😈 Захват сетевой инфраструктуры: история пентеста финансовой организации

В этом посте речь пойдёт о том, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных.

— Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. По просьбе юристов названия были изменены. Из уважения к читателям все рассказано так, как было на самом деле.

🗣 Ссылка на чтиво

#Пентест #OWASP #SE | 🧑‍💻 Этичный хакер

😈 Пентест веб-сайта с помощью OWASP ZAP

OWASP ZAP - это сканер безопасности веб-приложений с открытым исходным кодом, который стал одним из наиболее широко используемых инструментов для динамического тестирования безопасности приложений (DAST), поддерживаемых OWASP.

— Защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. Есть и мощные фреймворки для пентеста WordPress (WPScan) но ведь не все пользуются этой CMS, поэтому в этом посте рассмотрим универсальный пентест-инструмент OWASP ZAP (Zed Attack Proxy).

🗣 Ссылка на чтиво

‼️ Также прикрепляю другие полезные материалы по теме #ZAP:
- ТОП-10 плагинов для OWASP ZAP
- Межсайтовый скриптинг (XSS)

#Web #OWASP #ZAP #Пентест | 🧑‍💻 Этичный хакер

😈 Burp Suite: полезные расширения для пентеста

Burp Suite – это платформа для проведения аудита безопасности веб-приложений. Содержит инструменты для составления карты веб-приложения, поиска файлов и папок, модификации запросов, фаззинга, подбора паролей и др.

— Кроме того, существует магазин дополнений BApp store, содержащий расширения, улучшающие функционал бурпа. В этом посте подобрали пять таких, повышающие эффективность Burp Suite при пентесте веб-приложений.

1. Software Vulnerability Scanner — Это расширение показывает публичные уязвимости для приложений, обнаруженные в трафике, который проксирует Burp. Представляет собой, по сути, прослойку между Burp и API этого отличного агрегатора уязвимостей.

2. Backslash Powered Scanner — Дополняет активный сканер Burp, используя новый подход, способный находить и подтверждать как известные, так и неизвестные классы уязвимостей для внедрения на стороне сервера.

3. SQLiPy — Инструмент, который интегрирует Burp Suite с SQLMap с помощью SQLMap API, для проверки на уязвимость к SQL-инъекции.

4. Active Scan++ — расширяет перечень проверок, которые выполняются при работе активного и пассивного сканера. Он находит такие уязвимости, как cache poisoning, DNS rebinding, различные инъекции, а также делает дополнительные проверки для обнаружения XXE-инъекций и др.

5. Turbo Intruder — более быстрый аналог Intruder, оснащенный скриптовым движком для отправки большого количества HTTP-запросов и анализа результатов. Полезен, если необходима скорость!

— Очень эффективен при поиске уязвимостей, связанных с «состоянием гонки» (Race Condition)

#BurpSuite #Extensions | 🧑‍💻 Этичный хакер

😈 Forensics: подборка инструментов для анализа мобильных устройств

Форензика — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств.

— В этом посте рассмотрим популярные инструменты для проведения криминалистического анализа мобильных устройств.

1. ivMeta: утилита для извлечения модели телефона и версии программного обеспечения, а также временные данные и данные GPS с видео iPhone.

2. iPhone Analyzer: утилита анализа файловой структуры Pad, iPod и iPhone.

3. Rubus: утилита для деконструирования резервных файлов Blackberry .ipd.

4. SAFT: извлечение SMS, журналов звонков и контактов из Android устройств.

5. iPBA2: утилита анализа резервных копий iOS.

#Forensics #Encryption | 🧑‍💻 Этичный хакер

😈 Призрак Internet Explorer атакует Windows 11

Уязвимость CVE-2024-38112, присутствовала как в Windows 10, так и в Windows 11, и вынуждала устройства жертв открывать устаревший браузер Internet Explorer, выведенный из эксплуатации в 2022 году.

В свою очередь, Microsoft исправила её только в минувший вторник в рамках ежемесячного выпуска обновлений Patch Tuesday. Уязвимость была оценена по степени опасности на 7.0 из 10 и находилась в движке MSHTML Windows.

— Атака использовала ранее неизвестные методы, чтобы обманом заставить пользователей Windows выполнять на своих устройствах вредоносный код. Один из обнаруженных примеров включал файл с именем «Books_A0UJKO.pdf.url», который выглядел как PDF, но на самом деле был ссылкой, открывающей указанное приложение.

