😈 Разработка вредоносного ПО для MacOS: создание заготовки

В этой статье мы погрузимся в мир проектирования и разработки вредоносного ПО для macOS, которая по сути является операционной системой на основе Unix.

При исследовании внутренностей системы Apple мы воспользуемся классическим подходом с опорой на базовые знания эксплойтов, программирования на C и Python, а также знакомство с низкоуровневым языком ассемблера.

❗️ Что будет затрагиваться в статье:
- Знакомства с архитектурой macOS и с особенностями её безопасности
- Углубимся во внутреннее устройство и рассмотрим ключевые элементы: Mach API и ядро
- Создадим заготовку зловредного ПО

🗣 Ссылка на чтиво

#Malware #MacOS #SIP | 🧑‍💻 Этичный хакер

😈 Памяти Кевина Митника — хакера, ломавшего ФБР, АНБ и Кремниевую долину. Часть 4: самый странный повод взломать военных

Итак, в этой статье речь пойдёт о том, как Кевин Митник из-за предательства друга угодил в лапы ФБР. Попав в суд ему были прдъявлены мнимые обвинения, включая фразу «Он может насвистеть по телефону и запустить ядерную ракету с базы NORAD!», Кевин начал сомневаться в американском правосудии.

В результате он решил сделать всё возможное, чтобы никогда не попасться. Под катом история как Митник сделал всё, чтобы остаться на свободе, даже если это означало, что ему придется нарушать закон.

🗣 Ссылка на чтиво

#Mitnick #Biography #Crime | 🧑‍💻 Этичный хакер

😈 На МТС была совершена мощнейшая DDoS-атака

Отечественный оператор услуг смог отразить самую мощную DDoS-атаку за этот год, мощность атаки составила 207 Гбит/сек.

Атака велась с территории Польши, Турции, Эквадора, Испании и Китая, задействовав более 20 000 устройств, нацеленных более чем на 500 IP-адресов телеком-оператора. Атака продлилась около двух часов, интенсивность атаки составила 207 Гбит/сек, а на границе сети и вовсе могла достигать нескольких терабит.

❗️ При этом ключевой особенностью атаки стала нацеленность злоумышленников на конкретное сетевое оборудование (маршрутизатор), и в случае успеха DDoS привел бы к отключению доступа в интернет для пользователей целого региона.

#News #DDoS | 🧑‍💻 Этичный хакер

😈 Истории из жизни вредоносов: инъекция кода в Windows

Технологии внедрения своего кода в чужие процессы уже много лет используются различными вредоносными приложениями. В Windows это стало довольно распространенным явлением.

Вредонос инжектирует фрагменты своего собственного кода в другой запущенный процесс, чтобы затем его выполнить.

💉Итак, инъекции кода получили широкую популярность, причем не только у разработчиков вредоносного кода, но и у создателей различных “таблеток” для пиратского софта. Также можно вспомнить разнообразные “читы” для прохождения игр.

— Но мы в рамках данных статей будем инжектировать процесс удаленного доступа к машине жертвы, для того, чтобы продемонстрировать всю опасность данного вида атак.

🗣 Ссылка на чтиво

‼️ Если вам понравилась тема поста, дай фидбека — а мы выпустим пост про инъекции DLL и отраженные инъекции DLL.

#Windows #Injection #ReverseEngineering | 🧑‍💻 Этичный хакер

😈 Новый вид атак поражает Linux и Google Chrome

Представили новый вид атаки «TIKTAG», нацеленную на Memory Tagging Extension в архитектуре ARM. Атака позволяет обойти защитный механизм с вероятностью успеха более 95%.

Memory Tagging Extension была введена для предотвращения повреждений памяти. Она использует 4-битные теги для 16-байтных блоков памяти, чтобы защитить от атак на целостность памяти, проверяя соответствие тегов указателей и памяти.

· TIKTAG-v1 использует спекулятивное сжатие в предсказании ветвлений и предвыборке данных процессора. Этот инструмент эффективен против ядра Linux, особенно в функциях, связанных со спекулятивным доступом к памяти.

· TIKTAG-v2 использует механизм перенаправления данных в спекулятивном исполнении, когда значение сохраняется по адресу памяти и немедленно загружается с этого же адреса.

— Исследователи продемонстрировали эффективность TIKTAG-v2 против браузера Google Chrome, особенно его движка V8 JavaScript, что открывает путь для эксплуатации уязвимостей повреждения памяти в процессе рендеринга.

