А теперь о прекрасном: китайские исследователи Advanced Cyber Security Research из Pangu Lab основательно расчехлили один из инструментов связанной с подразделением Tailored Access Operations АНБ США АРТ, известной как Equation Group. Причем основательно так, на 50 листах с подробным описанием вредоносного ПО для Linux.
Pangu Lab — исследовательский проект команды Pangu Team, прославившейся своими джейлбрейками для iPhone. В прошлом году эксплойт для iOS принес им 300 000 долларов на китайском хакерском конкурсе.
Бэкдор группировки Equation Group из-за многочисленных ссылок на строку Bvp и числовое значение 0x47 в алгоритме шифрования получил наименование Bvp47 и был впервые обнаружен на системах под управлением Linux в 2013 году при расследовании инцидента, затрагивающего китайскую правительственную организацию.
Анализ инцидента, проведенный Pangu Lab, включал три сервера, один из которых был целью внешней атаки, а два других внутренних компьютера — сервер электронной почты и бизнес-сервер.
Интересный момент отметили исследователи, расследуя вредоносную кампанию Operation Telescreen, связанную с развертыванием Bvp47: использовался тип вредоноса, отличающийся более расширенным поведением скрытого канала, основанным на пакетах TCP SYN, обфускации кода, сокрытии системы и тактике самоуничтожения.
В реальности Bvp47 использовался для осуществления атак на более чем 287 объектов в академическом, экономическом, военном, научном и телекоммуникационном секторах, расположенных в 45 странах, в основном в Китае, Корее, Японии, Германии, Испании, Индии и Мексике. Вредоносное ПО оставалось незамеченным более десяти лет.
Неуловимый бэкдор оснащен функцией удаленного управления, которая защищена с помощью алгоритма шифрования, для активации которого требуется закрытый ключ злоумышленника. В 2016 и 2017 годах хакеры The Shadow Brokers слили внушительный массив данных, предположительно украденных у Equation Group, включая множество хакерских инструментов и эксплойтов. В этих утечках исследователи Pangu Lab как раз и обнаружили обнаружили закрытый ключ, который был им необходим для полного анализа Bvp47.
Bvp47 предназначен для предоставления операторам долгосрочного контроля над скомпрометированными устройствами и включает в себя функционал: руткит, обход функций безопасности, защиту от криминалистики, самоудаление и другие возможности.
Помимо того, что Pangu Lab связывает вредоносное ПО Bvp47 с Equation Group, анализ бэкдора также показывает сходство с другим образцом того же субъекта. Согласно Kaspersky Threat Attribution Engine (KTAE), 34 из 483 строк соответствуют строкам из другого образца, связанного с Equation, для систем Solaris SPARC, который, в свою очередь, имеет 30% сходство с еще одним вредоносным ПО Equation.
Все указывает на то, что вредоносное ПО не использовалось широко, а лишь в узконаправленных атаках. По мнению исследователей, инструмент хорошо спроектирован, мощен и широко адаптирован. Его возможности в рамках сетевых атак с использованием уязвимостей нулевого дня фактически невозможно было предотвратить, а сбор данных под скрытым контролем не требовал больших усилий.
Весь цинк - в отчете Pangu Law с результатами проделанной работы, а главное атрибуцией, чем не могут последнее время похвастаться западные ресерчеры. Рекомендуем, одним словом.
Pangu Lab — исследовательский проект команды Pangu Team, прославившейся своими джейлбрейками для iPhone. В прошлом году эксплойт для iOS принес им 300 000 долларов на китайском хакерском конкурсе.
Бэкдор группировки Equation Group из-за многочисленных ссылок на строку Bvp и числовое значение 0x47 в алгоритме шифрования получил наименование Bvp47 и был впервые обнаружен на системах под управлением Linux в 2013 году при расследовании инцидента, затрагивающего китайскую правительственную организацию.
Анализ инцидента, проведенный Pangu Lab, включал три сервера, один из которых был целью внешней атаки, а два других внутренних компьютера — сервер электронной почты и бизнес-сервер.
Интересный момент отметили исследователи, расследуя вредоносную кампанию Operation Telescreen, связанную с развертыванием Bvp47: использовался тип вредоноса, отличающийся более расширенным поведением скрытого канала, основанным на пакетах TCP SYN, обфускации кода, сокрытии системы и тактике самоуничтожения.
В реальности Bvp47 использовался для осуществления атак на более чем 287 объектов в академическом, экономическом, военном, научном и телекоммуникационном секторах, расположенных в 45 странах, в основном в Китае, Корее, Японии, Германии, Испании, Индии и Мексике. Вредоносное ПО оставалось незамеченным более десяти лет.
Неуловимый бэкдор оснащен функцией удаленного управления, которая защищена с помощью алгоритма шифрования, для активации которого требуется закрытый ключ злоумышленника. В 2016 и 2017 годах хакеры The Shadow Brokers слили внушительный массив данных, предположительно украденных у Equation Group, включая множество хакерских инструментов и эксплойтов. В этих утечках исследователи Pangu Lab как раз и обнаружили обнаружили закрытый ключ, который был им необходим для полного анализа Bvp47.
Bvp47 предназначен для предоставления операторам долгосрочного контроля над скомпрометированными устройствами и включает в себя функционал: руткит, обход функций безопасности, защиту от криминалистики, самоудаление и другие возможности.
Помимо того, что Pangu Lab связывает вредоносное ПО Bvp47 с Equation Group, анализ бэкдора также показывает сходство с другим образцом того же субъекта. Согласно Kaspersky Threat Attribution Engine (KTAE), 34 из 483 строк соответствуют строкам из другого образца, связанного с Equation, для систем Solaris SPARC, который, в свою очередь, имеет 30% сходство с еще одним вредоносным ПО Equation.
Все указывает на то, что вредоносное ПО не использовалось широко, а лишь в узконаправленных атаках. По мнению исследователей, инструмент хорошо спроектирован, мощен и широко адаптирован. Его возможности в рамках сетевых атак с использованием уязвимостей нулевого дня фактически невозможно было предотвратить, а сбор данных под скрытым контролем не требовал больших усилий.
Весь цинк - в отчете Pangu Law с результатами проделанной работы, а главное атрибуцией, чем не могут последнее время похвастаться западные ресерчеры. Рекомендуем, одним словом.
www.pangulab.cn
The Bvp47 - a Top-tier Backdoor of US NSA Equation Group
Ну что же, обстановка на инфосек направлении накаляется.
Вчера последовал ряд DDoS-атак на российские государственные ресурсы и банковские структуры. Некоторые операции проходили с трудом, сами заметили.
Ближе к вечеру официальный сайт Минобороны России mil .ru перестал отвечать IP-адресам, находящимся вне СНГ. Скорее всего произошло огораживание по причине DDoS.
Сегодня о продолжении DDoS-атак заявили власти Крыма.
Anonymous сообщили, что вступают в кибервойну против российского правительства.
Но Anonymous - это фигня, куда опаснее заявление Байдена о том, что если Россия продолжит кибератаки на американские компании и инфраструктуру, то США ответят. Памятуя уровень атрибуции, который царит в последнее время в отчетах западных инфосек компаний, надо понимать, что повод может для киберопераций американцами может быть найден в любой момент. "За булочку! За SolarWinds!"
NBC News сообщает, что спецслужбы предложили Байдену в числе вариантов кибератак нарушение работы сети в России, удары по энергетическому сектору и железным дорогам. И хотя вскоре Псаки опровергла эту новость, полагаем, что такой разговор был.
Реально ли это? Мы думаем, что вполне. У американских трехбуквенных контор есть очень квалифицированные хакеры, куча закладок в аппаратной части и ПО по всему миру и десятки лет опыта проведения кибератак. В России же зачастую - "информационная безопасность за мелкий прайс", особенно в области промышленных OT сетей (хотя тут во всем мире так).
Тем не менее количество и качество российских специалистов в инфосек прекрасное, при желании и наличии политической воли все эти проблемы решаемы.
Перейдем в Telegram.
Некоторые инфосек каналы весьма однозначно "окрасили себя в те цвета, в которые они себя окрасили" (с) Ну, пусть остается на их совести. Мы лично никого люстрировать не призываем.
Другой, более важный, момент - со вчерашнего вечера в ряд российских ТГ-каналов начали массово заливать ботов.
Если кто не знает - это делается, как правило, для последующего бана канала администрацией Telegram. Саму схему расписывать не будем, но она есть.
Канал Незыгарь.Brief (https://news.1rj.ru/str/russicabrief) ночью лишился своей короткой ссылки, пытаясь предотвратить подлив ботов (ситуация известная, не следует уводить канал в приват).
Также боты пришли и на ряд дружественных нам инфосек каналов. Поэтому если вы видите, что у вас аномально растут подписчики, то в первую очередь уведомите администрацию Telegram. А во вторую - начинайте вычищать ботов руками. Опционально - можно сообщить об этом своей аудитории.
А мы лишь вспомним свои же вангования двухлетней давности (правда мы не предполагали наличие реальных боевых действий, но все равно похоже).
Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется.
Вчера последовал ряд DDoS-атак на российские государственные ресурсы и банковские структуры. Некоторые операции проходили с трудом, сами заметили.
Ближе к вечеру официальный сайт Минобороны России mil .ru перестал отвечать IP-адресам, находящимся вне СНГ. Скорее всего произошло огораживание по причине DDoS.
Сегодня о продолжении DDoS-атак заявили власти Крыма.
