состоится обсуждение проблематики защиты рабочих станций и контроллеров в промышленных сетях, российской специфики и отраслевых особенностей этого рынка.
Эксперты дадут рекомендации, на что следует обратить внимание при выборе средств мониторинга и защиты промышленных сетей. Дадут свои оценки по применимости активной безопасности и автоматизированного реагирования в
АСУ ТП. А также расскажут о тенденциях на этом рынке и прогнозах его развития.
Присоединяйтесь, бесплатно зарегистрироваться можно тут: https://live.anti-malware.ru/ics-workstation-security
От компании T.Hunter в мероприятии примет участие Сергей Матвеев, архитектор информационной безопасности, кандидат технических наук. Вместе с экспертами Positive Technologies, Лаборатории Касперского, Trend Micro и Ростелеком-Солар состоится обсуждение проблематики защиты рабочих станций и контроллеров в промышленных сетях, российской специфики и отраслевых особенностей этого рынка.
Эксперты дадут рекомендации, на что следует обратить внимание при выборе средств мониторинга и защиты промышленных сетей. Дадут свои оценки по применимости активной безопасности и автоматизированного реагирования в
АСУ ТП. А также расскажут о тенденциях на этом рынке и прогнозах его развития.
Присоединяйтесь, бесплатно зарегистрироваться можно тут: https://live.anti-malware.ru/ics-workstation-security
#news Изобретательные хакеры приспособили платформу Glitch для массовой штамповки фишинговых сайтов-однодневок, нацеленных на сотрудников крупных ближневосточных компаний.
Фишка в том, что в бесплатной версии Glitch можно на 5 минут сделать сайт публичным, используя предоставленный платформой домен — он будет состоять из трёх случайных слов. Через 5 минут карета превратится в тыкву, но можно нажать кнопочку ещё раз и получить новые три слова.
Для хакеров схема оказалась идеальной. Сама атака простецкая: хакеры присылали жертве письма с PDFкой. PDFка уводила человека на фишинговое Glitch-приложение, сделанное под SharePoint; жертва пыталась залогиниться и передавала тем самым данные от корпоративного аккаунта хакерам.
@tomhunter
Фишка в том, что в бесплатной версии Glitch можно на 5 минут сделать сайт публичным, используя предоставленный платформой домен — он будет состоять из трёх случайных слов. Через 5 минут карета превратится в тыкву, но можно нажать кнопочку ещё раз и получить новые три слова.
Для хакеров схема оказалась идеальной. Сама атака простецкая: хакеры присылали жертве письма с PDFкой. PDFка уводила человека на фишинговое Glitch-приложение, сделанное под SharePoint; жертва пыталась залогиниться и передавала тем самым данные от корпоративного аккаунта хакерам.
@tomhunter
#news Вредоносное ПО для Android BrazKing вернулось в качестве скрытого банковского трояна. Вредонос был обнаружен вне пределов Play Store, на сайтах, куда люди попадают после получения smishing-сообщений (SMS). Эти сайты предупреждают жертву о том, что она использует устаревшую версию Android, и предлагают APK, который обновит ее до последней версии. При этом, новая версия BrazKing защищает внутренние ресурсы, применяя операцию XOR с использованием жестко запрограммированного ключа, а затем также кодирует их с помощью Base64.
@tomhunter
@tomhunter
#news Group-IB рассказала о возвращении хакеров-шпионов RedCurl, которые на сей раз дважды атаковали некий неназванный российский интернет-магазин из ТОП-20 крупнейших.
RedCurl известна как русскоязычная группировка, вопреки хакерскому кодексу чести атакующая как своих, так и чужих. Ребята используют социальную инженерию — присылают сотрудникам нужных организаций фишинговые письма о премиях, например — и множество кастомных инструментов, чтобы проникать во внутренние сети компаний.
Несмотря на обширный доступ к поверженной сети, рансомварью и прочими подобными варварствами ребята брезгуют: услуги корпоративных шпионов явно оплачивают извне. Поэтому они весьма грамотно маскируются, тихо собирают нужные данные — от внутренних переписок до юридической документации — и исчезают, оставляя минимум следов.