#News #Windows #CVE | 🧑‍💻 Этичный хакер

😈 Подробный MindMap по пентесту на русском языке

Нам часто приходят сообщения в бота обратной связи подобного характера: с чего начать путь, какие ресурсы посоветуете, на какие аспекты стоит обратить внимание и др.

— По этому поводу нашли для вас MindMap который ответит на все вышеперечисленные вопросы и не только, он включает в себя много полезного материала: дистрибутивы, инструменты, курсы и видеоматериалы.

🗣 Ссылка на MindMap

#MindMap #Pentest | 🧑‍💻 Этичный хакер

😈 GitLab пропатчил критическую уязвимость, связанную с pipeline jobs

Разрабы GitLab'a предупредили о критической уязвимости в GitLab Community (CE) и Enterprise (EE), которая позволяет злоумышленникам запускать pipeline jobs от лица любого другого пользователя (CVE-2024-6385, 9.6 балла по CVSS)

— Проблема затрагивает все версии GitLab CE/EE с 15.8 по 16.11.6, с 17.0 по 17.0.4, а также с 17.1 по 17.1.2. Подчеркивается, что при определенных обстоятельствах можно использовать уязвимость для запуска нового пайплайна от имени произвольного пользователя.

Пайплайны GitLab это Continuous Integration/Continuous Deployment (CI/CD) система, которая позволяет пользователям автоматически запускать процессы и задачи параллельно или последовательно для сборки, тестирования или деплоя изменений в коде.

Стоит отметить, что в конце июня текущего года GitLab патчила почти аналогичную уязвимость (CVE-2024-5655), которую тоже можно было использовать для запуска пайплайнов от имени других пользователей.

❗️ Советуем как можно скорее установить новые версии Community и Enterprise до 17.1.2, 17.0.4 и 16.11.6

#News #GitLab #CVE | 🧑‍💻 Этичный хакер

😈 Заражение по фэншую или разбор атаки через уязвимости Windows

В этом посте мы разберем одну из интересных APT-атак на пользователей, в которой используется не стандартный способ доставки, маскировки, а также заражения системы с обходом EPP и EDR!

— Данный материал будет полезен сотрудникам SOC, TI-экспертам, Pentest и Threat Hunting — специалистам.

🗣 Ссылка на чтиво

#Windows #APT #Phishing #TI | 🧑‍💻 Этичный хакер

😈 Реверс инжиниринг для самых маленьких на практике

Скомпилированное приложение является «чёрным ящиком». Чтобы туда заглянуть, восстановить алгоритм работы применяется реверс‑инжиниринг. Это непростой навык с высоким порогом входа.

❗️ В статье мы попробуем взять дизассемблер, несложную задачку и пойдём в бой. Материал будет полезен тем, кому хочется с чего-то начать и погрузиться в тему реверса.

— В ходе нашего погружения разберем, какие инструменты использовать, с какой стороны подходить к решению подобных задач, разберём различные теоретические моменты.

🗣 Ссылка на чтиво

#ReverseEngineering #IDA #CTF | 🧑‍💻 Этичный хакер

😈 Сбер объявил о наборе специалистов по кибербезопасности

Для обеспечения кибербезопасности инфраструктуры Сбера и клиентов, банк объявил об открытых вакансиях.

«Сейчас в команде кибербезопасности работают профессионалы высочайшего класса, выпускники ведущих технических и профильных вузов. Уровень их компетенций подтверждается тем, что команда выдерживает беспрецедентный уровень внешних атак», — прокомментировал вице-президент по кибербезопасности Сбербанка Сергей Лебедь.

Для заявителей доступны вакансии в сфере архитектуры кибербезопасности, аналитики SOC, киберрисков методологии и т.д. Уровень экспертизы будет проверяться на техническом интервью и в ходе выполнения тестового задания. Сбер также готов взять новичков в IT-сфере.

#Tools #Web | 💀 Этичный хакер

😈 Trello: e-mail адреса 15 млн. пользователей опубликованы на BreachForums

Хакер «‎emo» обнародовал более 15 млн адресов электронной почты, связанных с учетными записями Trello. Известно, что эти адреса были собраны в январе текущего года через плохо защищенный API.

— Хотя почти все данные, представленные в этом дампе, были общедоступными, это не касалось адресов электронной почты, связанных с профилями пользователей. Было выяснено, что хакер использовал открытый API Trello для связывания почтовых адресов с профилями людей.