Anonymous сообщили, что вступают в кибервойну против российского правительства.
Но Anonymous - это фигня, куда опаснее заявление Байдена о том, что если Россия продолжит кибератаки на американские компании и инфраструктуру, то США ответят. Памятуя уровень атрибуции, который царит в последнее время в отчетах западных инфосек компаний, надо понимать, что повод может для киберопераций американцами может быть найден в любой момент. "За булочку! За SolarWinds!"
NBC News сообщает, что спецслужбы предложили Байдену в числе вариантов кибератак нарушение работы сети в России, удары по энергетическому сектору и железным дорогам. И хотя вскоре Псаки опровергла эту новость, полагаем, что такой разговор был.
Реально ли это? Мы думаем, что вполне. У американских трехбуквенных контор есть очень квалифицированные хакеры, куча закладок в аппаратной части и ПО по всему миру и десятки лет опыта проведения кибератак. В России же зачастую - "информационная безопасность за мелкий прайс", особенно в области промышленных OT сетей (хотя тут во всем мире так).
Тем не менее количество и качество российских специалистов в инфосек прекрасное, при желании и наличии политической воли все эти проблемы решаемы.
Перейдем в Telegram.
Некоторые инфосек каналы весьма однозначно "окрасили себя в те цвета, в которые они себя окрасили" (с) Ну, пусть остается на их совести. Мы лично никого люстрировать не призываем.
Другой, более важный, момент - со вчерашнего вечера в ряд российских ТГ-каналов начали массово заливать ботов.
Если кто не знает - это делается, как правило, для последующего бана канала администрацией Telegram. Саму схему расписывать не будем, но она есть.
Канал Незыгарь.Brief (https://news.1rj.ru/str/russicabrief) ночью лишился своей короткой ссылки, пытаясь предотвратить подлив ботов (ситуация известная, не следует уводить канал в приват).
Также боты пришли и на ряд дружественных нам инфосек каналов. Поэтому если вы видите, что у вас аномально растут подписчики, то в первую очередь уведомите администрацию Telegram. А во вторую - начинайте вычищать ботов руками. Опционально - можно сообщить об этом своей аудитории.
А мы лишь вспомним свои же вангования двухлетней давности (правда мы не предполагали наличие реальных боевых действий, но все равно похоже).
Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется.
Интерфакс
Хакеры снова атаковали IT-инфраструктуру правительства Крыма
IT-инфраструктура органов власти Крыма второй день подвергается DDoS-атаке, сообщили "Интерфаксу" в АО "Крымтехнологии".
На этой неделе Cisco выпустили исправления для 4 уязвимостей в своих сетевых операционных системах FXOS и NX-OS, включая одну ошибку отказа в обслуживании.
Самая серьезная CVE-2022-20650 с CVSS 8,8 можно использовать удаленно, без аутентификации для выполнения произвольных команд от имени пользователя root.
Ошибка возникает из-за того, что предоставленные пользователем данные недостаточно проверяются, что позволяет злоумышленнику отправить созданный HTTP-запрос POST к функции NX-API на уязвимом устройстве для выполнения команд в операционной системе. При этом, как отмечает Cisco, функция NX-API по умолчанию отключена.
Коммутаторы Nexus серий 3000, 5500, 5600, 6000 и 9000 подвержены этой уязвимости, если на них установлена неисправленная версия программного обеспечения NX-OS и включена функция NX-API.
Все три оставшиеся уязвимости могут быть использованы для создания условий отказа в обслуживании (DoS).
Одну из уязвимостей обнаружило АНБ США, по его информации - ошибка влияет на функцию Fabric Services over IP (CFSoIP) в NX-OS. CVE-2022-20624 обусловлена тем, что входящие пакеты CFSoIP недостаточно проверяются, что позволяет злоумышленнику отправлять специально созданные пакеты для ее эксплуатации.
Бага затрагивает Nexus серий 3000 и 9000 и UCS серии 6400, если включен CFSoIP (эта функция отключена по умолчанию). Дополнительной информацией об уязвимости при этом АНБ не поделилось.
Другая CVE-2022-20623 была обнаружена в ограничителе скорости для трафика (BFD) NX-OS и может быть использована удаленно, без аутентификации. Затронуты только коммутаторы серии Nexus 9000 в автономном режиме NX-OS.
Уязвимость существует из-за логической ошибки в функции ограничителя скорости BFD и может быть использована путем отправки созданного потока трафика через уязвимое устройство, что приводит к возникновению DoS.
Cisco также объявила о выпуске дополнительного исправления DoS-уязвимости (CVE-2021-1586), которую она первоначально устранила в августе 2021 года в сетевых конфигурациях Multi-Pod или Multi-Site для коммутаторов Nexus серии 9000 (в режиме Application Centric Infrastructure (ACI). Проблема возникает из-за неправильной очистки TCP-трафика, отправляемого на определенный порт, что позволяет злоумышленнику отправлять специально созданные данные.
Cisco рекомендует клиентам применить последние исправления для своих устройств, которые были выпущены в рамках полугодовых обновлений безопасности FXOS и NX-OS за февраль 2022 года. Поддержим и добавим, что ошибки активно используются в дикой природе.
Самая серьезная CVE-2022-20650 с CVSS 8,8 можно использовать удаленно, без аутентификации для выполнения произвольных команд от имени пользователя root.
Ошибка возникает из-за того, что предоставленные пользователем данные недостаточно проверяются, что позволяет злоумышленнику отправить созданный HTTP-запрос POST к функции NX-API на уязвимом устройстве для выполнения команд в операционной системе. При этом, как отмечает Cisco, функция NX-API по умолчанию отключена.
Коммутаторы Nexus серий 3000, 5500, 5600, 6000 и 9000 подвержены этой уязвимости, если на них установлена неисправленная версия программного обеспечения NX-OS и включена функция NX-API.
Все три оставшиеся уязвимости могут быть использованы для создания условий отказа в обслуживании (DoS).
Одну из уязвимостей обнаружило АНБ США, по его информации - ошибка влияет на функцию Fabric Services over IP (CFSoIP) в NX-OS. CVE-2022-20624 обусловлена тем, что входящие пакеты CFSoIP недостаточно проверяются, что позволяет злоумышленнику отправлять специально созданные пакеты для ее эксплуатации.
Бага затрагивает Nexus серий 3000 и 9000 и UCS серии 6400, если включен CFSoIP (эта функция отключена по умолчанию). Дополнительной информацией об уязвимости при этом АНБ не поделилось.
Другая CVE-2022-20623 была обнаружена в ограничителе скорости для трафика (BFD) NX-OS и может быть использована удаленно, без аутентификации. Затронуты только коммутаторы серии Nexus 9000 в автономном режиме NX-OS.
Уязвимость существует из-за логической ошибки в функции ограничителя скорости BFD и может быть использована путем отправки созданного потока трафика через уязвимое устройство, что приводит к возникновению DoS.
Cisco также объявила о выпуске дополнительного исправления DoS-уязвимости (CVE-2021-1586), которую она первоначально устранила в августе 2021 года в сетевых конфигурациях Multi-Pod или Multi-Site для коммутаторов Nexus серии 9000 (в режиме Application Centric Infrastructure (ACI). Проблема возникает из-за неправильной очистки TCP-трафика, отправляемого на определенный порт, что позволяет злоумышленнику отправлять специально созданные данные.
Cisco рекомендует клиентам применить последние исправления для своих устройств, которые были выпущены в рамках полугодовых обновлений безопасности FXOS и NX-OS за февраль 2022 года. Поддержим и добавим, что ошибки активно используются в дикой природе.
Forwarded from Social Engineering
🔖 S.E.Подборка. HackTheBox CTF Cheatsheet. RU.
Единственный способ стать умнее — играть с более умным противником.
Hack The Box. Уровень Easy:
• Прохождение Traceback. Бэкдор, LUA, SSH.
• Прохождение Omni. Ломаем легенький Windows IoT.
• Прохождение Buff. RCE в CMS Gym и в CloudMe.
• Прохождение Tabby. RCE в Tomcat, и повышаем привилегии через LXD.
• Прохождение Blunder. Ломаем Bludit CMS.
• Прохождение Remote. NFS, RCE в CMS Umbraco и LPE через UsoSvc.
• Прохождение Sauna. LDAP, AS-REP Roasting, AutoLogon, DCSync атака.
• Прохождение Nest. NTFS потоки, реверс C# и бродилка по SMB.
• Прохождение Traverxec. RCE в веб-сервере nostromo, техника GTFOBins.
• Прохождение Forest. AS-REP Roasting, атаки DCSync и Pass-The-Hash.
• Прохождение Postman. Redis и WebMin.
Hack The Box. Уровень Medium:
• Прохождение лаборатории Professional Offensive Operations. Пентест Active Directory.
• Прохождение Monteverde. Брут SMB и LPE через Azure Admins.
• Прохождение OpenKeys. Ломаем виртуалку OpenBSD.
• Прохождение SneakyMailer. Фишинговая рассылка, LPE через PyPI и GTFOBins pip3.
• Прохождение Fuse. RPC, принтеры и опасная привилегия SeLoadDriverPrivilege.
• Прохождение Cache. RCE в OpenEMR, memcached и docker.
• Прохождение Admirer. Уязвимость в Admirer и RCE через подмену переменной среды.
• Прохождение Magic. Password spraying. Mysqldump и LPE через sysinfo.
• Прохождение Cascade. LDAP и удаленные объекты Active Directory.
