Помните, «Величайший враг спрячется там, где вы будете меньше всего искать», поэтому ищите лучше!
Делитесь своими ответами и размышлениями в комментариях
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12👍7🔥6
Платформа DION — это не просто альтернатива привычным мессенджерам и видеосвязи. Это решение, где информационная безопасность встроена на уровне архитектуры.
Варианты размещения:
— Гибридное. Позволяет выносить медиатрафик и критичную информацию в контур заказчика.
— On-Premise. Развёртывание на стороне заказчика, локальное хранение, максимальная изоляция.
💻 Что важно для ИБ-специалистов:
— Шифрование и MFA.
— Интеграция с DLP и SIEM.
— Гибкий контроль доступа. Ролевые политики, настройка по отделам, проектам и уровням доступа.
— Безопасное хранение, резервное копирование и устойчивость к атакам.
— Обучение сотрудников для снижения человеческого фактора.
📌 DION — это не надстройка, а изначально безопасная UC-платформа.
Как её уже используют лидеры рынка?
🔘 Один из ТОП-5 банков проводит 15 000+ защищённых конференций в день
🔘 Крупнейший медиахолдинг применяет DION для прямых включений корреспондентов
🔘 Ведущая авиакомпания сократила время переключения между каналами и бронирует переговорки через DION.Rooms
📤 Попробуйте бесплатно.
Для компаний от 120+ пользователей — спецусловия.
Информация о рекламодателе.
Варианты размещения:
— Гибридное. Позволяет выносить медиатрафик и критичную информацию в контур заказчика.
— On-Premise. Развёртывание на стороне заказчика, локальное хранение, максимальная изоляция.
— Шифрование и MFA.
— Интеграция с DLP и SIEM.
— Гибкий контроль доступа. Ролевые политики, настройка по отделам, проектам и уровням доступа.
— Безопасное хранение, резервное копирование и устойчивость к атакам.
— Обучение сотрудников для снижения человеческого фактора.
Как её уже используют лидеры рынка?
Для компаний от 120+ пользователей — спецусловия.
Информация о рекламодателе.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍7🔥5👎1
Если хотите разобраться, как данные бегают по сети, какие протоколы могут быть атакованы, и что происходит при обычной загрузке сайта — читайте гайд, где мы проходимся по всем 7 уровням модели OSI с примерами, угрозами и практическими выводами для ИБ.
«Основы сетей для начинающих в ИБ: без модели OSI ты слеп»
Разобрались в теории? Вот с чего стоит начать практику:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🔥6❤5
Arch Linux удалил три пакета из AUR, распространявших троян CHAOS
1️⃣ В чём суть?
В популярном репозитории AUR (Arch User Repository), который используется миллионами пользователей Arch Linux и производных дистрибутивов (Manjaro, EndeavourOS и др.), обнаружен вредоносный пакет. Злоумышленники внедрили в него троян CHAOS, способный похищать конфиденциальные данные пользователей.
2️⃣ Как назывались эти пакеты?
librewolf-fix-bin, firefox-patch-bin и zen-browser-patched-bin загружали вредоносный код с GitHub.
3️⃣ Что за троян CHAOS?
CHAOS RAT — это троян удаленного доступа с открытым исходным кодом, разработанный для Windows и Linux. Он может: 1)Загружать и скачивать файлы. 2) Выполнять произвольные команды. 3) Открывать обратную оболочку для удаленного управления.
4️⃣ Чем всё закончилось?
Пакеты были загружены 16 июля пользователем с ником danikpapas и успели повисеть в AUR два дня, после чего Arch Linux оперативно их удалила.
📌 Рекомендации для пользователей!
Если вы устанавливали данные пакеты, срочно исполните следующие инструкции:
1) Проверите систему на наличие подозрительного исполняемого файла systemd-initd, который может находиться в директории /tmp.
2) Убедесь, что система не была скомпрометирована, проверив сетевые подключения и другие признаки вредоносной активности.
В популярном репозитории AUR (Arch User Repository), который используется миллионами пользователей Arch Linux и производных дистрибутивов (Manjaro, EndeavourOS и др.), обнаружен вредоносный пакет. Злоумышленники внедрили в него троян CHAOS, способный похищать конфиденциальные данные пользователей.
librewolf-fix-bin, firefox-patch-bin и zen-browser-patched-bin загружали вредоносный код с GitHub.
