😈 Новый вид атак поражает Linux и Google Chrome

Представили новый вид атаки «TIKTAG», нацеленную на Memory Tagging Extension в архитектуре ARM. Атака позволяет обойти защитный механизм с вероятностью успеха более 95%.

Memory Tagging Extension была введена для предотвращения повреждений памяти. Она использует 4-битные теги для 16-байтных блоков памяти, чтобы защитить от атак на целостность памяти, проверяя соответствие тегов указателей и памяти.

· TIKTAG-v1 использует спекулятивное сжатие в предсказании ветвлений и предвыборке данных процессора. Этот инструмент эффективен против ядра Linux, особенно в функциях, связанных со спекулятивным доступом к памяти.

· TIKTAG-v2 использует механизм перенаправления данных в спекулятивном исполнении, когда значение сохраняется по адресу памяти и немедленно загружается с этого же адреса.

— Исследователи продемонстрировали эффективность TIKTAG-v2 против браузера Google Chrome, особенно его движка V8 JavaScript, что открывает путь для эксплуатации уязвимостей повреждения памяти в процессе рендеринга.

🗣 Ссылка на чтиво

#News #Linux #Chrome #ARM #MTE | 🧑‍💻 Этичный хакер

😈 Истории из жизни вредоносов: DLL инъекция кода

В этой статье мы продолжим тему инъекций кода и поговорим о том, как можно осуществлять инъекции кода с помощью DLL. Общая идеология будет та же, что и в предыдущем посте – с помощью инъекции запустить реверсивный шелл на машине жертвы, и получить доступ на нее.

- Но для начала давайте поговорим о том, что такое DLL и как с ними работать.

🗣 Ссылка на чтиво

#DLL #Injection #ReverseEngineering | 🧑‍💻 Этичный хакер

😈 Малварь с управлением через эмодзи в Discord

Обнаружен Linux-малварь DISGOMOJI, которая использует эмодзи для выполнения команд на зараженных устройствах и в основном атакует правительственные учреждения в Индии, предполагается, что этот вредонос связан с пакистанскими хакерами, известным под идентификатором UTA0137.

— DISGOMOJI похож на многие другие бэкдоры, позволяя выполнять команды, делать скриншоты, похищать файлы, развертывать дополнительные полезные нагрузки и искать конкретные файлы. Однако от других этот отличается использованием Discord в качестве управляющего сервера и эмодзи, что позволяет ему обходить защитные системы, которые обычно реагируют на текстовые команды.

❗️ После успешной атаки злоумышленники используют полуученый доступ для бокового перемещения по сети жертвы, кражи данных, а также пытаются похитить дополнительные учетные данные.

#Malware #News #Discord | 🧑‍💻 Этичный хакер

😈 Истории из жизни вредоносов: отражающая DLL инъекция

Отражающая DLL инъекция - это метод, который позволяет злоумышленнику внедрять dll файлы в процесс жертву из памяти, а не из файла с диска, в результате ее практически невозможно обнаружить ни на уровне системы, ни на уровне процесса.

- В этой статье речь пойдет об использовании отражающих DLL инъекций (reflective dll injection), которые позволяют в определенной степени спрятаться от средств защиты на этапе закрепления на машине жертвы.

🗣 Ссылка на чтиво

#DLL #Injection #ReverseEngineering #Reflected | 🧑‍💻 Этичный хакер

😈 В Испании арестовали лидера группировки Scattered Spider

Испанская полиция и ФБР арестовали 22-летнего жителя Великобритании в испанском городе Пальма. Считается, что задержанный является лидером известной хакерской группировки Scattered Spider, у него были изъяты ноутбук и мобильный телефон, которые теперь будут изучены криминалистами.

Ранее, ФБР объявило о том, что будет стремиться предъявить обвинения членам хак-группы Scattered Spider, участники которой в основном являются выходцами из США, ряда западных стран и стран Восточной Европы. Один из предполагаемых членов группы, 19-летний подросток из Флориды, уже был арестован в январе 2024 года.

— В свою очередь известный ИБ-журналист Брайан Кребс, сообщает, что подозреваемый — уроженец Шотландии Тайлер Бьюкенен (Tyler Buchanan). По данным Кребса, в сети он также известен как Tylerb и ранее подвергался физическим нападениям со стороны конкурирующей группировки, занимающейся подменой SIM-карт.