• Прохождение Book. XSS to LFI через PDF и LPE через Logrotate.
• Прохождение Resolute. Password spraying. От DnsAdmin до SYSTEM.
• Прохождение Obscurity. OS Command Injection и Race Condition.
• Прохождение Mango. NoSQL инъекция и LPE через JJS.
• Прохождение Sniper. RFI и вредоносный CHM документ.
• Прохождение Bitlab. Слабая JS обфускация, GIT и реверс Windows приложения.
Hack The Box. Уровень Hard:
• Прохождение Compromised. RCE LiteCart и бэкдор pam_unix.
• Прохождение Unbalanced. Rsync, EncFS, Squid, XPath инъекция и RCE в Pi-hole.
• Прохождение Intanse. Flask, атака HLE, SQL инъекция, SNMP to RCE, Ret2Libc.
• Прохождение Blackfield. Захват контроллера домена через SMB и RPC, LPE через теневую копию.
• Прохождение Travel. Memcache+SSRF=RCE, LPE через LDAP.
• Прохождение Quick. QUIC HTTP/3, XSLT инъекция, Race condition.
• Прохождение Oouch. OAuth2, RCE в uWSGI и LPE через DBUS.
• Прохождение Forwardslash. LFI, backup и шифрованный том.
• Прохождение Control. SQL инъекция и LPE через права на службу.
• Прохождение Registry. Docker, RCE в CMS Bolt и Restic.
• Прохождение Scavenger. DNS, FTP и следы другого взлома.
• Прохождение Zetta. FXP, IPv6, rsync, Postgres и SQLi.
• Прохождение RE. Metasploit, нагрузка в офисном документе, Zip Slip атака, немного о PowerSploit и токенах.
Hack The Box. Уровень Insane:
• Прохождение Laser. Jetdirect, RPC и кража SSH.
• Прохождение Dyplesher. Memcached, Gogs, RCE через создание плагина и LPE через AMQP.
• Прохождение Multimaster. Burp+Sqlmap. AD users from MSSQL. Уязвимость в VSCode. AMSI bypass и CVE ZeroLogon.
• Прохождение Fatty. Реверс и рекомпиляция клиент-серверного приложения. Java десериализация.
• Прохождение PlayerTwo. Twirp, 2FA bypass, Off-By-One атака.
• Прохождение Rope. PWN. Форматные строки и ROP используя pwntools.
• Прохождение Bankrobber. XSS, SQL инъекция, CSRF, port forwarding.
Дополнительная информация:
• https://github.com/Ignitetechnologies/HackTheBox-CTF-Writeups
• https://github.com/Ignitetechnologies/Privilege-Escalation
• https://github.com/Ignitetechnologies/Vulnhub-CTF-Writeups
• https://github.com/Ignitetechnologies/TryHackMe-CTF-Writeups
• Полный список #CTF площадок, можешь найти тут: https://news.1rj.ru/str/Social_engineering/1316
Твой S.E. #Пентест #CTF
Единственный способ стать умнее — играть с более умным противником.
🖖🏻 Приветствую тебя user_name.
• Собрал хорошую и большую подборку прохождений HTB, которая поможет прокачать твой скилл и получить новые знания в различных аспектах пентеста. Подборку разделил по уровням сложности, надеюсь будет полезно:Hack The Box. Уровень Easy:
• Прохождение Traceback. Бэкдор, LUA, SSH.
• Прохождение Omni. Ломаем легенький Windows IoT.
• Прохождение Buff. RCE в CMS Gym и в CloudMe.
• Прохождение Tabby. RCE в Tomcat, и повышаем привилегии через LXD.
• Прохождение Blunder. Ломаем Bludit CMS.
• Прохождение Remote. NFS, RCE в CMS Umbraco и LPE через UsoSvc.
• Прохождение Sauna. LDAP, AS-REP Roasting, AutoLogon, DCSync атака.
• Прохождение Nest. NTFS потоки, реверс C# и бродилка по SMB.
• Прохождение Traverxec. RCE в веб-сервере nostromo, техника GTFOBins.
• Прохождение Forest. AS-REP Roasting, атаки DCSync и Pass-The-Hash.
• Прохождение Postman. Redis и WebMin.
Hack The Box. Уровень Medium:
• Прохождение лаборатории Professional Offensive Operations. Пентест Active Directory.
• Прохождение Monteverde. Брут SMB и LPE через Azure Admins.
• Прохождение OpenKeys. Ломаем виртуалку OpenBSD.
• Прохождение SneakyMailer. Фишинговая рассылка, LPE через PyPI и GTFOBins pip3.
• Прохождение Fuse. RPC, принтеры и опасная привилегия SeLoadDriverPrivilege.
• Прохождение Cache. RCE в OpenEMR, memcached и docker.
• Прохождение Admirer. Уязвимость в Admirer и RCE через подмену переменной среды.
• Прохождение Magic. Password spraying. Mysqldump и LPE через sysinfo.
• Прохождение Cascade. LDAP и удаленные объекты Active Directory.
• Прохождение Book. XSS to LFI через PDF и LPE через Logrotate.
• Прохождение Resolute. Password spraying. От DnsAdmin до SYSTEM.
• Прохождение Obscurity. OS Command Injection и Race Condition.
• Прохождение Mango. NoSQL инъекция и LPE через JJS.
• Прохождение Sniper. RFI и вредоносный CHM документ.
• Прохождение Bitlab. Слабая JS обфускация, GIT и реверс Windows приложения.
Hack The Box. Уровень Hard:
• Прохождение Compromised. RCE LiteCart и бэкдор pam_unix.
• Прохождение Unbalanced. Rsync, EncFS, Squid, XPath инъекция и RCE в Pi-hole.
• Прохождение Intanse. Flask, атака HLE, SQL инъекция, SNMP to RCE, Ret2Libc.
• Прохождение Blackfield. Захват контроллера домена через SMB и RPC, LPE через теневую копию.
• Прохождение Travel. Memcache+SSRF=RCE, LPE через LDAP.
• Прохождение Quick. QUIC HTTP/3, XSLT инъекция, Race condition.
• Прохождение Oouch. OAuth2, RCE в uWSGI и LPE через DBUS.
• Прохождение Forwardslash. LFI, backup и шифрованный том.
• Прохождение Control. SQL инъекция и LPE через права на службу.
• Прохождение Registry. Docker, RCE в CMS Bolt и Restic.
• Прохождение Scavenger. DNS, FTP и следы другого взлома.
• Прохождение Zetta. FXP, IPv6, rsync, Postgres и SQLi.
• Прохождение RE. Metasploit, нагрузка в офисном документе, Zip Slip атака, немного о PowerSploit и токенах.
Hack The Box. Уровень Insane:
• Прохождение Laser. Jetdirect, RPC и кража SSH.
• Прохождение Dyplesher. Memcached, Gogs, RCE через создание плагина и LPE через AMQP.
• Прохождение Multimaster. Burp+Sqlmap. AD users from MSSQL. Уязвимость в VSCode. AMSI bypass и CVE ZeroLogon.
• Прохождение Fatty. Реверс и рекомпиляция клиент-серверного приложения. Java десериализация.
• Прохождение PlayerTwo. Twirp, 2FA bypass, Off-By-One атака.
• Прохождение Rope. PWN. Форматные строки и ROP используя pwntools.
• Прохождение Bankrobber. XSS, SQL инъекция, CSRF, port forwarding.
Дополнительная информация:
• https://github.com/Ignitetechnologies/HackTheBox-CTF-Writeups
• https://github.com/Ignitetechnologies/Privilege-Escalation
• https://github.com/Ignitetechnologies/Vulnhub-CTF-Writeups
• https://github.com/Ignitetechnologies/TryHackMe-CTF-Writeups
• Полный список #CTF площадок, можешь найти тут: https://news.1rj.ru/str/Social_engineering/1316
Твой S.E. #Пентест #CTF
На фоне с мировыми событиями и киберпротивостояниями под гнетом шпионской деятельности оказались компании из США, да не абы какие, а подрядчики оборонно-промышленного комплекса.
Новое специальное вредоносное ПО под названием SockDetour, было обнаружено в системах, принадлежащих компаниям осуществляющих заказы в интересах американской оборонки. Малварь использовалось в качестве резервного бэкдора для обеспечения доступа к скомпрометированным сетям.
Об угрозе заявили исследователи безопасности из Unit 42, которые давно отслеживали APT-группировку TiltedTemple. Группа попала в поле зрения после использования уязвимостей в Zoho ManageEngine ADSelfService Plus (CVE-2021-40539) и ServiceDesk Plus (CVE-2021-44077).
Злоумышленники использовали различные методы, чтобы получить доступ к скомпрометированным системам и закрепления в них, а также успешно взломали более десятка организаций в сфере технологий, энергетики, здравоохранения, образования, финансов и обороны. При проведении более детального анализа деятельности хакеров специалисты выявили еще один сложный инструмент, используемый для поддержания устойчивости нахождения в скомпрометированных системах, который собственно и назвали SockDetour.
SockDetour предназначен для использования в качестве резервного бэкдора на случай, если основной будет удален. Его трудно обнаружить, так как он работает без файлов и сокетов на скомпрометированных серверах Windows. Один из центров управления (C2), который злоумышленник использовал для распространения вредоносного ПО, как раз содержал SockDetour вместе с другими различными инструментами для дампа памяти и нескольких других веб-оболочек. Бэкдор успешно оставался незамеченным в течение длительного времени и по мнению специалистов SockDetour существует как минимум с июля 2019 года.