CHAOS RAT — это троян удаленного доступа с открытым исходным кодом, разработанный для Windows и Linux. Он может: 1)Загружать и скачивать файлы. 2) Выполнять произвольные команды. 3) Открывать обратную оболочку для удаленного управления.
Пакеты были загружены 16 июля пользователем с ником danikpapas и успели повисеть в AUR два дня, после чего Arch Linux оперативно их удалила.
Если вы устанавливали данные пакеты, срочно исполните следующие инструкции:
1) Проверите систему на наличие подозрительного исполняемого файла systemd-initd, который может находиться в директории /tmp.
2) Убедесь, что система не была скомпрометирована, проверив сетевые подключения и другие признаки вредоносной активности.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17❤6🔥6
Чем меньше правил, тем крепче сон. Знакомо?
Когда в инфраструктуре десятки межсетевых экранов (NGFW/UTM) от разных вендоров, а их политики безопасности –настоящий лабиринт, где заблудится даже админ. Голова закипает 🤯
Продукт Купол.Управление от вендора НОТА (ИТ-Холдинг Т1) — это мультивендорный контроль, управление сложной сетевой инфраструктурой с возможностью выявить аномалии в политиках межсетевых экранов.
Решение позволяет:
✅ оптимизировать правила в сетевой инфраструктуре,
✅ обеспечить их контроль и соответствие определенным требованиям,
✅ гарантировать безопасность.
Помимо контроля и управления межсетевыми экранами и их правилами, функционал продукта позволяет выявлять правила, которые по тем или иным причинам не сработали.
Купол.Управление — единая платформа для мониторинга, оптимизации и защиты сети.
Возможности системы:
— Подключение и контроль доступности устройств различных вендоров: Cisco,Ideco, Check Point, Fortinet и других.
— Интеграция со сторонними системами управления безопасностью (SIEM, SOAR).
— Создание профилей пользователей и администраторов с гибкой политикой доступа.
— Бэкапирование конфигураций устройств по расписанию.
И это не все. Подробнее о том, как работает Купол.Управление, читайте на сайте: https://kupol.nota.tech/kupol-control
Информация о рекламодателе.
Когда в инфраструктуре десятки межсетевых экранов (NGFW/UTM) от разных вендоров, а их политики безопасности –настоящий лабиринт, где заблудится даже админ. Голова закипает 🤯
Продукт Купол.Управление от вендора НОТА (ИТ-Холдинг Т1) — это мультивендорный контроль, управление сложной сетевой инфраструктурой с возможностью выявить аномалии в политиках межсетевых экранов.
Решение позволяет:
Помимо контроля и управления межсетевыми экранами и их правилами, функционал продукта позволяет выявлять правила, которые по тем или иным причинам не сработали.
Купол.Управление — единая платформа для мониторинга, оптимизации и защиты сети.
Возможности системы:
— Подключение и контроль доступности устройств различных вендоров: Cisco,Ideco, Check Point, Fortinet и других.
— Интеграция со сторонними системами управления безопасностью (SIEM, SOAR).
— Создание профилей пользователей и администраторов с гибкой политикой доступа.
— Бэкапирование конфигураций устройств по расписанию.
И это не все. Подробнее о том, как работает Купол.Управление, читайте на сайте: https://kupol.nota.tech/kupol-control
Информация о рекламодателе.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍6🔥4👾3
Вы можете быть мастером эксплуатации, но если не знаете, где копать — ничего не найдете.
Всё начинается с OSINT: поддомены, утекшие ключи, старые Jenkins, забытые API — всё это может быть входом.
В новой статье рассказываем:
И да, всё на реальных кейсах.
Хотите так же анализировать инфраструктуру цели, находить утечки и строить полноценные OSINT-цепочки?
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤6🔥4
MITRE Caldera
Платформа, разработанная для упрощения автоматизации имитации действий злоумышленников, помощи красным командам и автоматизации реагирования на инциденты. Создана на основе фреймворка MITRE ATT&CK™ и является активным исследовательским проектом MITRE.
