• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Здравия всем, дамы и господа. Ноябрь уже здесь, равно, как новая статья и нерабочая неделя на территории РФ. Но эта “нерабочесть” меня не коснулась, посему я здесь, и вы тоже, раз уж читаете это.

IbIt.jpg


“За пределами”

Именно такое название получила корпорация, ранее называемая Facebook inc. Важное замечание – не соцсеть, а именно корпорация, владеющая соцсетью (а ещё мессенджером WhatsApp и ещё одной соцсетью: Instagram). Ах да, название, разумеется не “за пределами”, а “Meta”, что происходит от греческого слова “за пределами” или “после”. Кроме того, господин Цукерберг сказал, что это не ребрендинг, а прям таки перерождение в новую платформу, в которой социальная сеть Facebook уже не будет играть такую большую роль. Основой теперь станет Metaverse – метавселенная, призванная объеденить пользователей со всего мира и позволяющая им общаться без привязки к физическому местоположению. Мой мозг рисует что-то наподобие “Оазиса” из фильма “Первому игроку приготовиться”. Не знаю, насколько моё представление близко к мечтам господина Цукерберга, но его слова о том, что новая платформа будет еще более погружающей для пользователей и воплотит в цифровую реальность новую главу интернета, где ощущение присутствия будет максимально приближено к реальности как с помощью голограмм, так и повсеместному использованию устройств дополненной и виртуальной реальности меня немного напрягают, так как большее погружение будет обозначать увеличение количества информации у Facebook, что не очень хорошо.
Connectez-vous ou inscrivez-vous pour voir le contenu

Вдогонку

К прошлой новости идёт ещё одна, также про Facebook, точнее, теперь уже про Meta. Компания разрабатывает новый VR-шлем. Господин Цукерберг заявил, что это будет отдельный высококлассный продукт и он будет стоить дороже чем гарнитура Oculus Quest II (299$). Кодовое название – Project Cambria. Также совершенно ясно, что он будет использован для развития метавселенной. Cambria будет включать возможности, которые в настоящее время недоступны на других гарнитурах VR. Новые датчики в устройстве позволят виртуальному аватару поддерживать зрительный контакт и отражать мимику человека. Еще одно уникальное направление - смешанная реальность. Facebook утверждает, что с помощью новых датчиков и алгоритмов реконструкции Cambria будет иметь возможность представлять объекты в физическом мире с чувством глубины и перспективы. Cambria также представит новую оптику, которая, по словам компании, повысит качество изображения. Facebook пообещала поделиться более подробной информацией о гарнитуре в следующем году. Компания упомянула, что сторонние разработчики уже работают над созданием продуктов для устройства.
Грядёт нечто очень интересное…


ВСЕ* WINDOWS УЯЗВИМЫ**
*Точно известно только про Win10, Win11 и WinServer2022.
**Только при определённых условиях.


Не знаю, как вы к этому относитесь, но мне нравятся кричащие заголовки со сносками. Но сейчас не об этом.
ИБ-исследователь Абдельхамид Насери продемонстрировал PoC эксплойт и раскрыл технические подробности недавно найденной уязвимости, позволяющей повышать права до SYSTEM, но не всё так просто. Он отправляет отчёт в Microsoft уже не впервые. Изначально компаниия приняла отчёт и даже выпустила обновление безопасности для «уязвимости службы профилей пользователей Windows, связанной с повышением привилегий», отслеживаемой как CVE-2021-34484. Однако исправление чинило только последствия работы эксплойта. То есть да, безусловно, эксплойт больше не работал, но ошибка оставалась и господин Насери воспользовался этим, немного изменив код, после чего всё вновь заработало. Этот эксплойт вызовет запуск командной строки с повышенными привилегиями с правами SYSTEM, пока отображается запрос управления учетными записями пользователей (UAC). Исследователи сходятся во мнении, что необходимость в информации о двух учётных записях снижает вероятность повсеместного использования уявзвимости, однако риск остаётся и с ним нужно считаться.