Основываясь на данных телеметрии Unit 42 специалисты считают, что злоумышленник использующий SockDetour, исключительно сосредоточен на атаках американских оборонных подрядчиков, так как у исследователей есть доказательства того, что целью этой кампании стали как минимум четыре организации из этой сферы, при этом как минимум один подрядчик был скомпрометирован.
Хотя Unit 42 не связывала вредоносное ПО SockDetour с конкретной хакерской группой, но исследователи подозревают, что кампания TiltedTemple является деятельностью группы угроз, отслеживаемой как APT27, спонсируемой Китаем. Частичная атрибуция основана на тактике и вредоносных инструментах, соответствующих предыдущей деятельности APT27 и аналогичным целям на те же отрасли промышленности для кибершпионажа.
Новое специальное вредоносное ПО под названием SockDetour, было обнаружено в системах, принадлежащих компаниям осуществляющих заказы в интересах американской оборонки. Малварь использовалось в качестве резервного бэкдора для обеспечения доступа к скомпрометированным сетям.
Об угрозе заявили исследователи безопасности из Unit 42, которые давно отслеживали APT-группировку TiltedTemple. Группа попала в поле зрения после использования уязвимостей в Zoho ManageEngine ADSelfService Plus (CVE-2021-40539) и ServiceDesk Plus (CVE-2021-44077).
Злоумышленники использовали различные методы, чтобы получить доступ к скомпрометированным системам и закрепления в них, а также успешно взломали более десятка организаций в сфере технологий, энергетики, здравоохранения, образования, финансов и обороны. При проведении более детального анализа деятельности хакеров специалисты выявили еще один сложный инструмент, используемый для поддержания устойчивости нахождения в скомпрометированных системах, который собственно и назвали SockDetour.
SockDetour предназначен для использования в качестве резервного бэкдора на случай, если основной будет удален. Его трудно обнаружить, так как он работает без файлов и сокетов на скомпрометированных серверах Windows. Один из центров управления (C2), который злоумышленник использовал для распространения вредоносного ПО, как раз содержал SockDetour вместе с другими различными инструментами для дампа памяти и нескольких других веб-оболочек. Бэкдор успешно оставался незамеченным в течение длительного времени и по мнению специалистов SockDetour существует как минимум с июля 2019 года.
Основываясь на данных телеметрии Unit 42 специалисты считают, что злоумышленник использующий SockDetour, исключительно сосредоточен на атаках американских оборонных подрядчиков, так как у исследователей есть доказательства того, что целью этой кампании стали как минимум четыре организации из этой сферы, при этом как минимум один подрядчик был скомпрометирован.
Хотя Unit 42 не связывала вредоносное ПО SockDetour с конкретной хакерской группой, но исследователи подозревают, что кампания TiltedTemple является деятельностью группы угроз, отслеживаемой как APT27, спонсируемой Китаем. Частичная атрибуция основана на тактике и вредоносных инструментах, соответствующих предыдущей деятельности APT27 и аналогичным целям на те же отрасли промышленности для кибершпионажа.
Unit 42
SockDetour – a Silent, Fileless, Socketless Backdoor – Targets U.S. Defense Contractors
SockDetour is a custom backdoor being used to maintain persistence, designed to serve as a backup backdoor in case the primary one is removed.
Уязвимости высокой степени серьезности CVE-2022-23131 и CVE-2022-23134 активно эксплуатируются в дикой природе. Речь идет о Zabbix - инструменте с открытым исходным кодом для мониторинга сетей, серверов, виртуальных машин и облачных сервисов. При этом согласно данным CISA, одна из уязвимостей имеет критическое значение 9,1 из 10.
Две уязвимости были обнаружены исследователями из SonarSource и представлены в техническом отчете почти месяц назад.
CVE-2022-23131 непосредственно связанна с Zabbix Frontend. Благодаря ей злоумышленник может обойти аутентификацию на серверах с настроенным языком разметки подтверждения безопасности SAML (открытый стандарт, обеспечивающий единую точку аутентификации (единый вход), которая обеспечивает обмен данными между поставщиком удостоверений и поставщиком услуг).
Если аутентификация SAML SSO включена (не по умолчанию), данные сеанса могут быть изменены злоумышленником, поскольку логин пользователя, сохраненный в сеансе, не проверяется. Это позволяет непроверенному злоумышленнику использовать эту уязвимость, чтобы получить привилегии и получить доступ администратора к интерфейсу Zabbix.
21 февраля исследователи также представили соответсвующий PoC. Кроме того, Национальный центр кибербезопасности в Нидерландах также подтверждает, что уязвимость активно эксплуатируется и позволяет удаленно выполнять код с привилегиями root.
Вторая уязвимость CVE-2022-23134 средней степени серьезности представляет собой проблему ненадлежащего контроля доступа, которая позволяет злоумышленникам изменить файл конфигурации (скрипт setup.php) и получить доступ к панели управления с повышенными привилегиями.
Разработчики Zabbix выпустили обновления (версии 5.4.9, 5.0.9 и 4.0.37), которые решают обе проблемы, в связи с чем, настоятельно рекомендуем установить их, особенно в контексте активной эксплуатации. Сами оцените насколько простой она может быть
Две уязвимости были обнаружены исследователями из SonarSource и представлены в техническом отчете почти месяц назад.
CVE-2022-23131 непосредственно связанна с Zabbix Frontend. Благодаря ей злоумышленник может обойти аутентификацию на серверах с настроенным языком разметки подтверждения безопасности SAML (открытый стандарт, обеспечивающий единую точку аутентификации (единый вход), которая обеспечивает обмен данными между поставщиком удостоверений и поставщиком услуг).
Если аутентификация SAML SSO включена (не по умолчанию), данные сеанса могут быть изменены злоумышленником, поскольку логин пользователя, сохраненный в сеансе, не проверяется. Это позволяет непроверенному злоумышленнику использовать эту уязвимость, чтобы получить привилегии и получить доступ администратора к интерфейсу Zabbix.
21 февраля исследователи также представили соответсвующий PoC. Кроме того, Национальный центр кибербезопасности в Нидерландах также подтверждает, что уязвимость активно эксплуатируется и позволяет удаленно выполнять код с привилегиями root.
Вторая уязвимость CVE-2022-23134 средней степени серьезности представляет собой проблему ненадлежащего контроля доступа, которая позволяет злоумышленникам изменить файл конфигурации (скрипт setup.php) и получить доступ к панели управления с повышенными привилегиями.
Разработчики Zabbix выпустили обновления (версии 5.4.9, 5.0.9 и 4.0.37), которые решают обе проблемы, в связи с чем, настоятельно рекомендуем установить их, особенно в контексте активной эксплуатации. Сами оцените насколько простой она может быть
YouTube
Zabbix Unsafe Session Storage - CVE-2022-23131
Enjoy the videos and music you love, upload original content, and share it all with friends, family, and the world on YouTube.
На фоне происходящих геополитических событий, аналогичных по масштабу которым не было, пожалуй, со времен развала Советского Союза, мы немного дезориентированы с точки зрения информационной повестки нашего канала. Будем стараться не забывать про традиционные инфосек новости и события.
А пока про конфликт. Если кратко - жара продолжается. К сожалению, не про все, что видим, можем написать.
Ботов в каналы продолжают подливать, ресурсы продолжают DDoS-ить.
Коллеги из Утечек информации разоблачили фейковый слив за авторством Anonymous, в котором якобы содержалась база контактных данных сотрудников Министерства обороны России. Самих Anonymous кто-то ушатал DDoS-ом с использованием ботнета KILLNET.
Весь инфосек-сегмент Twitter заполнен желто-синими флажками, худи, пледами, чехлами для iPhone и прочими Ukraine-тян. Вспоминается бессмертное "Я запостила веточку сакуры в свой бложик. Япония - мы с тобой!"
Администрация RAID заявила, что будет блокировать пользователей с российскими IP. Что это было - не до конца понятно. Во-первых, кто на RAID будет ходить из под своих IP?! Во-вторых, опять же неясно связано ли это с недавним взломом форума или таки это признание администрации в своем украинском происхождении?
Интересные вещи происходят с вымогателями. LockBit, например, сообщили о политическом нейтралитете.
Коленца выдала самая крупная на сегодняшний день по объему атак банда Conti. Сначала они разместили на своем DLS сообщение о том, что поддерживают Россию и планируют отвечать на кибератаки в ее адрес. Однако через некоторое время вымогатели смягчили позицию и сказали, что они вообще-то не на стороне какого-либо правительства и осуждают конфликт, но будут отвечать на атаки на российские и русскоязычные гражданские ресурсы и критическую инфраструктуру.
Эта оговорка, тем не менее, не помешала возмущенному таким отступлением от европейских ценностей члену группы украинского происхождения слить в паблик сотни JSON файлов внутренней переписки Conti. Западные инфосек журналисты упорно называют его "украинским инфосек исследователем". Раньше в США за такие "исследования" он получили бы лет 20 крытой.
Украина же фактически легализовала свои кибератаки, официально объявив о создании с этой целью "IT-армии". При этом и тут накосячили, назвав соответствующий ТГ-канал "itarmyofurraine". Ну вы поняли, urraine, ага.
Продолжаем наблюдать.
А пока про конфликт. Если кратко - жара продолжается. К сожалению, не про все, что видим, можем написать.