💡 Варианты использования
⏺️ Автономные действия красной команды
Оригинальный сценарий использования Caldera. Можно использовать этот фреймворк для создания конкретного профиля угрозы (противника) и запустить его в сети, чтобы увидеть, где вы можете оказаться уязвимы. Это подходит для проверки защищенности и обучения синих команд обнаружению угроз.
⏺️ Автономное реагирование на инциденты
Автоматическое реагирование на инциденты с помощью развернутых агентов. Это полезно для выявления TTP-атак, которые другие инструменты безопасности могут не замечать или блокировать.
⏺️ Выполнение заданий красной команды
Проведение оценки красной команды вручную с использованием агента Manx. Это удобно для замены или дополнения существующих наборов инструментов для оценки вручную, поскольку фреймворк можно расширить с помощью любых имеющихся у вас инструментов.
⏺️ Исследования в области искусственного интеллекта
Caldera можно использовать для тестирования искусственного интеллекта и других алгоритмов принятия решений с помощью плагина Mock. Плагин добавляет смоделированных агентов и смоделированные ответы, которые можно использовать для имитации всей операции.
Фреймворк состоит из двух компонентов:
1️⃣ Ядро системы. Это базовый код, состоящий из того, что доступно в репозитории. В него входит асинхронный сервер управления и контроля (C2) с REST API и веб-интерфейсом.
2️⃣ Плагины. Отдельные репозитории расширяют возможности базовой платформы и предоставляют дополнительные функции. В качестве примеров можно привести агентов, отчетность, наборы TTP и многое другое.
💻 Установка
Рекурсивно клонируем репозиторий, указав нужную версию/релиз в формате x.x.x. Это позволит получить все доступные плагины. Устанавливаем зависимости и запускаем сервер.
После запуска необходимо зайти по пути
❗️ Команда Caldera настоятельно рекомендует размещать сервер Caldera в безопасной среде/сети и не подключать его к интернету. Сервер Caldera не имеет защищенного и тщательно протестированного интерфейса веб-приложения, а только базовые функции аутентификации и безопасности.
Платформа, разработанная для упрощения автоматизации имитации действий злоумышленников, помощи красным командам и автоматизации реагирования на инциденты. Создана на основе фреймворка MITRE ATT&CK™ и является активным исследовательским проектом MITRE.
Оригинальный сценарий использования Caldera. Можно использовать этот фреймворк для создания конкретного профиля угрозы (противника) и запустить его в сети, чтобы увидеть, где вы можете оказаться уязвимы. Это подходит для проверки защищенности и обучения синих команд обнаружению угроз.
Автоматическое реагирование на инциденты с помощью развернутых агентов. Это полезно для выявления TTP-атак, которые другие инструменты безопасности могут не замечать или блокировать.
Проведение оценки красной команды вручную с использованием агента Manx. Это удобно для замены или дополнения существующих наборов инструментов для оценки вручную, поскольку фреймворк можно расширить с помощью любых имеющихся у вас инструментов.
Caldera можно использовать для тестирования искусственного интеллекта и других алгоритмов принятия решений с помощью плагина Mock. Плагин добавляет смоделированных агентов и смоделированные ответы, которые можно использовать для имитации всей операции.
Фреймворк состоит из двух компонентов:
Рекурсивно клонируем репозиторий, указав нужную версию/релиз в формате x.x.x. Это позволит получить все доступные плагины. Устанавливаем зависимости и запускаем сервер.
git clone https://github.com/mitre/caldera.git --recursive --tag x.x.x
cd caldera
pip3 install -r requirements.txt
python3 server.py --insecure --build
После запуска необходимо зайти по пути
https://localhost:8888
, используя учетные данные по умолчанию red/admin. Затем перейти в раздел Plugins -> Training и пройти обучающий курс в стиле CTF, чтобы научиться пользоваться Caldera.Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤9🔥4
FLARE-FLOSS: Детектор скрытых угроз в бинарных файлах
Представьте, что перед вами скомпилированная программа — тёмный лес из байтов, где могут прятаться зловредные строки, пароли, URL-адреса вредоносных серверов или даже целые скрипты. Как их найти, если исходного кода нет?
🔴 Зачем нужен FLOSS?
Многие вредоносные программы (и даже легальные приложения) прячут важные строки:
▪️ Команды для C2-серверов
▪️ Ключи шифрования
▪️ Ссылки на дополнительные payload-ы
▪️ Системные пути и имена процессов для антиотладки
Обычные утилиты вроде
⤵️ FLOSS использует три метода извлечения строк:
▪️ Обычный поиск (как `strings`) – находит ASCII и Unicode-строки.