🗣 Ссылка на чтиво

#News #Linux #Chrome #ARM #MTE | 🧑‍💻 Этичный хакер

😈 Истории из жизни вредоносов: DLL инъекция кода

В этой статье мы продолжим тему инъекций кода и поговорим о том, как можно осуществлять инъекции кода с помощью DLL. Общая идеология будет та же, что и в предыдущем посте – с помощью инъекции запустить реверсивный шелл на машине жертвы, и получить доступ на нее.

- Но для начала давайте поговорим о том, что такое DLL и как с ними работать.

🗣 Ссылка на чтиво

#DLL #Injection #ReverseEngineering | 🧑‍💻 Этичный хакер

😈 Малварь с управлением через эмодзи в Discord

Обнаружен Linux-малварь DISGOMOJI, которая использует эмодзи для выполнения команд на зараженных устройствах и в основном атакует правительственные учреждения в Индии, предполагается, что этот вредонос связан с пакистанскими хакерами, известным под идентификатором UTA0137.

— DISGOMOJI похож на многие другие бэкдоры, позволяя выполнять команды, делать скриншоты, похищать файлы, развертывать дополнительные полезные нагрузки и искать конкретные файлы. Однако от других этот отличается использованием Discord в качестве управляющего сервера и эмодзи, что позволяет ему обходить защитные системы, которые обычно реагируют на текстовые команды.

❗️ После успешной атаки злоумышленники используют полуученый доступ для бокового перемещения по сети жертвы, кражи данных, а также пытаются похитить дополнительные учетные данные.

#Malware #News #Discord | 🧑‍💻 Этичный хакер

😈 Истории из жизни вредоносов: отражающая DLL инъекция

Отражающая DLL инъекция - это метод, который позволяет злоумышленнику внедрять dll файлы в процесс жертву из памяти, а не из файла с диска, в результате ее практически невозможно обнаружить ни на уровне системы, ни на уровне процесса.

- В этой статье речь пойдет об использовании отражающих DLL инъекций (reflective dll injection), которые позволяют в определенной степени спрятаться от средств защиты на этапе закрепления на машине жертвы.

🗣 Ссылка на чтиво

#DLL #Injection #ReverseEngineering #Reflected | 🧑‍💻 Этичный хакер

😈 В Испании арестовали лидера группировки Scattered Spider

Испанская полиция и ФБР арестовали 22-летнего жителя Великобритании в испанском городе Пальма. Считается, что задержанный является лидером известной хакерской группировки Scattered Spider, у него были изъяты ноутбук и мобильный телефон, которые теперь будут изучены криминалистами.

Ранее, ФБР объявило о том, что будет стремиться предъявить обвинения членам хак-группы Scattered Spider, участники которой в основном являются выходцами из США, ряда западных стран и стран Восточной Европы. Один из предполагаемых членов группы, 19-летний подросток из Флориды, уже был арестован в январе 2024 года.

— В свою очередь известный ИБ-журналист Брайан Кребс, сообщает, что подозреваемый — уроженец Шотландии Тайлер Бьюкенен (Tyler Buchanan). По данным Кребса, в сети он также известен как Tylerb и ранее подвергался физическим нападениям со стороны конкурирующей группировки, занимающейся подменой SIM-карт.

❗️ Предположительно, именно он сыграл ключевую роль во взломе MGM Resorts.

#News #FBI #Crime | 🧑‍💻 Этичный хакер

😈 Неизвестный исследователь «обнёс» криптобиржу Kraken на $3 млн

Kraken сообщила о краже $3 миллионов из-за критической уязвимости нулевого дня, которую обнаружил неназванный исследователь безопасности и сам же «по-тихому» ей воспользовался. Уязвимость позволила недобросовестному исследователю искусственно увеличивать баланс на платформе.

❗️ Фатальная 0day-уязвимость была устранена всего за 47 минут, но было уже поздно.

Главдир по безопаcности Kraken уточнил, что исследователь первым обнаружил баг и использовал его для зачисления $4 на свой счёт.

- Он мог бы сообщить о нём в рамках ББ и получить солидную выплату, однако решил поделиться находкой с двумя другими лицами, которые сгенерировали гораздо большие суммы и вывели с биржи почти 3 миллиона долларов.

🗣 Ссылка на чтиво

#News #Kraken #Crime | 🧑‍💻 Этичный хакер

😈 Пентест корпоративной сети: о пользе своевременных патчей Microsoft AD

В этом посте поделюсь с вами историей из практики, которая наглядно покажет, к каким быстрым и катастрофическим последствиям может привести задержка с установкой патчей для серверного ПО.