Ботов в каналы продолжают подливать, ресурсы продолжают DDoS-ить.
Коллеги из Утечек информации разоблачили фейковый слив за авторством Anonymous, в котором якобы содержалась база контактных данных сотрудников Министерства обороны России. Самих Anonymous кто-то ушатал DDoS-ом с использованием ботнета KILLNET.
Весь инфосек-сегмент Twitter заполнен желто-синими флажками, худи, пледами, чехлами для iPhone и прочими Ukraine-тян. Вспоминается бессмертное "Я запостила веточку сакуры в свой бложик. Япония - мы с тобой!"
Администрация RAID заявила, что будет блокировать пользователей с российскими IP. Что это было - не до конца понятно. Во-первых, кто на RAID будет ходить из под своих IP?! Во-вторых, опять же неясно связано ли это с недавним взломом форума или таки это признание администрации в своем украинском происхождении?
Интересные вещи происходят с вымогателями. LockBit, например, сообщили о политическом нейтралитете.
Коленца выдала самая крупная на сегодняшний день по объему атак банда Conti. Сначала они разместили на своем DLS сообщение о том, что поддерживают Россию и планируют отвечать на кибератаки в ее адрес. Однако через некоторое время вымогатели смягчили позицию и сказали, что они вообще-то не на стороне какого-либо правительства и осуждают конфликт, но будут отвечать на атаки на российские и русскоязычные гражданские ресурсы и критическую инфраструктуру.
Эта оговорка, тем не менее, не помешала возмущенному таким отступлением от европейских ценностей члену группы украинского происхождения слить в паблик сотни JSON файлов внутренней переписки Conti. Западные инфосек журналисты упорно называют его "украинским инфосек исследователем". Раньше в США за такие "исследования" он получили бы лет 20 крытой.
Украина же фактически легализовала свои кибератаки, официально объявив о создании с этой целью "IT-армии". При этом и тут накосячили, назвав соответствующий ТГ-канал "itarmyofurraine". Ну вы поняли, urraine, ага.
Продолжаем наблюдать.
⚡️Хакеры Anonymous произвели дефейс сайтов российских СМИ, среди которых: ТАСС, «Коммерсант», «Известия» и уральский портал «Е1».
Надо признать, что с информационной безопасностью в России ситуация стабильная - она стабильно хреновая.
Надо признать, что с информационной безопасностью в России ситуация стабильная - она стабильно хреновая.
Война войной, а ransomware по расписанию.
Nvidia стала жертвой атаки вымогателей, которая вывела из строя некоторые из его систем на несколько дней. Как позже выяснилось, Lapsus$ похитили из сети Nvidia более 1 ТБ данных. В качестве доказательств вымогатели слили хэши паролей всех сотрудников компании.
Сам производитель не делится подробностями, заявляя лишь, что ведет расследование инцидента и не располагает дополнительной информацией, которой можно было бы поделиться, а деловая и коммерческая деятельность продолжается непрерывно.
Закрытие сети McDonald's на Украине сразу после начала военной операции ВС РФ ознаменовалось также и отключением части их информационных систем в результате атаки вымогателей Snatch. Теперь их 500 ГБ уже висят на DLS в ожидании свободной кассы.
Nvidia стала жертвой атаки вымогателей, которая вывела из строя некоторые из его систем на несколько дней. Как позже выяснилось, Lapsus$ похитили из сети Nvidia более 1 ТБ данных. В качестве доказательств вымогатели слили хэши паролей всех сотрудников компании.
Сам производитель не делится подробностями, заявляя лишь, что ведет расследование инцидента и не располагает дополнительной информацией, которой можно было бы поделиться, а деловая и коммерческая деятельность продолжается непрерывно.
Закрытие сети McDonald's на Украине сразу после начала военной операции ВС РФ ознаменовалось также и отключением части их информационных систем в результате атаки вымогателей Snatch. Теперь их 500 ГБ уже висят на DLS в ожидании свободной кассы.
TechCrunch
Nvidia confirms it is investigating a cybersecurity incident
The chipmaker says its business and commercial activities continue uninterrupted.
NHS Digital предупреждает об RCE в Windows-клиенте для платформы управления аутентификацией Okta Advanced Server Access.
Решение обеспечивает управление идентификацией и доступом Zero Trust для облачной и локальной инфраструктуры, его используют тысячи компаний по всему миру.
Уязвимость удаленного выполнения кода CVE-2022-24295 и характерна всем версиям ПО до 1.57.0 включительно. Удаленный злоумышленник, не прошедший проверку подлинности, может активировать уязвимость, отправив специально созданный URL-адрес.
Успешная эксплуатация уязвимости может привести к полному захвату системы. Поставщик пока не предоставил технических подробностей ошибки, пытаясь избежать ее злонамеренного использования в дикой природе.
NHS Digital рекомендует поскорее установить исправления и отмечает отсутствие обходных путей для вновь выявленной уязвимости. Кроме того, вновь вышедший бюллетень NHS Digital также содержит обновленные рекомендации относительно уязвимостей Log4Shell (CVE-2021-45105, CVE-2021-45046 и CVE-2021-44228) в Okta.
Решение обеспечивает управление идентификацией и доступом Zero Trust для облачной и локальной инфраструктуры, его используют тысячи компаний по всему миру.
Уязвимость удаленного выполнения кода CVE-2022-24295 и характерна всем версиям ПО до 1.57.0 включительно. Удаленный злоумышленник, не прошедший проверку подлинности, может активировать уязвимость, отправив специально созданный URL-адрес.
Успешная эксплуатация уязвимости может привести к полному захвату системы. Поставщик пока не предоставил технических подробностей ошибки, пытаясь избежать ее злонамеренного использования в дикой природе.
NHS Digital рекомендует поскорее установить исправления и отмечает отсутствие обходных путей для вновь выявленной уязвимости. Кроме того, вновь вышедший бюллетень NHS Digital также содержит обновленные рекомендации относительно уязвимостей Log4Shell (CVE-2021-45105, CVE-2021-45046 и CVE-2021-44228) в Okta.
NHS Digital
Okta Releases Security Updates for Advanced Server Client for Windows - NHS Digital
Security update addresses a remote code execution vulnerability
Шум вокруг NSO Group, а также череда скандалов и разоблачений после публикаций израильской деловой газетой Calcalist о неправомерности использования шпионского ПО приобретает новый оборот. Из позиции постоянно оправдывающихся мальчиков для битья в компании решили ответить и подать иск на газету за клевету.
Израильская технологическая компания внимательно изучила опубликованные израильской газетой серию взрывных статей, в которых утверждалось, что израильская полиция незаконно использовала шпионское ПО в отношении десятков общественных деятелей и таки нашла некоторые не состыковки, а точнее откровенную ложь.
Иск NSO нацелен на конкретную статью, в которой говорится, что компания разрешила клиентам удалять следы использования ими шпионского ПО. Кроме того с учетом растущей негативной реакцией на свой продукт, компания вовсе поставила под сомнение общую достоверность отчетов, назвав серию статей «односторонней, предвзятой и ложной» и что "не каждое журналистское расследование с сенсационным заголовком об NSO действительно основано на фактах".
За свое оклеветание NSO потребовала возмещения ущерба в размере 1 миллиона шекелей (310 000 долларов), которое, как заявили в компании будет направлено на благотворительность.
Мы ранее писали о публикациях Calcalist в которых утверждается, что полиция шпионила за политиками, протестующими и даже членами ближайшего окружения бывшего премьер-министра Биньямина Нетаньяху, включая одного из его сыновей еще и без судебного ордера. Но расследование, проведенное заместителем генерального прокурора Израиля, не нашло доказательств в поддержку этих утверждений.
NSO по прежнему заявляет, что продает продукт исключительным государственным организациям для борьбы с преступностью и терроризмом, при этом все продажи регулируются правительством Израиля. Кроме того, компания не идентифицирует своих клиентов и говорит, что не знает, кто является мишенью.
Так что вполне вероятно, что за громкие заголовки газеты Calcalist таки придется рассчитаться.
Израильская технологическая компания внимательно изучила опубликованные израильской газетой серию взрывных статей, в которых утверждалось, что израильская полиция незаконно использовала шпионское ПО в отношении десятков общественных деятелей и таки нашла некоторые не состыковки, а точнее откровенную ложь.
Иск NSO нацелен на конкретную статью, в которой говорится, что компания разрешила клиентам удалять следы использования ими шпионского ПО. Кроме того с учетом растущей негативной реакцией на свой продукт, компания вовсе поставила под сомнение общую достоверность отчетов, назвав серию статей «односторонней, предвзятой и ложной» и что "не каждое журналистское расследование с сенсационным заголовком об NSO действительно основано на фактах".
За свое оклеветание NSO потребовала возмещения ущерба в размере 1 миллиона шекелей (310 000 долларов), которое, как заявили в компании будет направлено на благотворительность.
Мы ранее писали о публикациях Calcalist в которых утверждается, что полиция шпионила за политиками, протестующими и даже членами ближайшего окружения бывшего премьер-министра Биньямина Нетаньяху, включая одного из его сыновей еще и без судебного ордера. Но расследование, проведенное заместителем генерального прокурора Израиля, не нашло доказательств в поддержку этих утверждений.
NSO по прежнему заявляет, что продает продукт исключительным государственным организациям для борьбы с преступностью и терроризмом, при этом все продажи регулируются правительством Израиля. Кроме того, компания не идентифицирует своих клиентов и говорит, что не знает, кто является мишенью.