Roblox.js

NPM-пакеты, заражающие компьтеры выпогателями, троллями и троянами? Да, но интереснее всего то, что всё это светопредставление пыталось распространяться под видом библиотеки для Roblox. Обычная библиотека называется Noblox.js.proxied, а фейковые (да, их две) – Noblox.js.poxy и Noblox.js.proxies. У них, к слову, весьма не бедный функционал: Про трояны и тролли уже сказано, как впрочем и про вымогатель, но тут есть что добавить. Злоумышленники использовали ПО Monster Ransomware, который всем своим видом пытался показать, что он – GoldenEye (в прошлом - Petya). Настоящий GoldenEye/Petya шифровал MFT – основную таблицу файлов, и после перезагрузки не грузил систему, а показывал логотп с требованием о выкупе. Здесь всё происходило ровно также, но я не уверен, было ли вообще шифрование. Кроме того, интересен способ изначального заражения. После установки библиотеки выполняется код postinstall.js, который в нормальных библиотеках реально заканчивает устаовку, то есть докачивает, что нужно и удаляет, что не нужно. Тут он тоже скачивает, что нужно, но вот это “нужное” весьма сомнительного качества. Скачивание происходит посредством “.bat” файла noblox.bat, который через CDN (сеть доставки контента) Discord скачивает вредоносное ПО. Кстати, через эту CDN доставляется очень много вредоносов, а именно – 4% от общего количества.


Pegassus

В ваших воспоминаниях, скорее всего ещё не остыли следы этого мифического животного, надеюсь вы помните, насколько ужасающими были масштабы скандала, в котором выяснилось, что шпионское ПО Pegassus использовалось для слежки за журналистами, хотя компания-создатель утверждала, что всех владельцев программы они лицензировали вручную и такая ситуация произойти не могла. Но имеем, что имеем. Так вот, к чему это я.
Канадская лаборатория Citizen Lab, занимающаяся исследованиями в области информационной безопасности, опубликовала отчёт о диагностике телефона журналиста New York Times (NYT) Бена Хаббарда. И что они там обнаружили? Вот это да! Невероятно, но факт. Господин Хаббард неоднократно подвергался атакам Pegassus с 2018 до 2021 года. Заражение происходило во время работы в Саудовской Аравии и написании книги о наследном принце – Мухаммеде ибн Салмане. Вот так это и бывает, с чем боролся, на то и напоролся.


Расследование утечки?

Да, именно так. Вы ведь помните, что в прошлом выпуске я рассказывал про утечку 50 тысяч данных? Вот об этом и речь. Роскомнадзор заявил, что взялся за расследование инцидента. Запросы всем организациям, которые могли бы содержать слитую информацию уже отправлены. Роскомнадзор интересуется, насколько актуальны слитые данные и не происходило ли проникновение в инфраструктуру.


530-ФЗ

Уважаемый @Rook , ты это будешь озвучивать, как и всегда. Хочу тебе сказать вот что. Я недавно послушал один из твоих выпусков и был в ужасе. Я понимаю и принимаю некоторые мелкие ошибки, считаю изменения некоторых заголовков “авторской” переработкой, но одно меня очень сильно зацепило.
“Эф Три”
Понимаешь, ФЗ – это не “Эф Три”, это ФЗ - Федеральный Закон. Будь так добр, больше так не ошибайся.
Что-то я заболтался, простите.
Роскомнадзор объявил, что внёс Живой Журнал (LiveJournal) и Telegram в реестр социальных сетей, а это значит, что они теперь обязаны блокировать запрещёную информацию, и удалять то, что требует РКН в течение 24 часов после соответствующего запроса. Многие видели опрос в канале Павла Дурова “Прекращение работы Telegram на территории РФ или исполнение законов РФ” (неточный текст, я не помню как там было). И в этом вопросе победу одержал вариант исполнения законов, но, насколько я помню, людей, голосовавших за иной вариант было тоже очень не мало, из чего следует, что если мессенджер продолжит работать на территории РФ и исполнять местные законы, то его ждёт ощутимый отток пользователей. Всё это происходит в рамках закона о самоконтроле социальных сетей (530-ФЗ). Как бы то ни было, на замену одному придёт другой, так что, живём, а там уж разберёмся.


Hive теперь и на Linux

Если бы это была какая-то полезная программа, можно было бы порадоваться, однако нет, теперь также шифрует Linux и FreeBSD, используя новые варианты вредоносного ПО, специально разработанные для этих платформ. Однако, как обнаружила словацкая компания по обеспечению безопасности в Интернете ESET, новые шифраторы Hive все еще находятся в разработке и по-прежнему не имеют функциональности. Вариант Linux также оказался довольно глючным во время анализа ESET: шифрование отказывалось функционировать, когда вредоносная программа запускалась с явным путем. Он также поддерживает единственный параметр командной строки (-no-wipe). Напротив, программа-вымогатель Hive для Windows имеет до 5 вариантов выполнения, включая завершение процессов и пропуск очистки диска, неинтересные файлы и старые файлы. Версия программы-вымогателя для Linux также не запускает шифрование, если выполняется без привилегий root, поскольку она пытается сбросить записку о выкупе в корневых файловых системах скомпрометированных устройств.
«Как и версия для Windows, эти варианты написаны на Golang, но строки, имена пакетов и имена функций были запутаны, вероятно, с помощью gobfuscate», - сказали в исследовательской лаборатории ESET.