— В работе нередко сталкиваются с уязвимостями, связанными с важнейшим компонентом корпоративных версий Microsoft Windows Server — средой Active Directory (AD). Из этого материала вам станет ясно, насколько быстро основной механизм, обеспечивающий разграничение прав пользователей в AD, может превратиться в главную дыру в обороне 😔

🗣 Ссылка на чтиво

❗ Также прикрепляю другие полезные материалы по теме #AD:
- Kerberos: руководство для пентестеров
- Атаки на Active Directory: полное руководство

#AD #Win #CVE #mimikatz #DCSync | 🧑‍💻 Этичный хакер

😈 Более 1300 доменов распространяют малвари под видом софта

Сеть, состоящая более чем из 1300 доменов, предлагает пользователям малварь под видом популярных утилит и офисных приложений (вместе с ключами активации или кряками).

Все началось с вредоносного файла, загруженного на рабочее устройство сотрудника неназванной российской компании, как оказалось, вредоносный архив был скачан с файлообменника MediaFire, а перед этим пострадавший пользователь посещал ресурс, на котором предлагались для скачивания популярные утилиты и офисные приложения.

❗ Дальнейшее расследование выявило реальный масштаб этой кампании. С помощью системы графового анализа исследователи изучили сетевую инфраструктуру вредоносного сайта из упомянутого инцидента и обнаружили более 1316 уникальных доменов, распространяющих малварь.

#Malware #News #RU | 🧑‍💻 Этичный хакер

😈 Хакер IntelBroker заявляет, что похитил исходные коды Apple

IntelBroker на BreachForums заявил, что похитил у компании Apple исходный код нескольких внутренних инструментов.

— Согласно сообщению, «в июне 2024 года у Apple.com произошла утечка данных», что и привело к раскрытию информации. IntelBroker утверждает, что в результате он заполучил исходный код для следующих внутренних инструментов компании: AppleConnect-SSO, Apple-HWE-Confluence-Advanced и AppleMacroPlugin.

❗️ О Apple-HWE-Confluence-Advanced и AppleMacroPlugin известно мало. Зато AppleConnect-SSO — это система аутентификации, которая позволяет получать доступ к определенным приложениям в сети Apple. Известно, что эта система интегрирована с базой данных Directory Services, что обеспечивает безопасный доступ к внутренним ресурсам.

#Apple #Leaks #BreachForums | 🧑‍💻 Этичный хакер

😈 Forensics: подборка утилит по анализу файлов и данных

Форензика — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств.

— В этом посте рассмотрим популярные инструменты для проведения криминалистического анализа файлов и данных.

1. analyzeMFT: утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов.

2. Crowd Inspect: утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации.

3. Defraser: утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.

4. Encryption Analyzer: утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла.

5. Shadow Explorer: утилита для просмотра и извлечения файлов из теневых копий.

❗️ Если вам понравилась подборка по данной теме, ожидаем от вас фидбека и делаем следующую.

#Forensics #Encryption | 🧑‍💻 Этичный хакер

😈 Уязвимость в Phoenix UEFI затрагивает устройства с процессорами Intel

Уязвимость в Phoenix SecureCore UEFI, получившая идентификатор CVE-2024-0762 (7,5 балла по шкале CVSS) и название UEFIcanhazbufferoverflow, затрагивает сотни моделей устройств на базе процессоров Intel.

CVE-2024-0762 представляет собой ошибку переполнения буфера в конфигурации Trusted Platform Module прошивки, и этот баг может использоваться для повышения привилегий и выполнения произвольного кода в контексте UEFI.

❗️ Уязвимость затрагивает SecureCore для процессоров: Intel Alder Lake; Coffee Lake; Comet Lake; Ice Lake; Jasper Lake; Kaby Lake; Meteor Lake; Raptor Lake; Rocket Lake и Tiger Lake.

#News #UEFI #Intel #CVE | 🧑‍💻 Этичный хакер

😈 Взлом CISA: хакеры получили доступ к данным о химическом оружии

CISA подтвердило январский взлом своей системы Chemical Security Assessment Tool (CSAT), в ходе которого хакеры взломали устройство Ivanti, что привело к утечке конфиденциальных данных.

❗️ CSAT используется предприятиями для отчета о наличии химических веществ, которые могут быть использованы для террористических целей.

- CISA подтвердила, что на устройство Ivanti Connect Secure с 23 по 26 января 2024 года была загружена веб-оболочка. Несмотря на то, что все данные в приложении CSAT зашифрованы (AES 256), а кража данных не доказана, CISA уведомила компании и физические лица о повышенной осторожности.

🗣 Ссылка на чтиво

#CISA #CSAT #Ivanti | 🧑‍💻 Этичный хакер