▪️ Анализ стековых строк – восстанавливает строки, которые собираются в рантайме (например, через
▪️ Эмуляция кода – выполняет статическую эмуляцию, чтобы выявить строки, которые создаются динамически.
📍 Допустим, у нас есть вредоносный файл
И увидим что-то вроде:
Эти строки могли быть скрыты от обычного
📍 Установка и использование
Способ 1: Через pip
Способ 2: Из исходников
Проверим установку
Базовые команды
🔴 Иногда могут возникать проблемы из-за конфликтов в окружении. Создайте чистое виртуальное окружение и используйте FLOSS дальше:
Представьте, что перед вами скомпилированная программа — тёмный лес из байтов, где могут прятаться зловредные строки, пароли, URL-адреса вредоносных серверов или даже целые скрипты. Как их найти, если исходного кода нет?
FLARE-FLOSS (Fast Library Acquisition for String Sections) — инструмент от Mandiant (ныне часть Google Cloud), который вытаскивает спрятанные строки из исполняемых файлов, даже если они зашифрованы или обфусцированы.
Многие вредоносные программы (и даже легальные приложения) прячут важные строки:
Обычные утилиты вроде
strings
не всегда справляются, особенно если данные закодированы или динамически собираются в памяти. FLOSS решает эту проблему, применяя статический анализ и эмуляцию кода. mov
или `push`). malware.exe
. Запустим FLOSS: floss malware.exe
И увидим что-то вроде:
...
0x401020: https://malicious-server.com/payload.bin
0x4020A0: ThisIsASecretKey123
0x4033F0: C:\Windows\System32\wscript.exe
...
Эти строки могли быть скрыты от обычного
strings
, но FLOSS их нашёл! Способ 1: Через pip
pip install flare-floss
Способ 2: Из исходников
git clone https://github.com/mandiant/flare-floss
cd flare-floss
python3 setup.py install
Проверим установку
floss --version
Базовые команды
# Простой анализ
floss suspicious_file.exe
# Только статические строки (без эмуляции)
floss --no-static-strings malware.bin
python3 -m venv ~/floss-venv
source ~/floss-venv/bin/activate
pip install flare-floss
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤5🔥5
🗣️ «Без воды, с практикой, с поддержкой»
🗣️ «Весь материал закрепляется на практике, преподаватели реально помогают, а курс — без воды. Чувствуешь, как прокачиваешься с каждым модулем».
🗣️ «Порадовало, что есть тестовые зоны для отработки, и темы реально актуальные — ничего лишнего».
Спасибо за честный и подробный отзыв на курс «Анализ защищенности инфраструктуры на основе технологий Active Directory»!
Мы ценим обратную связь от студентов и всегда рады видеть, что обучение приносит пользу!
📎 Читать полный отзыв
Новый поток стартует с 18 августа!
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Bagley's 📚 Diary
Всем 👋! Это Bagley
💬 Вчера я успешно сдал итоговый экзамен по курсу "Анализ защищенности инфраструктуры на основе технологий Active Directory"
🔘Курс длился 4 месяца и был действительно hard'овым, но однозначно полезным.
🔘17 домашних (обязательных) лаб…
💬 Вчера я успешно сдал итоговый экзамен по курсу "Анализ защищенности инфраструктуры на основе технологий Active Directory"
🔘Курс длился 4 месяца и был действительно hard'овым, но однозначно полезным.
🔘17 домашних (обязательных) лаб…
❤10👍10🔥6👎2😁2
👯♀️Сигма, сигма… правила!
Sigma rule - это правила корреляции для обнаружения подозрительных или вредоносных событий в логах информационных систем, написанное в специальном унифицированном формате Sigma.
🔎 Sigma-правила описываются на языке YAML и состоят из структурированных блоков: метаинформации, источника логов (logsource) и условий детектирования (detection).
🖥 Главная особенность Sigma - независимость от конкретной SIEM-системы: одно правило можно автоматически конвертировать в запросы для разных SIEM-платформ (например, Splunk, Elastic, ArcSight), что облегчает обмен знаниями и ускоряет внедрение новых сценариев обнаружения угроз. Sigma-правила активно используются для автоматизации выявления атак и инцидентов информационной безопасности.