❗️ Предположительно, именно он сыграл ключевую роль во взломе MGM Resorts.

#News #FBI #Crime | 🧑‍💻 Этичный хакер

😈 Неизвестный исследователь «обнёс» криптобиржу Kraken на $3 млн

Kraken сообщила о краже $3 миллионов из-за критической уязвимости нулевого дня, которую обнаружил неназванный исследователь безопасности и сам же «по-тихому» ей воспользовался. Уязвимость позволила недобросовестному исследователю искусственно увеличивать баланс на платформе.

❗️ Фатальная 0day-уязвимость была устранена всего за 47 минут, но было уже поздно.

Главдир по безопаcности Kraken уточнил, что исследователь первым обнаружил баг и использовал его для зачисления $4 на свой счёт.

- Он мог бы сообщить о нём в рамках ББ и получить солидную выплату, однако решил поделиться находкой с двумя другими лицами, которые сгенерировали гораздо большие суммы и вывели с биржи почти 3 миллиона долларов.

🗣 Ссылка на чтиво

#News #Kraken #Crime | 🧑‍💻 Этичный хакер

😈 Пентест корпоративной сети: о пользе своевременных патчей Microsoft AD

В этом посте поделюсь с вами историей из практики, которая наглядно покажет, к каким быстрым и катастрофическим последствиям может привести задержка с установкой патчей для серверного ПО.

— В работе нередко сталкиваются с уязвимостями, связанными с важнейшим компонентом корпоративных версий Microsoft Windows Server — средой Active Directory (AD). Из этого материала вам станет ясно, насколько быстро основной механизм, обеспечивающий разграничение прав пользователей в AD, может превратиться в главную дыру в обороне 😔

🗣 Ссылка на чтиво

❗ Также прикрепляю другие полезные материалы по теме #AD:
- Kerberos: руководство для пентестеров
- Атаки на Active Directory: полное руководство

#AD #Win #CVE #mimikatz #DCSync | 🧑‍💻 Этичный хакер

😈 Более 1300 доменов распространяют малвари под видом софта

Сеть, состоящая более чем из 1300 доменов, предлагает пользователям малварь под видом популярных утилит и офисных приложений (вместе с ключами активации или кряками).

Все началось с вредоносного файла, загруженного на рабочее устройство сотрудника неназванной российской компании, как оказалось, вредоносный архив был скачан с файлообменника MediaFire, а перед этим пострадавший пользователь посещал ресурс, на котором предлагались для скачивания популярные утилиты и офисные приложения.

❗ Дальнейшее расследование выявило реальный масштаб этой кампании. С помощью системы графового анализа исследователи изучили сетевую инфраструктуру вредоносного сайта из упомянутого инцидента и обнаружили более 1316 уникальных доменов, распространяющих малварь.

#Malware #News #RU | 🧑‍💻 Этичный хакер

😈 Хакер IntelBroker заявляет, что похитил исходные коды Apple

IntelBroker на BreachForums заявил, что похитил у компании Apple исходный код нескольких внутренних инструментов.

— Согласно сообщению, «в июне 2024 года у Apple.com произошла утечка данных», что и привело к раскрытию информации. IntelBroker утверждает, что в результате он заполучил исходный код для следующих внутренних инструментов компании: AppleConnect-SSO, Apple-HWE-Confluence-Advanced и AppleMacroPlugin.

❗️ О Apple-HWE-Confluence-Advanced и AppleMacroPlugin известно мало. Зато AppleConnect-SSO — это система аутентификации, которая позволяет получать доступ к определенным приложениям в сети Apple. Известно, что эта система интегрирована с базой данных Directory Services, что обеспечивает безопасный доступ к внутренним ресурсам.

#Apple #Leaks #BreachForums | 🧑‍💻 Этичный хакер

😈 Forensics: подборка утилит по анализу файлов и данных

Форензика — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств.

— В этом посте рассмотрим популярные инструменты для проведения криминалистического анализа файлов и данных.

1. analyzeMFT: утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов.

2. Crowd Inspect: утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации.

3. Defraser: утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.

4. Encryption Analyzer: утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла.

5. Shadow Explorer: утилита для просмотра и извлечения файлов из теневых копий.

❗️ Если вам понравилась подборка по данной теме, ожидаем от вас фидбека и делаем следующую.