@tomhunter
RedCurl известна как русскоязычная группировка, вопреки хакерскому кодексу чести атакующая как своих, так и чужих. Ребята используют социальную инженерию — присылают сотрудникам нужных организаций фишинговые письма о премиях, например — и множество кастомных инструментов, чтобы проникать во внутренние сети компаний.
Несмотря на обширный доступ к поверженной сети, рансомварью и прочими подобными варварствами ребята брезгуют: услуги корпоративных шпионов явно оплачивают извне. Поэтому они весьма грамотно маскируются, тихо собирают нужные данные — от внутренних переписок до юридической документации — и исчезают, оставляя минимум следов.
@tomhunter
#OSINT #Lab Пятничное... Виртуальные OSINT-лаборатории, которые будут полезны и для исследователей безопасности. Выбери свою...
├Tsurugi
├TraceLabs
├OffenOsint
└CSI Linux
Ну и... https://github.com/SOsintOps/Argos
@tomhunter
├Tsurugi
├TraceLabs
├OffenOsint
└CSI Linux
Ну и... https://github.com/SOsintOps/Argos
@tomhunter
#news В январе этого года спецслужбы одолели ботнет Emotet в неравной битве. На этом, однако, история не закончилась. Теперь он вернулся — говорят, операторов ботнета уговорили его вернуть хакеры Conti.
Основная фича Emotet — партнёрство с хакерскими группировками, которым ботнет помогает распространять ранмосварь и прочие зловреды на «дорогих» жертв. Похоже, нас ждёт расцвет Conti: для них это не слишком триумфальное возвращение очень выгодно.
@tomhunter
Основная фича Emotet — партнёрство с хакерскими группировками, которым ботнет помогает распространять ранмосварь и прочие зловреды на «дорогих» жертв. Похоже, нас ждёт расцвет Conti: для них это не слишком триумфальное возвращение очень выгодно.
@tomhunter
#news С интересом и огоньком провели в четверг очередной конкурс по информационной безопасности Zero-Day. Участвовало 9 команд из различных учебных заведений Санкт-Петербурга. Конкурсанты испытали свои навыки в CTF и OSINT, а также послушали опытных спикеров.
@tomhunter
@tomhunter
#news Недавно Брайан Кребс рассказал о новых фишках американских «служб безопасности» Сбербанка JP Morgan Chase.
Smishing [SMS + phishing] — техника обычная. Например, жертве могут прислать ссылку на фишинговый сайт её банка и пытаться вытянуть данные. Но в последнее время «службы безопасности» всё чаще пробуют новую схему: присылают жертве смску-де «с вашего счёта в JP Morgan Chase попытались переслать $5000, подтвердите перевод ответом YES или отмените ответом NO», а потом перезванивают, как только получают ожидаемое NO, и начинают разводить.
В случае на скриншоте почти получилось — человека впечатлили смска, за которой сразу последовал звонок, и отсутствие иностранных акцентов у скамеров (характерных для англоязычных разводов).
К счастью жертв, этому пока далеко до некоторых отечественных «служб безопасности»: среди них попадаются впечатляющие театральные труппы, разыгрывающие для жертв телефонные спектакли про команду сотрудников Центробанка и МВД.
@tomhunter
Smishing [SMS + phishing] — техника обычная. Например, жертве могут прислать ссылку на фишинговый сайт её банка и пытаться вытянуть данные. Но в последнее время «службы безопасности» всё чаще пробуют новую схему: присылают жертве смску-де «с вашего счёта в JP Morgan Chase попытались переслать $5000, подтвердите перевод ответом YES или отмените ответом NO», а потом перезванивают, как только получают ожидаемое NO, и начинают разводить.
В случае на скриншоте почти получилось — человека впечатлили смска, за которой сразу последовал звонок, и отсутствие иностранных акцентов у скамеров (характерных для англоязычных разводов).
К счастью жертв, этому пока далеко до некоторых отечественных «служб безопасности»: среди них попадаются впечатляющие театральные труппы, разыгрывающие для жертв телефонные спектакли про команду сотрудников Центробанка и МВД.
@tomhunter