Не хочется лезть в политику и затрагивать политические темы. Однако в некоторых ситуациях промолчать трудно. Вот очередной пример, когда американцы сами лезут на рожон и накаляют обстановку.
Казалось бы, шум вокруг противостояния русских хакеров и США утих. Байден с Путиным давно все обсудили и договорились о совместных мерах. И тут на сцену снова выходят нарциссичные и эгоистичные Соединённые Штаты, публикуя методичку по борьбе с русскими хакерами.
Несмотря на то, что российские власти отрицают причастность к атакам на американские компании, США снова начинают подогревать конфликт.
Вариант — потушить огонь совместными усилиями они даже не рассматривают.
@NeKaspersky
Казалось бы, шум вокруг противостояния русских хакеров и США утих. Байден с Путиным давно все обсудили и договорились о совместных мерах. И тут на сцену снова выходят нарциссичные и эгоистичные Соединённые Штаты, публикуя методичку по борьбе с русскими хакерами.
Несмотря на то, что российские власти отрицают причастность к атакам на американские компании, США снова начинают подогревать конфликт.
Вариант — потушить огонь совместными усилиями они даже не рассматривают.
@NeKaspersky
👍4🤮4😁2👎1💩1
Ахуеть. Вот это сообщил ТАСС! ФСБ задержали самую опасную хакерскую группировку REvil, которая весь 2021 держала в страхе мир. Все самые громкие атаки в 2021 — их рук дело.
К российским силовикам обратились из США, а ФСБ уже нашла всех людей, причастных к атакам. Изъяли у ребят 426 млн рублей, $600 тыс и €500 тыс, технику, криптокошельки, 20 автомобилей премиум класса.
Вот это международное сотрудничество!
К российским силовикам обратились из США, а ФСБ уже нашла всех людей, причастных к атакам. Изъяли у ребят 426 млн рублей, $600 тыс и €500 тыс, технику, криптокошельки, 20 автомобилей премиум класса.
Вот это международное сотрудничество!
ТАСС
ФСБ задержала хакерскую группировку REvil после обращения США
Группировка разработала вредоносное программное обеспечение, организовали хищение денег с банковских счетов иностранных граждан и их обналичивание, в том числе путем приобретения дорогостоящих товаров в интернете
😱19🔥5💩2
Media is too big
VIEW IN TELEGRAM
Видео задержания. Сюжет для фильма на Оскар. А это ведь чьи-то бывшие однокурсники😂
🔥8😁3👍2💩1
Media is too big
VIEW IN TELEGRAM
В связи с задержанием REvil повторно публикуем видео, в котором кратко рассказываем о ransomware. Группировка как раз проводила ransomware-атаки.
@NeKaspersky
@NeKaspersky
🔥6👍2💩1
Премию за сохранение традиций получает компания Microsoft. Ее сотрудники уже который месяц вносят непомерный вклад в неудавшееся устранение багов. На этот раз площадкой для традиционных мероприятий стал Windows Server.
Январское обновления для WS решили отозвать, так как критические баги принуждают контроллер домена к нехорошим вещам, а именно — к перезагрузке. В Hyper-V происходят сбои, а ReFS и вовсе становятся недоступными.
Как только сисадмины установили январский апдейт, так сразу они и начали отправлять жалобы на серьёзные баги, мешающие работе их систем. Microsoft от греха подальше решила отозвать обновления, поэтому патчей в Windows Update сейчас нет.
Кстати, январское обновление ещё и сломало VPN-соединения L2TP в 10 и 11 версиях Windows.
Microsoft срочно нужен какой-то «варяг», который привнесёт в компанию более полезные традиции.
@NeKaspersky
Январское обновления для WS решили отозвать, так как критические баги принуждают контроллер домена к нехорошим вещам, а именно — к перезагрузке. В Hyper-V происходят сбои, а ReFS и вовсе становятся недоступными.
Как только сисадмины установили январский апдейт, так сразу они и начали отправлять жалобы на серьёзные баги, мешающие работе их систем. Microsoft от греха подальше решила отозвать обновления, поэтому патчей в Windows Update сейчас нет.
Кстати, январское обновление ещё и сломало VPN-соединения L2TP в 10 и 11 версиях Windows.
Microsoft срочно нужен какой-то «варяг», который привнесёт в компанию более полезные традиции.
@NeKaspersky
👍7💩1
«Открытые Технологии» у себя в вакансии на ХэХэ указали в обязанностях такую задачу, как проведение маркетинговых мероприятий. Судя по всему, их ИБ-специалисту придётся торговать своим лицом на форумах и конференциях, где он с умным видом должен будет рассказывать про инциденты в ИБ. В условиях дефицита хороших специалистов это требование ещё больше усложняет хантинг.