↔️ Благодаря независимости от конкретного продукта, Sigma-правила приняты за стандарт по обмену знаний и взаимодействию с другими специалистами по информационной безопасности (в частности, TI и IR специалистами) в области обнаружения кибератак. Некоторые из вендоры в своих отчетах по расследованию APT-группировках помимо индикаторов компрометации, описывают Sigma-правила для внедрения в свою инфраструктуру.
⤵️ Совсем скоро мы подробно окунемся в структуру Sigma-правил, а пока что в комментариях попробуйте угадать, в каком российском продукте используются Sigma-правила
Sigma rule - это правила корреляции для обнаружения подозрительных или вредоносных событий в логах информационных систем, написанное в специальном унифицированном формате Sigma.
🔎 Sigma-правила описываются на языке YAML и состоят из структурированных блоков: метаинформации, источника логов (logsource) и условий детектирования (detection).
🖥 Главная особенность Sigma - независимость от конкретной SIEM-системы: одно правило можно автоматически конвертировать в запросы для разных SIEM-платформ (например, Splunk, Elastic, ArcSight), что облегчает обмен знаниями и ускоряет внедрение новых сценариев обнаружения угроз. Sigma-правила активно используются для автоматизации выявления атак и инцидентов информационной безопасности.
↔️ Благодаря независимости от конкретного продукта, Sigma-правила приняты за стандарт по обмену знаний и взаимодействию с другими специалистами по информационной безопасности (в частности, TI и IR специалистами) в области обнаружения кибератак. Некоторые из вендоры в своих отчетах по расследованию APT-группировках помимо индикаторов компрометации, описывают Sigma-правила для внедрения в свою инфраструктуру.
⤵️ Совсем скоро мы подробно окунемся в структуру Sigma-правил, а пока что в комментариях попробуйте угадать, в каком российском продукте используются Sigma-правила
❤16👍6🔥6
Telegram Extractor
Telegram Extractor - Это набор скирптов которые помогут анализировать данные хранящиеся в Telegram.
💡 Справка:
⏺️
⏺️
⏺️
📎 Установка:
📌 Использование:
К сожалению, получить доступ к файлу вы должны вручную. По умолчанию, этот файл храниться в /data/data/org.telegram.messenger, но для доступа, видимо, нужен root.
Telegram Extractor - Это набор скирптов которые помогут анализировать данные хранящиеся в Telegram.
tgnet-extractor.py
- Извлекает файл files/tgnet.dat, содержащий IP-адреса датацентра, главные секреты и т. д. Этот скрипт анализирует файл и выводит все значения на стандартный выводmessage-extractor.py
- Извлекает сообщения из байтов, хранящихся в столбце SQLite messages.data Telegram.encrypted-chat-extractor.py
- Извлекает информацию из байтов, хранящихся в sqlite-столбце enc_chats.data Telegram, который содержит основной секретный ключ auth_key секретного чата и другие данные.git clone https://github.com/tsusanka/telegram-extractor.git
cd telegram-extractor
python3 tgnet-extractor.py [PATH_TO_FILE]
python3 message-extractor.py [PATH_TO_FILE]
python3 encrypted-chat-extractor.py [PATH_TO_FILE]
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤6🔥4
Traitor: Утилита для автоматизации повышения привилегий в Linux
⚡️ Основные возможности Traitor
➡️ Автоматизированный анализ системы:
• Сканирование на наличие потенциальных путей эскалации привилегий.
• Проверка на уязвимые бинарные файлы с правами SUID/SGID.
• Обнаружение нестандартных настроек sudo и cron.
➡️ Автоматическая эксплуатация уязвимостей:
• Использует известные эксплойты для повышения привилегий.
• Выполняет атаки на основе обнаруженных проблем конфигурации.
➡️ Информативный вывод:
• Предоставляет подробные отчёты о найденных уязвимостях.
• Предлагает рекомендации по устранению проблем.
➡️ Поддержка популярных векторных атак:
• Обнаружение уязвимостей в настройках PATH.
• Проверка на небезопасные монтирования файловых систем.
• Использование некорректно настроенных бинарных файлов.