Один из основных членов банды REvil – русский и его идентифицировали.

Сообщается, что немецкие следователи идентифицировали русского человека, которого они считают одним из основных членов банды вымогателей REvil, одной из самых печально известных и успешных групп вымогателей за последние годы. Этот человек представляет себя инвестором и трейдером криптовалюты, но власти Германии (в том числе Bundeskriminalamt и Landeskriminalamt Baden-Württemberg) думают иначе, отслеживая некоторые платежи в биткойнах, которые он совершал на протяжении многих лет. Хотя настоящая личность подозреваемого не разглашается, немецкие СМИ называют его вымышленным именем Николай К. и сообщают, что следователи связали его с выплатой выкупа биткойнами, связанной с группой вымогателей GandCrab. Правоохранительные органы отслеживали эти платежи после атак на фирму по разработке программного обеспечения и Государственный театр в Штутгарте. Те же источники утверждают, что исследователи обнаружили тесную связь между REvil и GandCrab, что неоднократно предполагалось исследователями и аналитиками безопасности. Николай К. не сдерживался, когда дело доходило до хвастовства в социальных сетях и демонстрации своего отпуска на Средиземном море, размещения изображений с роскошных вечеринок на яхте. Но он не был достаточно осторожен, когда дело дошло до сокрытия своей истинной личности, ложно полагая, что будет достаточно замаскировать свои ссылки на операции с программами-вымогателями с помощью криптоинвестиций. Получается, что обвинения в Российском происхождении REvil был не так уж далеки от правды? Пока точно неизвестно, ведь Николай не основное действущее лицо, а лишь одно из.


Европейские сертификаты о прививке

Секретный ключ, используемый для подписи сертификатов EU Digital Covid, был утрачен и распространяется в приложениях для обмена сообщениями и на торговых площадках для защиты данных. Ключ также был неправомерно использован для создания поддельных сертификатов, таких как сертификаты Адольфа Гитлера, Микки Мауса, Губки Боба - все они признаны действительными официальными правительственными приложениями. Сертификат Digital Covid или «Зеленый пропуск» помогает жителям Европейского Союза беспрепятственно пересекать границы, доказывая, что они либо были вакцинированы против COVID-19, получили отрицательный результат теста, либо успешно вылечились от COVID-19. На этой неделе пользователи сообщили, что видели закрытый ключ для сертификатов EU Digital Covid, циркулирующий в приложениях для обмена сообщениями, таких как Telegram. Закрытый ключ используется для подписи «Green Pass», эквивалента паспорта вакцины в Европейском союзе, и / или подтверждения отрицательного статуса COVID-19, который может помочь путешественникам беспрепятственно пересекать границы. Злоумышленники, которые могут получить закрытый ключ, могут легко подделать цифровые сертификаты или QR-коды, которые затем могут быть признаны «законными» официальными правительственными приложениями. Позже тестер на проникновение сообщил, что поддельные сертификаты больше не распознаются правительственными приложениями Verifica C19, что указывает на то, что утечка закрытого ключа была отозвана, но версии приложения Verifica C19 для Android и iOS продолжают распознавать этот сертификат как действительный. Тот факт, что кто-либо может подделать криптографически действительные сертификаты COVID, ставит под сомнение подлинность даже законных сертификатов, выданных государственными органами ЕС. В этом случае закрытый ключ должен быть отозван государственными органами для всего ЕС, что приведет к аннулированию как поддельных, так и законных сертификатов COVID. Таким образом, к тому времени, когда ситуация будет разрешена и закрытые ключи будут сброшены, держателям законных сертификатов EU Digital Covid, скорее всего, потребуется создать новые Green Passes.


Babuk больше не опасен!

