💸 Мой личный Фонд Национального Благосостояния. Стабильность, уверенность, двухканальный режим.

Как говорил Баффетт:

Инвестируй в то, в чем разбираешься

Типичный 🥸 Сисадмин

🔑 Как хацкеры забыли отключить дебаг в продакшене

На просторах даркнета всплыл перспективный стартап в сфере шифровальщиков. Группировка запустила RaaS-платформу, где весь бизнес-процесс от генерации пейлоадов до выбивания денег... построен через ботов в ТГ. Входной порог низкий, малварь написана на модном Go и умеет шифровать как Windows, так и Linux. Казалось бы, идеальный инструмент, но есть нюанс... 😮

При анализе сэмплов исследователи безопасности выпали в осадок. Авторы малвари допустили ошибку уровня лабораторной работы первокурсника. Мастер-ключ для шифрования (используется AES-256 GCM) не генерируется уникально, а жестко зашит в бинарник. Но это полбеды. В пылу отладки кодеры забыли выпилить функцию, которая сохраняет этот самый ключ в открытом текстовом файле прямо в системную папку %TEMP% на машине жертвы.

Получается, если вы поймали эту конкретную заразу, платить выкуп не нужно, достаточно просто заглянуть во временные файлы. Релизная ли это спешка или деградация современного андерграунда? Впрочем, баг скорее всего уже пофиксили, но проблема в другом... C2-серверы переезжают в публичные API телеги.

Типичный 🥸 Сисадмин

Что ощущаешь, занимаясь DevOps, когда всё спокойно

MemOps 😃

Сотруднику забыли закрыть доступ к внутренним системам, из-за чего в сеть утекло около двух третей населения Южной Кореи 😅

Пока индустрия судорожно внедряет Zero Trust, обмазывается эвристикой в EDR и сливает бюджеты на пентесты, южнокорейский Coupang (типа как Ozon и тд.) преподал всем болезненный урок классической ИБ. Утечку 33,7 млн записей спровоцировал бывший сотрудник, чьи учетные данные просто забыли отключить при увольнении. Компания утверждает, что данные (имена, адреса, история заказов) не появились в открытом доступе, однако это не остановило волну фишинга, и полиция уже получила сотни сообщений о мошенниках.

Человек покинул компанию, сдал бейдж и ноутбук, но, судя по всему, сохранил валидные креды к критическим эндпоинтам или API-ключам, которые, вероятно, не ротировались годами. Это типичный пример зомби-доступа, когда привилегии переживают своего владельца, превращая легитимного пользователя в невидимую угрозу. Система DLP, конечно, могла бы триггернуться на аномальную выгрузку данных, но, как это часто бывает, алерты либо утонули в шуме логов, либо доступ считался доверенным по старой памяти.

Разумно иногда проверять скрипты автоматического депровижининга и актуальность списков доступа, пока ваш бывший коллега не решил проверить, работают ли еще его ключи от продакшена, просто ради интереса или мелкой мести.

Типичный 🥸 Сисадмин

Судя по слою пыли, это решение перешло из статуса временного костыля в статус легаси архитектуры 😬

Типичный 🥸 Сисадмин

Открытый перелом файловой системы со смещением таблицы разделов. Требуется срочная операция по вправлению суперблока.
#предложка

Типичный 🏥 Сисадмин

#предложка
Когда флешка так сильно грелась, что пришлось применить радикальные меры охлаждения 🏥

Типичный 🥸 Сисадмин

Внезапное оптическое заземление? 🏥

Типичный 🥸 Сисадмин

🤔 Вся жизнь процесса это ложь... malloc() обещает ему непрерывный кусок памяти, которого физически не существует. Процесс счастлив в своём неведении, созерцая тени страниц на стенах виртуальной адресации, даже не подозревая, что его данные давно размазаны по свопу.

Если вывести процесс из пещеры виртуальной адресации и показать ему прямой доступ к физической памяти, он ослепнет и упадет в Kernel Panic. Некоторые истины лучше не знать.

З.Ы. Обратите внимание на Хром слева. Он счастлив в своём неведении, пожирая гигабайты и думая, что вся память мира принадлежит ему. Он не знает, что за стеной стоит OOM Killer с дубиной, готовый в любой момент разрушить его хрупкий мир абстракций.

.... и тогда Хром поймёт главную истину, что ложки не существует. Есть только Null Pointer 🥄

Типичный 👾 Сисадмин

И, возможно, прямо сейчас где-то Снаружи нашей симуляции сидит Админ, смотрит на твой🫵 зависший процесс и уже заносит палец над kill -9.

Notepad++ мог скачать малварь через апдейтер 😱

Разработчики Notepad++ экстренно выкатили версию 8.8.9, выяснилось, что механизм автообновления редактора (тот самый GUP.exe) годами толком не проверял подлинность скачиваемых файлов. Этим воспользовались хацкеры, которые начали перехватывать трафик апдейтера и подсовывать пользователям вместо новой версии редактора троян.

Апдейтер стучится за обновлением, но из-за отсутствия нормальной криптографической проверки перенаправляется на вредоносный сервер. В итоге в папку %TEMP% прилетает файл AutoUpdater.exe, который вместо патча начинает активно собирать инфу о системе... запускает netstat, systeminfo, tasklist и whoami. Собранные данные потом сливаются на публичный файлообменник temp.sh через системный curl.

В новой версии 8.8.9 наконец-то прикрутили жесткую проверку цифровой подписи установщика, так что теперь, если подпись не сойдется, обновление прервется.

Типичный 🥸 Сисадмин

Типичный 💾 Сисадмин