Infosec

2021-09-07 13:24:00 Цель — проанализировать код, провести атаку, выстроить защиту. Как выполнить все три шага?

За 3 дня на онлайн интенсиве «RED, BLUE & APPSEC» от HackerU вы научитесь:
— Использовать инструменты для анализа безопасности и проводить атаки
— Патчить уязвимости в коде и проводить динамический анализ
— Исследовать цифровой след для того, чтобы понять что произошло в исследуемой системе, и кто провел атаку

Так на интенсиве вы получите навыки сразу из трех главных направлений кибербезопасности!

Записывайтесь на интенсив и получите полноценную базу для старта в информационной безопасности: https://is.gd/HDlSDx Открыть/Комментировать

2021-09-07 11:16:26 ProtonMail официально все. В смысле - еще теплый, но уже начал подванивать.

Вчера сервис выпустил слезливое сообщение, в котором пояснил, что в соответствии с требованиями юридического приказа швейцарских властей был зафиксирован адрес одного из пользователей почты.

Вся фишка в том, что Швейцария издала этот приказ в соответствии с просьбой французских правоохранительных органов, которые этого пользователя ProtonMail, гражданина Франции, и законопатили в кутузку.

И теперь швейцарский "приватный" почтовый сервис прикидывается ветошью и пытается разъяснить, что все всё не так поняли. Но верится с трудом.

Во-первых, как говорят в ProtonMail, они не передают данные иностранным правительствам. Это утверждение совершенно лишено смысла, поскольку иностранные правительства всегда могут обратиться к правительству Швейцарии, как в данном случае.

Во-вторых, основной фишкой сервиса было декларируемое отсутствие логирования активности пользователя. Что, как теперь оказалось, в нужный для правоохранителей момент быстро исправляется.

И в-третьих, Proton отчаянно пытается дистанцировать Mail от VPN, и заявляет что "ProtonVPN в соответствии с швейцарским законодательством не может быть принужден к логированию действий пользователя в отличие от электронной почты". Само собой - ведь за отсутствие логов ProtonVPN денежки берет.

Ну а завтра швейцарское правительство выпустит очередной юридический приказ и Proton будут размазывать в своем бложике сопли по поводу того, как они рыдали, но выдали логи пользователя VPN.

Мы-то сами уже давненько с Proton свалили... Открыть/Комментировать

2021-09-06 21:56:10 Испытываем сложные чувства: вышел в свет не плохой ликбез по ransomware's для мамкиных хацкеров, исходники программы-вымогателя Babuk просочились на хакерские площадки еще и в русегменте.

Babuk Locker, известный как Babyk, - это программа-вымогатель, попавшая в поле зрения в начале 2021 года,  когда она начала активно использоваться для кражи и шифрования данных с помощью атак с двойным вымогательством.

Известность локер получил после дерзкого нападения на Управление полиции Вашингтона, но почувствовав накал страстей со стороны правоохранительных органов США, банда вымогателей заявила, что якобы прекратила свою деятельность.

Фактически же члены группы отделились и выпустили Babuk V2, посредством которой продолжают шифровать жертв по сей день. Но данный инцидент даже для этих, далеко не самых этичных ребят сыграл ключевую роль.

Известно, что причиной публикации исходников стал раскол среди группировки, несмотря на то что один админ группы заявил, что страдает неизлечимой формой рака и поэтому решил опубликовать исходный код, содержащий различные проекты вымогателей для шифровальщиков VMware ESXi, NAS и Windows. При этом утечка, по мнению экспертов, содержит все, что необходимо злоумышленнику для создания функционального исполняемого файла вымогателя.

В приватах не мало интриг по поводу внутренней кухни Babyk, но учитывая с каким бэкграундом ребята получили общественную известность следить за их деятельностью становится все более интересно. Открыть/Комментировать

2021-09-06 21:27:29 ​​Мы уже писали ранее, за атакой на SolarWinds скорее стояли именно китайские APT, которые получили исходники Exhcange еще в ходе кампании Sunburst, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.

Последние события если не дополняют нашу версию, то во всяком случае не противоречат уж точно. Microsoft Threat Intelligence Center раскрыли более подробную информацию об июльских атаках на SolarWinds, обвинив в атаках действующую из Китая DEV-0322.

В середине июля этого года техасский поставщик программного обеспечения SolarWinds выпустил экстренное обновление безопасности, чтобы исправить ошибку нулевого дня в своей технологии передачи файлов Serv-U, которая активно эксплуатировалась на тот момент в дикой природе.

В основе реализованной хакерами CVE-2021-35211 лежит отсутствующая защита рандомизация адресного пространства ASLR в двоичных файлах Serv-U, в связи с чем воспользоваться багой было «не так уж сложно», по мнению специалистов.

APT нацелена на SSH-серверы SolarWinds Serv-U, которые подвержены уязвимости удаленного выполнения кода до авторизации, которая может быть легко и надежно использована в конфигурации по умолчанию. Подключившись к открытому порту SSH и отправив искаженный запрос на предварительную аутентификацию, DEV-0322 запускают вредоносный код в целевой системе и захватывают уязвимые устройства. Что э происходило дальше, как в июльских атаках - не разглашается, но все и так понимают.

Ну, а мы все же настаиваем, что обвинения российских хакеров в атаке на SolarWinds являются не более, чем политическими манипуляциями, когда перевести стрелки на Россию выгодно. До сих пор вразумительных доказательств так никто и не представил, а тем временем имеем - что имеем. Открыть/Комментировать

2021-09-06 20:10:44 SSH Pentesting Guide
A Comprehensive Guide to Breaking SSH. Written by Alexandre Zanni.

https://community.turgensec.com/ssh-hacking-guide/ Открыть/Комментировать

2021-09-06 20:01:18 ​ Форензика. Интересные задачи по цифровой криминалистике.

Приветствую тебя user_name.

• За­дачи на форен­зику (кри­мина­лис­тику) в сорев­новани­ях Capture The Flag делят­ся на нес­коль­ко боль­ших типов: ана­лиз оперативной памяти, жес­тко­го дис­ка и иссле­дова­ние дампов трафика. Ниже по ссылке, ты найдешь отличный ресурс, где собраны 5 полезных задач посвящённых форензике. Благодаря этим задачам, ты сможешь прокачать свой скилл в области цифровой криминалистики:

https://www.ashemery.com/dfir.html
За ссылку отдельное спасибо @OrderOfSixAngles

• Обязательно обрати внимание на дополнительный материал: https://www.ashemery.com/publications.html

• Полезный видеоматериал по форензике, ты можешь найти на ютубе и в нашем канале по хештегу #Форензика

SANS DFIR Summit 2020. Конференция в которой освещается тема цифровой криминалистики (Форензики) и реагированию на инциденты: https://youtube.com/playlist?list=PLfouvuAjspTo4SbbY-ykIdD7MPFWaloSh

Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. Открыть/Комментировать

2021-09-06 19:56:07 Offensive WMI - Exploring Namespaces, Classes & Methods (Part 2)

https://0xinfection.github.io/posts/wmi-classes-methods-part-2/ Открыть/Комментировать

2021-09-05 21:06:15 CobaltStrikeParser - Python parser for CobaltStrike Beacon's configuration

https://www.kitploit.com/2021/09/cobaltstrikeparser-python-parser-for.html Открыть/Комментировать

2021-09-05 16:49:33 Открыть/Комментировать