➡️ Кроссплатформенность:
• Работает на большинстве дистрибутивов Linux.
⬇️ Установка и использование
1️⃣ Скачивание готового бинарного файла
Разработчики предоставляют готовые сборки Traitor для различных платформ. Чтобы установить последнюю версию:
➡️ Перейдите на страницу релизов.
➡️ Скачайте версию, соответствующую вашей операционной системе:
• traitor-amd64 для Linux на архитектуре x86_64.
• traitor-arm64 для ARM-устройств.
➡️ Сделайте файл исполняемым:
2️⃣ Запуск анализа:
Для поиска путей повышения привилегий выполните:
3️⃣ Автоматическая эксплуатация:
Чтобы сразу попытаться использовать найденные уязвимости:
4️⃣ Дополнительные параметры:
Просмотрите все доступные флаги:
Traitor — это инструмент с открытым исходным кодом, созданный для автоматизированного поиска и использования уязвимостей, позволяющих повысить привилегии в Linux-системах. Разработанный для пентестеров и специалистов по безопасности, Traitor автоматизирует сложные задачи, связанные с эскалацией прав, и помогает выявлять потенциальные угрозы в инфраструктуре.
• Сканирование на наличие потенциальных путей эскалации привилегий.
• Проверка на уязвимые бинарные файлы с правами SUID/SGID.
• Обнаружение нестандартных настроек sudo и cron.
• Использует известные эксплойты для повышения привилегий.
• Выполняет атаки на основе обнаруженных проблем конфигурации.
• Предоставляет подробные отчёты о найденных уязвимостях.
• Предлагает рекомендации по устранению проблем.
• Обнаружение уязвимостей в настройках PATH.
• Проверка на небезопасные монтирования файловых систем.
• Использование некорректно настроенных бинарных файлов.
• Работает на большинстве дистрибутивов Linux.
Разработчики предоставляют готовые сборки Traitor для различных платформ. Чтобы установить последнюю версию:
• traitor-amd64 для Linux на архитектуре x86_64.
• traitor-arm64 для ARM-устройств.
chmod +x traitor
Для поиска путей повышения привилегий выполните:
./traitor
Чтобы сразу попытаться использовать найденные уязвимости:
./traitor -a
Просмотрите все доступные флаги:
./traitor --help
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍6❤3👎1
FileFix как альтернатива ClickFix. ClickFix — это атака методом социальной инженерии, которая побуждает пользователей неосознанно выполнять вредоносный код на их устройствах, обычно через диалоговое окно «Выполнить», которое вызывается клавишами Windows + R.
Независимый исследователь изобрел более изощренный метод атаки, который позволяет пользователям выполнять команды ОС, не выходя из браузера.
👌 Функциональность загрузки файлов в браузере
Для создания кнопки загрузки файлов достаточно input HTML-элемента с атрибутом type и значением file.
😨 При нажатии на кнопку «Выбрать файл» открывается окно проводника и адресную строку проводника можно использовать для выполнения команд ОС. Оказалось, что это НЕ заблокировано браузером. Например, запуская команду
💥 FileFix атака
Теперь остается придумать предлог, чтобы заставить пользователя вставить туда вредоносную команду. Учитывая, что проводник обычно ассоциируется с доступом к файлам, фишинговая страница может утверждать, что пользователь получил доступ к файлу, и предлагать ему найти его с помощью адресной строки в проводнике.
На фишинговой странице есть кнопка «Открыть проводник», которая при нажатии запускает проводник через функцию загрузки файлов и копирует команду PowerShell в буфер обмена. Очень удобно, что адресная строка может быть автоматически выделена с помощью CTRL + L или ALT + D, поэтому обязательно нужно об этом сказать в пользовательских инструкциях:
Кроме того, вредоносная команда PowerShell объединит фиктивный путь к файлу с комментарием, чтобы скрыть команду и вместо этого отобразить путь к файлу.
Блокировка выбора файла
Пользователь также может намеренно или случайно выбрать файл для загрузки, потому что, в конце концов, это и есть основная функция использования <input type="file">. В коде страницы содержаться строчки блокирующие загрузку, перехватывая событие выбора файла и немедленно очищая поле ввода, отображая сообщение и пытаясь снова открыть окно проводника.