Так что вполне вероятно, что за громкие заголовки газеты Calcalist таки придется рассчитаться.
В результате киберинцидента крупнейший японский автопроизводитель Toyota Motors был вынужден остановить производство. Дочерние компании автопроизводителя Daihatsu Motors и Hino Motors также прекращают работу.
Атаке подвергся ее поставщик - Kojima Industries, японский производитель пластиковых компонентов, которые имеют решающее значение для производства автомобилей.
Toyota заявила, что приостановлена работа 28 производственных линий на 14 заводах в Японии, начиная с 1 марта 2022 года. Прогнозируемый ущерб — снижение ежемесячного производства Toyota в Японии на 5%, что составляет примерно 13 000 единиц.
Подробностей инцидента не сообщается, все признаки указывают на ransomware. На руку хакерам сыграл также главный производственный принцип Toyota - just in time (JIT), поставивший технологический процесс в жёсткую систему поставок, главное звено которого как раз и было нарушено.
И даже в этой казалось сугубо инфосековской истории, западные ресерчеры и журналисты, первым делом, пытаются увязать инцидент ответными мерами Москвы на санкции Японии. Отвечая на вопросы прессы, премьер-министр Фумио Кисида заявил по этому поводу, что на данный момент подтверждений связи с Россией нет.
С сожалением констатируем, что еще задолго до известных событий на Украине, стало возникать все больше вопросов к западному инфосек-сообществу, напрочь позабывшему такое понятие как атрибуция.
Но после начала военной операции ВС РФ все стало еще печальнее, ведь те самые исследователи, призванные бороться с киберугрозами и стоять на страже информационной безопасности, стали и вовсе поощрять атаки и прочие киберпровокации, которые развернула украинская сторона. Отличный пример двуличия показал небезызвестный Кребс, публично поддержавший кибератаки украинских хакеров в отношении объектов государственного и коммерческого сектора РФ.
К еще большему сожалению, вынуждены признать, что этические и профессиональные принципы отрасли, по всей видимости, также утратили какое-либо значение для западных коллег.
Атаке подвергся ее поставщик - Kojima Industries, японский производитель пластиковых компонентов, которые имеют решающее значение для производства автомобилей.
Toyota заявила, что приостановлена работа 28 производственных линий на 14 заводах в Японии, начиная с 1 марта 2022 года. Прогнозируемый ущерб — снижение ежемесячного производства Toyota в Японии на 5%, что составляет примерно 13 000 единиц.
Подробностей инцидента не сообщается, все признаки указывают на ransomware. На руку хакерам сыграл также главный производственный принцип Toyota - just in time (JIT), поставивший технологический процесс в жёсткую систему поставок, главное звено которого как раз и было нарушено.
И даже в этой казалось сугубо инфосековской истории, западные ресерчеры и журналисты, первым делом, пытаются увязать инцидент ответными мерами Москвы на санкции Японии. Отвечая на вопросы прессы, премьер-министр Фумио Кисида заявил по этому поводу, что на данный момент подтверждений связи с Россией нет.
С сожалением констатируем, что еще задолго до известных событий на Украине, стало возникать все больше вопросов к западному инфосек-сообществу, напрочь позабывшему такое понятие как атрибуция.
Но после начала военной операции ВС РФ все стало еще печальнее, ведь те самые исследователи, призванные бороться с киберугрозами и стоять на страже информационной безопасности, стали и вовсе поощрять атаки и прочие киберпровокации, которые развернула украинская сторона. Отличный пример двуличия показал небезызвестный Кребс, публично поддержавший кибератаки украинских хакеров в отношении объектов государственного и коммерческого сектора РФ.
К еще большему сожалению, вынуждены признать, что этические и профессиональные принципы отрасли, по всей видимости, также утратили какое-либо значение для западных коллег.
Toyota Motor Corporation Official Global Website
March Production Plan (as of February 28) | Corporate | Global Newsroom | Toyota Motor Corporation Official Global Website
Due to a system failure at a domestic supplier (KOJIMA INDUSTRIES CORPORATION), we have decided to suspend the operation of 28 lines at 14 plants in Japan on Tuesday, March 1st (both 1st and 2nd shifts). We apologize to our relevant suppliers and customers…
Forwarded from S.E.Reborn
APT-атаки на промышленные компании во второй половине 2021 года.
Обзор основных APT-атак на промышленные организации, сведения о которых были опубликованы во второй половине 2021 года.
Обзор основных APT-атак на промышленные организации, сведения о которых были опубликованы во второй половине 2021 года.
Kaspersky ICS CERT | Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского»
APT-атаки на промышленные компании во второй половине 2021 года | Kaspersky ICS CERT
Обзор основных APT-атак на промышленные организации, сведения о которых были опубликованы во второй половине 2021 года.
Немного о ситуации, связанной с проведением ВС РФ военной операции на Украине. Инцидентов становится катастрофически много. К сожалению, про все, что фиксируем писать не сможем. Остановимся на значимых событиях.
Потасовка среди вымогателей продолжается.
Первоначально заявившие о поддержке России Conti, впоследствии смягчившие свою риторику в интересах бизнеса, попали под информационную атаку оппонентов, которые опубличили данные о заработках хакеров, начиная с 2017 года. Как мы предполагали, цифры оказались в 5 и более раз выше, нежели официально заявленные ресерчерами. За пять лет Conti, если верить сливу, заработали 65,498.197 BTC или 2,7 млрд. USD. Что подтверждает нашу версию о высокой латентности инцидентов с использованием ransomware. Не слив - а, пожалуй, неплохая реклама.
Под всеобщее ликование представителей западного инфосека Украина фактически легализовала преступные компьютерные атаки с использованием своей народной IT-армии, что фактически равносильно тому, как они легализовали в своей стране незаконный оборот оружия, раздавая его всем желающим. Результатом такой кибервакханалии стали атаки на российские компании и инфраструктуру. Так, клиенты аптечной сети Озерки получили push-уведомления с провокационным содержанием.
В ответ на агрессию украинских хакеров, группировка Killnet, на счету которых атаки на сайты Anonymous и Правого сектора (запрещённой в России организации), выпустила обращение в поддержку действий России и ее интересов в киберпространстве. Killnet посоветовал Anonymous заняться починкой своего сервера, а россиянам не переживать.
Отдельного внимания также заслуживают зарубежные хостеры и регистраторы, которые своими «частными санкциями» в поддержку Украины, начинают аннулировать регистрацию (после прекращения срока подписки) и прекращать предоставление соответствующих услуг в ru-сегмент. Уведомления от недружественных операторов уже стали поступать российским пользователям.
В новых санкционных реалиях Минцифры РФ отметило одним из приоритетных направлений - развитие российской IT-отрасли, для чего подготовило перечень первоочередных мер поддержки. Решено расширить налоговые преференции и в некоторых случаях освободить сотрудников и компании от уплаты налогов и проверок, предоставить айтишникам льготную ипотеку со ставкой 5%, упростить бюрократические механизмы для иностранных специалистов, финансировать разработку и развитие IT-продукции, обеспечить ускоренное импортозамещение, а также создать в России аналог репозитория открытого ПО GitHub.
Потасовка среди вымогателей продолжается.
Первоначально заявившие о поддержке России Conti, впоследствии смягчившие свою риторику в интересах бизнеса, попали под информационную атаку оппонентов, которые опубличили данные о заработках хакеров, начиная с 2017 года. Как мы предполагали, цифры оказались в 5 и более раз выше, нежели официально заявленные ресерчерами. За пять лет Conti, если верить сливу, заработали 65,498.197 BTC или 2,7 млрд. USD. Что подтверждает нашу версию о высокой латентности инцидентов с использованием ransomware. Не слив - а, пожалуй, неплохая реклама.
Под всеобщее ликование представителей западного инфосека Украина фактически легализовала преступные компьютерные атаки с использованием своей народной IT-армии, что фактически равносильно тому, как они легализовали в своей стране незаконный оборот оружия, раздавая его всем желающим. Результатом такой кибервакханалии стали атаки на российские компании и инфраструктуру. Так, клиенты аптечной сети Озерки получили push-уведомления с провокационным содержанием.
В ответ на агрессию украинских хакеров, группировка Killnet, на счету которых атаки на сайты Anonymous и Правого сектора (запрещённой в России организации), выпустила обращение в поддержку действий России и ее интересов в киберпространстве. Killnet посоветовал Anonymous заняться починкой своего сервера, а россиянам не переживать.
Отдельного внимания также заслуживают зарубежные хостеры и регистраторы, которые своими «частными санкциями» в поддержку Украины, начинают аннулировать регистрацию (после прекращения срока подписки) и прекращать предоставление соответствующих услуг в ru-сегмент. Уведомления от недружественных операторов уже стали поступать российским пользователям.
В новых санкционных реалиях Минцифры РФ отметило одним из приоритетных направлений - развитие российской IT-отрасли, для чего подготовило перечень первоочередных мер поддержки. Решено расширить налоговые преференции и в некоторых случаях освободить сотрудников и компании от уплаты налогов и проверок, предоставить айтишникам льготную ипотеку со ставкой 5%, упростить бюрократические механизмы для иностранных специалистов, финансировать разработку и развитие IT-продукции, обеспечить ускоренное импортозамещение, а также создать в России аналог репозитория открытого ПО GitHub.