Точнее, опасен, конечно, но теперь выпущен дешифратор и платить никому не придётся, ведь с его помощью вы можете расшифровать инфраструктуру бесплатно. Чешская компания по разработке программного обеспечения для кибербезопасности Avast создала и выпустила инструмент дешифрования, чтобы помочь жертвам программы-вымогателя Babuk бесплатно восстановить свои файлы. По данным Avast Threat Labs , дешифратор Babuk был создан с использованием утекшего исходного кода и ключей дешифрования. Бесплатный дешифратор может использоваться жертвами Бабука, файлы которых зашифрованы с использованием следующих расширений: .babuk, .babyk, .doydo. Жертвы программы-вымогателя Babuk могут загрузить инструмент дешифрования с серверов Avast и сразу расшифровать целые разделы, используя инструкции, отображаемые в пользовательском интерфейсе дешифратора. Судя по логике и тестам спеиалистов, расшифровке подлежат лишь те атакованные устройства, в которых была использована слитая версия шифровальщика.


Примерно 3500 паролей

Именно столько удалось взломать исследователю ил Тель-Авива чтобы доказать, что домашние сети сильно небезопасны и их легко взломать. Исследователь безопасности CyberArk Идо Хорвич сначала бродил по центру города с оборудованием для сниффинга WiFi, чтобы собрать образец из 5000 сетевых хэшей для использования в исследовании. Затем исследователь использовал уязвимость, позволяющую получить хэш PMKID, обычно генерируемый для целей роуминга. Чтобы собрать хэши PMKID, Хорвич использовал сетевую карту за 50 долларов, которая может выступать в качестве монитора и инструмента для внедрения пакетов, и проанализировал их с помощью WireShark. Исследователь собрал PMKID, которые будут взломаны для получения пароля и, используя метод Йенса “Атома” Штауба взломал их. Технология Atom является бесклиентной, поэтому необходимость фиксировать логин пользователя в реальном времени и необходимость подключения пользователей к сети вообще устарели, более того, злоумышленнику требуется всего лишь захватить один кадр и устранить неправильные пароли и искаженные кадры, которые мешают процессу взлома. Сначала были проведены «атаки по маске», чтобы определить, установили ли какие-либо пользователи номер своего мобильного телефона в качестве пароля Wi-Fi, что является обычным явлением в Израиле. Для взлома таких паролей необходимо вычислить все варианты номеров для израильских телефонных номеров, а это десять цифр, начинающихся с 05, так что это всего восемь цифр. Используя стандартный ноутбук, исследователь этим методом взломал 2200 паролей со средней скоростью девять минут на один пароль. Следующая фаза атаки включала стандартную атаку по словарю с использованием словаря Rockyou.txt. Это привело к быстрому взлому еще 1359 паролей, в большинстве из которых использовались только символы нижнего регистра. Следуя этому простому и недорогому методу взлома, исследователь взломал примерно 70% паролей для выбранных сетей Wi-Fi. Исследование показывает, что большинство людей не устанавливают надежный пароль для своих сетей Wi-Fi, даже если они рискуют быть взломанными. Если ваш пароль Wi-Fi взломан, любой может получить доступ к вашей домашней сети, изменить настройки вашего маршрутизатора и, возможно, переключиться на ваши личные устройства, используя недостатки. Хорошие пароли должны состоять не менее чем из десяти символов и состоять из строчных и прописных букв, а также символов и цифр.


Блиц

  • Мобильная ОС “Аврора” выпустила новую версию в закрытый бета-тест. Вот, что о ней говорят тестеры.
  • Извините, нет слов, одни эмоции. Власти Японии начинает переходить от дискет к цифровым носителям. Да… За окном 21 век. А в японии дискеты. Ах да, самая продвинутая робототехника там же. И крупнейшие игроки рынка электроники там же… Я не знаю, что как и почему, читайте сами, а я пойду продемонстрирую своё негодование где-нибудь не здесь.
Вот. На этом новости и заканчиваются. Сегодня их было больше, чем обычно, что, как мне кажется, хорошо. Здесь стоит вас поблагодарить и уйти, этим и займусь.
Всех благодарю за уделённое время и внимание и за сим откланяюсь.
 
Последнее редактирование:

Rook

Codeby Team
Red Team
09.01.2019
727
711
BIT
4
Привет. Знаю за эту весомую ошибку, извиняюсь за нее. Она возникла банально из за того что я ваших законах не сильно разбираюсь и они у меня не на слуху, вот так и вышло. Так что извиняюсь перед всеми кого "передернуло" из за этого :) Впредь буду внимательнее.
 
  • Нравится
Реакции: dieZel

DeathDay

Green Team
18.04.2019
149
1 095
BIT
1
Как всегда хорош, а главное пунктуален и актуален. (y)
 
Последнее редактирование:
  • Нравится
Реакции: dieZel
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!