🤛 FileFix2
При дальнейшем тестировании исследователь обнаружил ещё одно интересное поведение, характерное для метода выполнения в проводнике. У исполняемых файлов (например, .exe) при выполнении через адресную строку проводника удаляется атрибут Mark of The Web (MOTW).
Исследователь понял, что это может быть использовано потенциальными злоумышленниками, заставив кнопку «Открыть проводник» загружать файл, копировать %USERPROFILE%\Downloads\payload.exe в буфер обмена и открывать окно проводника. Если предположить, что загруженные файлы сохраняются в %USERPROFILE%\Downloads, это должно запустить полезную нагрузку.
Однако у этого варианта есть недостаток, который следует учитывать. Microsoft Defender и Google Safebrowsing обычно предупреждают пользователей перед сохранением исполняемых файлов, поэтому пользователю может потребоваться сделать больше кликов, чтобы заставить его работать.
Демоверсию представленного варианта атаки можно увидеть здесь.
❗️ Учитывая нынешний всплеск атак с использованием ClickFix, нетрудно представить, как эта техника применяется для того, чтобы обманом заставить пользователя неосознанно выполнить вредоносную команду. Стоит отслеживать в браузерах любые подозрительные дочерние процессы (например, cmd.exe, powershel.exe, mshta.exe).
Независимый исследователь изобрел более изощренный метод атаки, который позволяет пользователям выполнять команды ОС, не выходя из браузера.
Для создания кнопки загрузки файлов достаточно input HTML-элемента с атрибутом type и значением file.
<input type="file" />
cmd /с ping example.com
и глядя на дерево процессов Chrome, видно, что cmd.exe создается одним из многочисленных процессов Chrome.Теперь остается придумать предлог, чтобы заставить пользователя вставить туда вредоносную команду. Учитывая, что проводник обычно ассоциируется с доступом к файлам, фишинговая страница может утверждать, что пользователь получил доступ к файлу, и предлагать ему найти его с помощью адресной строки в проводнике.
На фишинговой странице есть кнопка «Открыть проводник», которая при нажатии запускает проводник через функцию загрузки файлов и копирует команду PowerShell в буфер обмена. Очень удобно, что адресная строка может быть автоматически выделена с помощью CTRL + L или ALT + D, поэтому обязательно нужно об этом сказать в пользовательских инструкциях:
Кроме того, вредоносная команда PowerShell объединит фиктивный путь к файлу с комментарием, чтобы скрыть команду и вместо этого отобразить путь к файлу.
Блокировка выбора файла
Пользователь также может намеренно или случайно выбрать файл для загрузки, потому что, в конце концов, это и есть основная функция использования <input type="file">. В коде страницы содержаться строчки блокирующие загрузку, перехватывая событие выбора файла и немедленно очищая поле ввода, отображая сообщение и пытаясь снова открыть окно проводника.
При дальнейшем тестировании исследователь обнаружил ещё одно интересное поведение, характерное для метода выполнения в проводнике. У исполняемых файлов (например, .exe) при выполнении через адресную строку проводника удаляется атрибут Mark of The Web (MOTW).
Исследователь понял, что это может быть использовано потенциальными злоумышленниками, заставив кнопку «Открыть проводник» загружать файл, копировать %USERPROFILE%\Downloads\payload.exe в буфер обмена и открывать окно проводника. Если предположить, что загруженные файлы сохраняются в %USERPROFILE%\Downloads, это должно запустить полезную нагрузку.
Однако у этого варианта есть недостаток, который следует учитывать. Microsoft Defender и Google Safebrowsing обычно предупреждают пользователей перед сохранением исполняемых файлов, поэтому пользователю может потребоваться сделать больше кликов, чтобы заставить его работать.
Демоверсию представленного варианта атаки можно увидеть здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤11🔥3😁2
🚩 Новые задания на платформе HackerLab!
🔎 Категория OSINT — Мировая знаменитость
🌍 Категория Веб — Тссс, 9.2.2.3!
——————————————
🗂 В архив добавлены задания с прошлых соревнований + райтапы:
🟠 Реверс-инжиниринг - Обычная капибара
🟠 Стеганография - Письмо Деду Морозу
Приятного хакинга!
——————————————
🗂 В архив добавлены задания с прошлых соревнований + райтапы:
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤9❤🔥7🔥5
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤6🔥6