Telegram
Караульный Z
❗️Обращение российских хакеров из группировки Killnet, уронивших сайты Anonymous и Правого сектора (запрещённой в России организации)
Killnet посоветовал Anonymous заняться починкой своего положенного сервера, а россиянам не переживать...
Россия сравнивает…
Killnet посоветовал Anonymous заняться починкой своего положенного сервера, а россиянам не переживать...
Россия сравнивает…
Группа ученых из Тель-Авивского университета в ходе анализа криптографического дизайна и аппаратного хранилища ключей обнаружила баги, которые затрагивают около 100 миллионов флагманских устройств Samsung Galaxy S8, S9, S10, S20 и S21 базе Android и приводят к раскрытию криптографических ключей. В группу вошли исследователи: Алон Шаковский, Эяль Ронен и Авишай Вул.
В Android существует изолированная среда для выполнения Trusted Applications (TA) для выполнения критических задач безопасности для обеспечения конфиденциальности и целостности - это безопасная зона Trusted Execution Environments (TEE). Для того, что основная операционная система не имеет прямого доступа к ключам, используется аппаратное хранилище ключей, которое обеспечивает создание и хранение криптографических ключей в TEE.
Хранилище, в свою очередь, реализует API-интерфейсы в форме Keymaster TA (доверенное приложение) для выполнения криптографических операций в этой среде, включая безопасное создание ключей, их хранение и их использование для цифровой подписи и шифрования. На мобильных устройствах Samsung Keymaster TA работает в TEE на базе ARM TrustZone.
Успешная эксплуатация уязвимостей Keymaster TA как раз и приводит к несанкционированному доступу к аппаратно защищенным ключам и данным, защищенным TEE. Последствия такой атаки могут варьироваться от обхода аутентификации до сложных операции, которые могут нарушить основные функции безопасности, поддерживаемые криптографическими системами.
Среди выявленных ошибок следующие:
- CVE-2021-25444: уязвимость повторного использования IV в Keymaster до SMR AUG-2021 Release 1 позволяет расшифровать пользовательский ключевой BLOB-объект с помощью привилегированного процесса. Влияет на Galaxy S9, J3 Top, J7 Top, J7 Duo, TabS4, Tab-AS-Lite, A6 Plus и A9S.
- CVE-2021-25490: уязвимость понижения уровня ключевого блоба в Keymaster до выпуска 1 SMR за октябрь 2021 г., которая позволяет злоумышленнику активировать уязвимость повторного использования с помощью привилегированного процесса. Влияет на Galaxy S10, S20 и S21.
После раскрытия информации в мае и июле 2021 года проблемы были устранены с помощью обновлений, выпущенных в августе и октябре 2021 года для всех уязвимых устройств. Подробности исследований будут представлены на симпозиуме по безопасности USENIX в августе этого года. Но на всякий случай напоминаем о необходимости обновления девайсов, если вы используете перечисленные модели производителя.
В Android существует изолированная среда для выполнения Trusted Applications (TA) для выполнения критических задач безопасности для обеспечения конфиденциальности и целостности - это безопасная зона Trusted Execution Environments (TEE). Для того, что основная операционная система не имеет прямого доступа к ключам, используется аппаратное хранилище ключей, которое обеспечивает создание и хранение криптографических ключей в TEE.
Хранилище, в свою очередь, реализует API-интерфейсы в форме Keymaster TA (доверенное приложение) для выполнения криптографических операций в этой среде, включая безопасное создание ключей, их хранение и их использование для цифровой подписи и шифрования. На мобильных устройствах Samsung Keymaster TA работает в TEE на базе ARM TrustZone.
Успешная эксплуатация уязвимостей Keymaster TA как раз и приводит к несанкционированному доступу к аппаратно защищенным ключам и данным, защищенным TEE. Последствия такой атаки могут варьироваться от обхода аутентификации до сложных операции, которые могут нарушить основные функции безопасности, поддерживаемые криптографическими системами.
Среди выявленных ошибок следующие:
- CVE-2021-25444: уязвимость повторного использования IV в Keymaster до SMR AUG-2021 Release 1 позволяет расшифровать пользовательский ключевой BLOB-объект с помощью привилегированного процесса. Влияет на Galaxy S9, J3 Top, J7 Top, J7 Duo, TabS4, Tab-AS-Lite, A6 Plus и A9S.
- CVE-2021-25490: уязвимость понижения уровня ключевого блоба в Keymaster до выпуска 1 SMR за октябрь 2021 г., которая позволяет злоумышленнику активировать уязвимость повторного использования с помощью привилегированного процесса. Влияет на Galaxy S10, S20 и S21.
После раскрытия информации в мае и июле 2021 года проблемы были устранены с помощью обновлений, выпущенных в августе и октябре 2021 года для всех уязвимых устройств. Подробности исследований будут представлены на симпозиуме по безопасности USENIX в августе этого года. Но на всякий случай напоминаем о необходимости обновления девайсов, если вы используете перечисленные модели производителя.
Ответка вернулась.
Сразу после разоблачения китайскими исследователями из Pangu Lab бэкдора Bvp47, который уже более десяти лет используется АНБ США, специалисты Symantec Threat Hunter Team расчехляют новое и достаточно сложное вредоносное ПО, которое, по их мнению, используется китайскими АРТ.
Целями атак с использованием Daxin становились правительственные и иные важные объекты в организациях телекоммуникационного, транспортного и производственного секторов, представляющие стратегический интерес для Китая. Самые последние известные атаки Daxin произошли в ноябре 2021 года, самый ранний известный образец вредоносного ПО датируется 2013 годом.
Daxin поставляется в виде драйвера ядра Windows, что в настоящее время является относительно редким форматом для вредоносных программ. Отличается технической сложностью, с которой специалисты ранее не сталкивались, и является самой передовой частью китайского вредоносного ПО. Кроме того, может быть связан с обнаруженным Microsoft в декабре 2012 года бэкдором VirTool:WinNT/Exforel.A.
Symantec выпустила индикаторы компрометации (IOC) и технические подробности, а также документацию о том, как вредоносное ПО Daxin реализует расширенные коммуникационные функции с высокой степенью скрытности в высокозащищенных сетях, где прямое подключение к Интернету недоступно.
По результатам анализа исследователи пришли к выводу о том, что такие расширенные функции управления и контроля напоминают Regin, обнаруженный ими в 2014 году инструмент шпионажа западных спецслужб. В основе Daxin лежат методы связи, которые позволяют соединениям смешиваться с обычным сетевым трафиком в сети цели.
Daxin заточен под защищенные цели и позволяет хакерам глубоко и скрытно проникать в сеть для эксфильтрации данных. Более старая известная вредоносная программа — Backdoor.Zala (Exforel) содержала ряд общих функций, но не обладала многими расширенными возможностями Daxin. Он, похоже, опирается на сетевые методы Zala, повторно используя значительный объем отличительного кода.
Кроме того, Symantec обнаружили, что вредоносное ПО может злоупотреблять любыми уже работающими сетевыми службами, избегая запуска собственных. Daxin также может ретранслировать свои сообщения через сеть зараженных компьютеров в атакуемой организации.
Вредоносное ПО также использует сетевое туннелирование, чтобы злоумышленники могли взаимодействовать с другими службами в сети жертвы, к которым можно получить доступ с любого зараженного компьютера. Вредоносное ПО может обмениваться данными, перехватывая текущие TCP/IP-соединения, устанавливая соединение в сетях со строгими правилами брандмауэра, что значительно снижает риск обнаружения со стороны SOC.
Исследовательская группа компании подчеркнула, что обнаружила несколько технических ссылок, позволяющих с уверенностью приписать Daxin известным китайским АРТ. Так, в ходе атаки на компанию, занимающуюся информационными технологиями, в ноябре 2019 года злоумышленники использовали PsExec, чтобы сначала попытаться развернуть Daxin, а затем прибегнуть к Trojan.Owprox, который связан с китайским Slug (Owlproxy). В мае 2020 года вредоносная активность с использованием как Backdoor.Daxin, так и Trojan.Owprox произошла на одном компьютере, принадлежащем другой организации, технологической компании.
Сразу после разоблачения китайскими исследователями из Pangu Lab бэкдора Bvp47, который уже более десяти лет используется АНБ США, специалисты Symantec Threat Hunter Team расчехляют новое и достаточно сложное вредоносное ПО, которое, по их мнению, используется китайскими АРТ.
Целями атак с использованием Daxin становились правительственные и иные важные объекты в организациях телекоммуникационного, транспортного и производственного секторов, представляющие стратегический интерес для Китая. Самые последние известные атаки Daxin произошли в ноябре 2021 года, самый ранний известный образец вредоносного ПО датируется 2013 годом.
Daxin поставляется в виде драйвера ядра Windows, что в настоящее время является относительно редким форматом для вредоносных программ. Отличается технической сложностью, с которой специалисты ранее не сталкивались, и является самой передовой частью китайского вредоносного ПО. Кроме того, может быть связан с обнаруженным Microsoft в декабре 2012 года бэкдором VirTool:WinNT/Exforel.A.
Symantec выпустила индикаторы компрометации (IOC) и технические подробности, а также документацию о том, как вредоносное ПО Daxin реализует расширенные коммуникационные функции с высокой степенью скрытности в высокозащищенных сетях, где прямое подключение к Интернету недоступно.
По результатам анализа исследователи пришли к выводу о том, что такие расширенные функции управления и контроля напоминают Regin, обнаруженный ими в 2014 году инструмент шпионажа западных спецслужб. В основе Daxin лежат методы связи, которые позволяют соединениям смешиваться с обычным сетевым трафиком в сети цели.