#Forensics #Encryption | 🧑‍💻 Этичный хакер

😈 Уязвимость в Phoenix UEFI затрагивает устройства с процессорами Intel

Уязвимость в Phoenix SecureCore UEFI, получившая идентификатор CVE-2024-0762 (7,5 балла по шкале CVSS) и название UEFIcanhazbufferoverflow, затрагивает сотни моделей устройств на базе процессоров Intel.

CVE-2024-0762 представляет собой ошибку переполнения буфера в конфигурации Trusted Platform Module прошивки, и этот баг может использоваться для повышения привилегий и выполнения произвольного кода в контексте UEFI.

❗️ Уязвимость затрагивает SecureCore для процессоров: Intel Alder Lake; Coffee Lake; Comet Lake; Ice Lake; Jasper Lake; Kaby Lake; Meteor Lake; Raptor Lake; Rocket Lake и Tiger Lake.

#News #UEFI #Intel #CVE | 🧑‍💻 Этичный хакер

😈 Взлом CISA: хакеры получили доступ к данным о химическом оружии

CISA подтвердило январский взлом своей системы Chemical Security Assessment Tool (CSAT), в ходе которого хакеры взломали устройство Ivanti, что привело к утечке конфиденциальных данных.

❗️ CSAT используется предприятиями для отчета о наличии химических веществ, которые могут быть использованы для террористических целей.

- CISA подтвердила, что на устройство Ivanti Connect Secure с 23 по 26 января 2024 года была загружена веб-оболочка. Несмотря на то, что все данные в приложении CSAT зашифрованы (AES 256), а кража данных не доказана, CISA уведомила компании и физические лица о повышенной осторожности.

🗣 Ссылка на чтиво

#CISA #CSAT #Ivanti | 🧑‍💻 Этичный хакер

😈 Джулиан Ассанж заключил сделку с Минюстом США

Основателя WikiLeaks Джулиана Ассанжа освободили из-под стражи, и он покинул тюрьму строгого режима Белмарш, где провел 1901 день. Ассанжа освободили в результате сделки с Министерством юстиции США, которая еще не завершена официально, так как пока Ассанж освобожден под залог.

Теперь, когда он возвращается в Австралию, мы благодарим всех, кто поддерживал нас, боролся за нас и сохранял непоколебимую преданность в борьбе за его свободу.

Свобода Джулиана — это наша свобода», — пишут представители Wikileaks.

После признания вины, в рамках соглашения, Ассанжа приговорят к 62 месяцам заключения, которые он уже отбыл в британской тюрьме. Затем судья зафиксирует договоренности между Ассанжем и Минюстом США, после чего Ассанж будет окончательно отпущен на свободу.

#News #WikiLeaks | 🧑‍💻 Этичный хакер

😈 Forensics: подборка утилит по анализу файлов и данных (ч.2)

Форензика — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств.

— В этом посте рассмотрим популярные инструменты для проведения криминалистического анализа файлов и данных.

1. bstrings: утилита поиска в двоичных данных, включая поиск регулярных выражений.

2. eCryptfs Parser: утилита рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге.

3. Link Parser: утилита для рекурсивного анализа папок, извлекающая более 30 атрибутов из файлов Windows .lnk (shortcut).

4. MetaExtractor: утилита для извеления мета-информации из офисных документов и pdf.

5. Memoryze: анализ образов RAM, включая анализ «page» файлов.

#Forensics #Encryption | 🧑‍💻 Этичный хакер

😈 0day-эксплойт для Chrome выставлен на продажу за $1 000 000

Вчера на одном из киберпреступных форумов на продажу был выставлен эксплойт для zero-day уязвимости в Google Chrome, позволяющий, со слов «ctf», выйти за пределы песочницы браузера и выполнить вредоносный код на компьютере пользователя.

— По заверениям «ctf», работа эксплойта была успешно протестирована в версиях Chrome 126.0.6478.126 и 126.0.6478.127, запущенных в Windows 10 21H1 и 21H2. Однако, есть вероятность, что успешная эксплуатация возможна и в других версиях браузера, на иных версиях Windows.

🗣 Ссылка на чтиво

#News #Chrome #0day #RCE | 🧑‍💻 Этичный хакер

😈 LockBit не взламывала ФРС США, пострадал лишь небольшой банк Арканзаса

23 июня LockBit заявила о взломе Федеральной резервной системы (ФРС) США, выполняющей функции центрального банка страны. LockBit писали, что похитили 33 ТБ конфиденциальной банковской информации американцев, и переговоры о выкупе еще продолжаются, так как им предложили всего 50 000 долларов за непубликацию данных.