«У Trello был открытый API-эндпоинт, который позволял любому неаутентифицированному пользователю связать адрес электронной почты с аккаунтом Trello, — пишет emo. — Изначально я собирался отправлять эндпоинту только письма из баз данных com (OGU, RF, Breached и так далее), но потом решил продолжать [проверять] email'ы, пока не надоест».

❗️ Информация из этого дампа может использоваться для проведения целевых фишинговых атаках, а сам emo пишет, что данные также могут пригодиться для доксинга, так как позволяют связать email-адреса с конкретными людьми и их никами.

#News #Trello #Leaks #API | 🧑‍💻 Этичный хакер

😈 Глобальный сбой во всей инфраструктуре Microsoft обрушил мир

Не функционируют абсолютно все продукты Microsoft, что приводит к серьезным сбоям в работе банков, коммунальных предприятий, авиакомпаний, средств массовой информации, телекоммуникаций, сотовой связи, Интернета и др.

— United Airlines; Delta Airlines и Turkish Airlines приостановили полеты из-за проблем со связью; во всех аэропортах Испании «сбой с компьютерными системами» и несколько аэропортов Великобритании были вынуждены остановить полеты.

❗️ Причиной всему обновление от CrowdStrike, массовые сбои на хостах Windows связаны с датчиком Falcon. CrowdStrike Falcon — это универсальная платформа для обеспечения безопасности и защиты конечных точек.

#News #Microsoft #CrowdStrike | 🧑‍💻 Этичный хакер

😈 Группировка Scattered Spider использует шифровальщики RansomHub и Qilin

Scattered Spider пополнила свой арсенал вымогательской малварью Qilin и RansomHub, и уже использует вредоносы в своих атаках, они активны с начала 2022 года.

Группировка также известна под именами 0ktapus (Group-IB), Scatter Swine (Okta), Starfraud, UNC3944 (Mandiant), Octo Tempest (Microsoft) и Muddled Libra. Ее финансово мотивированные атаки в основном направлены на организации, работающие в сфере управления отношениями с клиентами (CRM), аутсорсинга бизнес-процессов, телекоммуникаций и технологий.

Упомянутый шифровальщик Qilin появился в августе 2022 года и сначала назывался Agenda, но спустя месяц был переименован в Qilin. За последние два года на сайте для утечек, принадлежащем группировке, была опубликована информация о 130 пострадавших от атак компаниях.

— Что касается RansomHub, этот шифровальщик появился в феврале 2024 года и считается «ребрендингом» вымогателя Knight. Именно RansomHub использовался в таких громких атаках, как недавние взломы аукционного дома Christie's и американской аптечной сети Rite Aid.

#Malware #News | 🧑‍💻 Этичный хакер

😈 Как синий экран смерти остановил работу аэропортов и предприятий

19 июля произошёл глобальный сбой в работе ПК и серверов на Windows по всему миру. Ряд устройств выдавал синий экран смерти (BSOD) и уходил в бесконечную перезагрузку. Неполадки затронули IT-инфраструктуру многих компаний, банков и аэропортов по всему миру.

— Под катом подробно расскажем, в чём всё таки была проблема и к каким последствиям привела.

🗣 Ссылка на чтиво

#Windows #BSOD #CrowdStrike #Microsoft | 🧑‍💻 Этичный хакер

😈 Ликбез по распространенным Client-Side уязвимостям

Client Side-уязвимости — слабые места или ошибки в ПО, на стороне пользователя (обычно в контексте веб-браузера или мобильного приложения), которые можно использовать для атак или несанкционированного доступа к системе.

В данном материале будут рассматриваться:
· как в разных ситуациях манипулировать веб-сайтом так, чтобы передавал пользователям вредоносный JavaScript.
· как скомпрометировать администратора сайта, отправив ему личное сообщение;
· как атаковать разом всех пользователей при помощи комментария под статьей;
· как заставить пользователя отправить запрос на действия, которые он не собирается выполнять;
· как прослушивать WebSocket-соединения;

В общем, под катом вас ждет рассказ про распространенные уязвимости на стороне клиента и некоторые методы Client-Side защиты.

🗣 Ссылка на чтиво

❗ Также прикрепляю другие полезные материалы по Client-Side уязвимостям:
- Уязвимость XSS: определение и предотвращение
- Уязвимость CSRF: исследуем межсайтовую подделку запроса
- Руководство по пентесту WebSocket
- Поиск уязвимостей IDOR (BOLA)

#XSS #CSRF #IDOR #CSWH | 🧑‍💻 Этичный хакер

😈 Уязвимость в Telegram позволяет замаскировать вредоносный APK под видео

ИБ-спецы рассказали об уязвимости нулевого дня в Telegram для Android, получившей название EvilVideo. Проблема позволяла злоумышленникам отправлять пользователям вредоносные APK-файлы, замаскированные под видеофайлы.