Daxin заточен под защищенные цели и позволяет хакерам глубоко и скрытно проникать в сеть для эксфильтрации данных. Более старая известная вредоносная программа — Backdoor.Zala (Exforel) содержала ряд общих функций, но не обладала многими расширенными возможностями Daxin. Он, похоже, опирается на сетевые методы Zala, повторно используя значительный объем отличительного кода.
Кроме того, Symantec обнаружили, что вредоносное ПО может злоупотреблять любыми уже работающими сетевыми службами, избегая запуска собственных. Daxin также может ретранслировать свои сообщения через сеть зараженных компьютеров в атакуемой организации.
Вредоносное ПО также использует сетевое туннелирование, чтобы злоумышленники могли взаимодействовать с другими службами в сети жертвы, к которым можно получить доступ с любого зараженного компьютера. Вредоносное ПО может обмениваться данными, перехватывая текущие TCP/IP-соединения, устанавливая соединение в сетях со строгими правилами брандмауэра, что значительно снижает риск обнаружения со стороны SOC.
Исследовательская группа компании подчеркнула, что обнаружила несколько технических ссылок, позволяющих с уверенностью приписать Daxin известным китайским АРТ. Так, в ходе атаки на компанию, занимающуюся информационными технологиями, в ноябре 2019 года злоумышленники использовали PsExec, чтобы сначала попытаться развернуть Daxin, а затем прибегнуть к Trojan.Owprox, который связан с китайским Slug (Owlproxy). В мае 2020 года вредоносная активность с использованием как Backdoor.Daxin, так и Trojan.Owprox произошла на одном компьютере, принадлежащем другой организации, технологической компании.
Security
Daxin: Stealthy Backdoor Designed for Attacks Against Hardened Networks
Espionage tool is the most advanced piece of malware Symantec researchers have seen from China-linked actors.
В период нарастающей мировой напряженности работа кибербанд и кибермарадеров увеличивается в прогрессии. Буквально на днях шведская компания Axis Communications, чьи сетевые камеры и другие решения для обеспечения физической безопасности используются государственными и частными организациями по всему миру подверглась кибератаке, которая нарушила деятельность компании и потребителей.
Axis проинформировала клиентов о компрометации ее оборудования, через день после того, как ее системы безопасности обнаружили нарушение. В результате общедоступные сервисы были отключены по всему миру, дабы ограничить потенциальное негативные последствия от деятельности злоумышленников.
Компания сообщила, что атака была связана с социальной инженерией и захватом учетных записей сотрудников, при этом злоумышленникам удалось обойти многофакторную аутентификацию. Злоумышленникам также удалось повысить привилегии до необходимого уровня доступа для компрометации внутренних служб и каталогов.
Учитывая уровень угроз, компания решила закрыть весь доступ к сети по всему миру, что привело к перебоям в предоставлении услуг сотрудникам и партнерам в более чем 50 странах.
Однако до сих пор неясно, была ли это деятельность банд-вымогателей или кого-то еще, но компания заявила, что зашифрованных серверов обнаружено не было, однако подтвердила факт обнаружения вредоносного ПО. Сведения об утечке информации о клиентах в компании также были опровергнуты.
На данный момент большая часть внешних сервисов Axis была восстановлена, но компания будет работать в «ограниченном режиме» до тех пор, пока не будет завершено расследование инцидента.
Axis проинформировала клиентов о компрометации ее оборудования, через день после того, как ее системы безопасности обнаружили нарушение. В результате общедоступные сервисы были отключены по всему миру, дабы ограничить потенциальное негативные последствия от деятельности злоумышленников.
Компания сообщила, что атака была связана с социальной инженерией и захватом учетных записей сотрудников, при этом злоумышленникам удалось обойти многофакторную аутентификацию. Злоумышленникам также удалось повысить привилегии до необходимого уровня доступа для компрометации внутренних служб и каталогов.
Учитывая уровень угроз, компания решила закрыть весь доступ к сети по всему миру, что привело к перебоям в предоставлении услуг сотрудникам и партнерам в более чем 50 странах.
Однако до сих пор неясно, была ли это деятельность банд-вымогателей или кого-то еще, но компания заявила, что зашифрованных серверов обнаружено не было, однако подтвердила факт обнаружения вредоносного ПО. Сведения об утечке информации о клиентах в компании также были опровергнуты.
На данный момент большая часть внешних сервисов Axis была восстановлена, но компания будет работать в «ограниченном режиме» до тех пор, пока не будет завершено расследование инцидента.
Anonymous нашли на просторах сайта российского Минэкономразвития открытые папки, доступные для просмотра. И хотя в адресе этих папок виден домен old., а в самих папках лежат какие-то картинки и документы 2013 года, выдается все это за неэпическую кибероперацию.
Безусловно тот, кто забыл закрыть папки, должен получить по голове, но на инцидент это, имхо, не тянет.
Хакеры my ass.
Безусловно тот, кто забыл закрыть папки, должен получить по голове, но на инцидент это, имхо, не тянет.
Хакеры my ass.
Twitter
Anonymous • News🌐
Database of the Ministry of Economic Development of Russia ►old.economy.gov.ru/minec/resource… ►old.economy.gov.ru/wps/wcm/connec… #Anonymous #OpRussia #StopWar🇺🇦
Украинские Anonymous подумали, что Китай выступает с Россией единым фронтом против Украины и решили ушатать по китайским государственным учреждениям. Под хэштегом #RussianAlliances.
Под раздачу попало Государственное управление оборонной науки, техники и промышленности Китая (ГУОНТП), базу данных пользователей которого они якобы сперли. Как всегда надо проверять, вполне возможно, что это фейк.
По данным незабаненной пока Вики основная задача ГУОНТП - координация работы промышленности и научных центров по выполнению поступающих от Главного управления вооружений и военной техники НОАК заказов на проведение НИОКР и выпуск продукции военного назначения. Если проще, ГУОНТП - это головной центр китайских военных научных разработок.
Обычно причастные к подобным утечкам молчат в тряпочку. Не самый умный поступок со стороны украинских анонов.
Под раздачу попало Государственное управление оборонной науки, техники и промышленности Китая (ГУОНТП), базу данных пользователей которого они якобы сперли. Как всегда надо проверять, вполне возможно, что это фейк.
По данным незабаненной пока Вики основная задача ГУОНТП - координация работы промышленности и научных центров по выполнению поступающих от Главного управления вооружений и военной техники НОАК заказов на проведение НИОКР и выпуск продукции военного назначения. Если проще, ГУОНТП - это головной центр китайских военных научных разработок.
Обычно причастные к подобным утечкам молчат в тряпочку. Не самый умный поступок со стороны украинских анонов.
X (formerly Twitter)
X
-партнёрский пост-
XI конференция по кибербезопасности ZeroNights 2022 в Петербурге!
ZeroNights – это квинтэссенция того, чем ИБ-сообщество живет целый год. И организаторы в 11-й раз соберут всех неравнодушных к прикладным аспектам отрасли.
🗓 Дата
23 июня 2022
📍Место
Санкт-Петербург, Севкабель Порт
💥Программа
На ZeroNights будут представлены тщательно отобранные доклады по самым разным темам информационной безопасности.
В этом году массу интересного можно будет услышать на отдельной секции Defensive Track, посвященной практической стороне ИБ в контексте защиты и обеспечения безопасности ресурсов и приложений.
Спикеры любимой многими секции Web Village расскажут о современных атаках на веб-приложения. Желающие прокачать свои скиллы и овладеть новыми навыками смогут сделать это в рамках воркшопов и Hardware Zone.
Активностей с ценными призами для победителей будет еще больше!
Купить билет +120 к интеллекту
XI конференция по кибербезопасности ZeroNights 2022 в Петербурге!
ZeroNights – это квинтэссенция того, чем ИБ-сообщество живет целый год. И организаторы в 11-й раз соберут всех неравнодушных к прикладным аспектам отрасли.
🗓 Дата
23 июня 2022
📍Место
Санкт-Петербург, Севкабель Порт
💥Программа
На ZeroNights будут представлены тщательно отобранные доклады по самым разным темам информационной безопасности.
В этом году массу интересного можно будет услышать на отдельной секции Defensive Track, посвященной практической стороне ИБ в контексте защиты и обеспечения безопасности ресурсов и приложений.
Спикеры любимой многими секции Web Village расскажут о современных атаках на веб-приложения. Желающие прокачать свои скиллы и овладеть новыми навыками смогут сделать это в рамках воркшопов и Hardware Zone.
Активностей с ценными призами для победителей будет еще больше!
Купить билет +120 к интеллекту
А теперь новости с санкционных полей:
- Решения Fortinet после обновления превращаются в «кирпич»: пока что это коснулось компаний, которые попали под санкции и рестрикция со стороны запада.
- Американский поставщик программного обеспечения и услуг в сфере информационной безопасности Websense (известный также как Forcepoint со штаб-квартирой в Остине, штат Техас) разрывает отношения со своими российскими партнерами.
- Решения Fortinet после обновления превращаются в «кирпич»: пока что это коснулось компаний, которые попали под санкции и рестрикция со стороны запада.
- Американский поставщик программного обеспечения и услуг в сфере информационной безопасности Websense (известный также как Forcepoint со штаб-квартирой в Остине, штат Техас) разрывает отношения со своими российскими партнерами.