— Так как о выкупе договориться явно не удалось, группировка начала сливать якобы украденную ФРС информацию на своем сайте в даркнете. И тут выяснилось, что объектом атаки была вовсе не ФРС, а небольшая финансовая организация из Арканзаса 😂

#News #LockBit #Leaks | 🧑‍💻 Этичный хакер

😈 Захват сетевой инфраструктуры: история пентеста финансовой организации

В этом посте речь пойдёт о том, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных.

— Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. По просьбе юристов названия были изменены. Из уважения к читателям все рассказано так, как было на самом деле.

🗣 Ссылка на чтиво

#Пентест #OWASP #SE | 🧑‍💻 Этичный хакер

😈 Уязвимости Emerson ставят под удар целые отрасли

Были раскрыты детали уязвимостей, обнаруженных в газовых хроматографах производства Emerson, которые могут остановить пищевую промышленность и нарушить лабораторные исследования крови в больницах.

Газовый хроматограф — это прибор для химического анализа, который измеряет содержание различных компонентов в пробе. Такие устройства используются в больницах для анализа крови и в экологических лабораториях для измерения загрязнения воздуха.

1. CVE-2023-46687 (оценка CVSS: 9.8) – позволяет неаутентифицированному злоумышленнику с доступом к сети удаленно выполнять произвольные команды с правами root;
2. CVE-2023-49716 (оценка CVSS: 9.8) – позволяет аутентифицированному атакующему с доступом к сети запускать удаленный код;
3. CVE-2023-51761 (оценка CVSS: 8.3) – позволяет неаутентифицированному пользователю с доступом к сети обойти аутентификацию и получить права администратора;
4. CVE-2023-43609 (оценка CVSS: 9.1) – позволяет неаутентифицированному киберпреступнику получать конфиденциальную информацию или вызывать состояние отказа в обслуживании (DoS);

❗️ Компрометация таких устройств может оказать огромное влияние на различные отрасли: нарушение производственных цепочек, ошибки в тестировании крови и др. образцов пациентов.

#News #CVE | 🧑‍💻 Этичный хакер

😈 Linux: подборка ОС для атак и защиты (ч.2)

Многие из вас в поисках дистрибутива для хакинга и пентеста, в этом посте расскажем о первоклассных, незаменимых для компьютерной криминалистики и тестирования на проникновение.

1. BlackArch: BlackArch выделяется огромной библиотекой специализированных приложений. Сейчас репозиторий проекта содержит 2812 инструментов, а его изучение может занять не один день.

2. Fedora Security Lab: Разработчики Fedora поддерживают много специализированных дистрибутивов, есть среди них и сборка для безопасников. По словам Йорга Саймона, создателя Fedora Security Lab, эта версия ОС появилась как учебная и демонстрационная платформа для проведения лекций по ИБ.

3. SIFT Workstation: SANS Investigative Forensic Toolkit — дистрибутив для цифровой криминалистики, созданный Робом Ли в 2007 году для курса SANS FOR508. С тех пор многие обучающие курсы SANS ориентированы на его использование. SIFT Workstation поддерживает 14 криминалистических форматов доказательств от AFF до qcow.

4. CSI LINUX: Представляет собой нечто среднее между Tsurugi и SIFT Workstation. Этот дистрибутив вобрал в себя более более 175 инструментов для киберрасследований, форензики, сбора и фиксации доказательств.

5. Security Onion: Платформа для мониторинга сетевой безопасности, управления журналами и поиска угроз в корпоративных сетях. Позволяет быстро развернуть наблюдение и собирать оповещения с сотен сетевых узлов и анализировать полученные данные.

— Включает в себя такие инструменты, как: Elasticsearch, Logstash, Kibana, Stenographer, CyberChef, NetworkMiner, Suricata, Zeek, Wazuh, Elastic Stack и др.

‼ Если понравилась подборка, изучите и другие ОС под разные задачи, а также — ждём фидбек:
- Linux: подборка ОС для атак и защиты
- Linux: подборка ОС для личной кибербезопасности

#Linux #Distribution #BlueTeam #RedTeam | 🧑‍💻 Этичный хакер