— По данным, хакер под ником Ancryno начал продавать эксплоит для этой 0-day проблемы еще 6 июня 2024 года. В своем сообщении на форуме XSS он писал, что баг присутствует в Telegram для Android версии 10.14.4 и старше.

❗️ Уязвимость EvilVideo позволяла злоумышленникам создавать специальные файлы APK, которые при отправке другим пользователям Telegram выглядели как встроенные видео.

Эксплоит использовал API Telegram для создания сообщения на программном уровне, которое выглядело как 30-секундное видео. Так как по умолчанию Telegram для Android автоматически загружает медиафайлы, пользователи получали полезную нагрузку на свое устройство, сразу после того как открывали беседу. Если же у пользователя была отключена автоматическая загрузка, ему нужно было кликнуть на превью, чтобы инициировать загрузку файла.

#News #0day #Android #APK #Telegram | 🧑‍💻 Этичный хакер

😈 LockBit: двое россиян признали вину в атаках

Двое россиян признали себя виновными в участии в многочисленных вымогательских атаках LockBit, жертвами которых становились организации по всему миру.

❗️ Согласно Минюсту США, 21-летний Руслан Магомедович Астамиров и 34-летний гражданин России и Канады Михаил Васильев являлись «партнерами» LockBit. То есть именно они обнаруживали и взламывали уязвимые системы в сетях жертв, похищали конфиденциальные данные и помогали развернуть в сети жертвы малварь для шифрования файлов.

Астамиров (известный в сети под никами BETTERPAY, offftitan и Eastfarmer) признал, что использовал LockBit против как минимум 10 жертв, включая компании в США, Японии, Франции, Шотландии и Кении, суммарно получив не менее 1,9 млн долларов США в виде выкупов.

— В свою очередь, Васильев (известный под никами Ghostrider, Free, Digitalocean90, Digitalocean99, Digitalwaters99 и Newwave110) тоже признал, что атаковал не менее 12 жертв по всему миру, включая организации в США, Великобритании и Швейцарии, причинив ущерб и убытки на сумму не менее 500 000 долларов.

‼️ Хотя дата вынесения приговора в США еще не назначена, теперь Астамирову грозит до 25 лет тюремного заключения, а Васильеву — до 45 лет.

#News #LockBit #Crime | 🧑‍💻 Этичный хакер

😈 В открытый доступ утекла полная БД BreachForums

В сети опубликована полная база данных первой версии хакерского форума BreachForums. Дамп содержит информацию о пользователях, их личные сообщения, криптовалютные адреса и все сообщения, оставленные на форуме.

Предполагается, что эти данные получены из бэкапа БД, который создал и продал еще в 2023 году бывший админ ресурса, Конор Брайан Фитцпатрик (Conor Brian FitzPatrick), также известный под ником Pompompurin.

— Ранее, весной 2023 года правоохранители закрыли BreachForums в первый раз, и вскоре 20-летний администратор и создатель ресурса, Pompompurin, был арестован. В итоге он признал себя виновным по нескольким пунктам обвинениям, а в январе 2024 года его приговорили к 20 годам под надзором.

❗️ Хотя правоохранительные органы уже располагают этой БД, которую они получили после захвата первой версии сайта и ареста Фитцпатрика в 2023 году, другие преступники, журналисты и ИБ-исследователи ранее не имели доступа к этому дампу.

#News #BreachForums #Leaks | 🧑‍💻 Этичный хакер

😈 Как взломать миллионы модемов: история одного расследования

Два года назад во время работы в домашней сети со мной произошло нечто очень странное. Я эксплуатировал слепую уязвимость XXE, которая требовала внешнего HTTP-сервера для переправки файлов, поэтому я развернул простой веб-сервер Python на платформе AWS для получения трафика от уязвимого сервера...

— Под катом история, направленная на то, чтобы подчеркнуть уязвимости на уровне доверия между интернет‑провайдером и клиентскими устройствами, но модем мог быть скомпрометирован каким‑то другим, гораздо более скучным методом.

🗣 Ссылка на чтиво

#TI #HTTP #API | 🧑‍💻 Этичный хакер