Хороших специалистов мало, но ещё меньше тех, кто может быть одновременно спецом и грамотно говорить.
@NeKaspersky
Хороших специалистов мало, но ещё меньше тех, кто может быть одновременно спецом и грамотно говорить.
@NeKaspersky
💩10😱5👍1👎1
Уязвимость нулевого дня в Windows получила патч, хоть и неофициальный.
Исследователи Антонио Кокомацци и Андреа Пьерини в апреле 2021 года обнаружили уязвимостью нулевого дня, она получила название
RemotePotato0 SentinelOne, но до сих пор не имеет идентификатор CVE.
Принцип RemotePotato0 SentinelOne заключается в том, что она повышает привилегии пользователя, независимо от того, какая версия Windows установлена.Права повышаются до администратора домена из-за атаки ретрансляции NTLM, после позволяет полностью скомпрометировать домен.
Злоумышленник попадает в систему жертвы, но при этом имеет низкий уровень привилегий. Для их повышения он должен запустить одно из нескольких приложений специального назначения в сеансе обычного пользователя, который тоже находится в системе, но уже с правами администратора домена. Данное действие заставит приложение отправлять хэш NTLM указанного пользователя на IP-адрес выбранный злоумышленником. Как только хэш будет получен, недоброжелатель создает собственный запрос к контроллеру домена, надевая на себя «маску жертвы» и прикидываясь им, он уже может выполнить административное действие, такое как добавление себя в группу администраторов домена.
Данная операция делалась, в частности, для владельцев системы Windows Server, поскольку одновременно регистрируются несколько пользователей, включая администраторов, что устраняет требование социальной инженерии. Однако, обычных пользователей злоумышленники не обошли стороной.
В качестве рекомендации Microsoft попросили пользователей Windows с правами администратора либо отключить NTLM, либо настроить свои серверы для блокировки ретрансляционных атак NTLM с помощью служб сертификации Active Directory (AD CS). Но также MS заявили о том, что исправлять уязвимость они не собираются
Но не все так плохо, ведь появилось бесплатное исправление, и оно будет доступно до тех пор, пока Microsoft не предоставит что-нибудь официальное. Компания 0patch разработала микропатчи, используя информацию, которой Cocomazzi и Pierini поделились в своем отчете за апрель 2021 года. Доступны они для ОС начиная с Windows 7 до последней версии Windows 10 и от Windows Server 2008 до Windows Server 2019. Для установки такого микропатча вы должны создать учетную запись 0patch, а затем установить агент 0patch. И на этом все, агент сам запустится и будет работать автоматически, для этого даже не нужно перезагружать компьютер.
@NeKaspersky
Исследователи Антонио Кокомацци и Андреа Пьерини в апреле 2021 года обнаружили уязвимостью нулевого дня, она получила название
RemotePotato0 SentinelOne, но до сих пор не имеет идентификатор CVE.
Принцип RemotePotato0 SentinelOne заключается в том, что она повышает привилегии пользователя, независимо от того, какая версия Windows установлена.Права повышаются до администратора домена из-за атаки ретрансляции NTLM, после позволяет полностью скомпрометировать домен.
Злоумышленник попадает в систему жертвы, но при этом имеет низкий уровень привилегий. Для их повышения он должен запустить одно из нескольких приложений специального назначения в сеансе обычного пользователя, который тоже находится в системе, но уже с правами администратора домена. Данное действие заставит приложение отправлять хэш NTLM указанного пользователя на IP-адрес выбранный злоумышленником. Как только хэш будет получен, недоброжелатель создает собственный запрос к контроллеру домена, надевая на себя «маску жертвы» и прикидываясь им, он уже может выполнить административное действие, такое как добавление себя в группу администраторов домена.
Данная операция делалась, в частности, для владельцев системы Windows Server, поскольку одновременно регистрируются несколько пользователей, включая администраторов, что устраняет требование социальной инженерии. Однако, обычных пользователей злоумышленники не обошли стороной.
В качестве рекомендации Microsoft попросили пользователей Windows с правами администратора либо отключить NTLM, либо настроить свои серверы для блокировки ретрансляционных атак NTLM с помощью служб сертификации Active Directory (AD CS). Но также MS заявили о том, что исправлять уязвимость они не собираются
Но не все так плохо, ведь появилось бесплатное исправление, и оно будет доступно до тех пор, пока Microsoft не предоставит что-нибудь официальное. Компания 0patch разработала микропатчи, используя информацию, которой Cocomazzi и Pierini поделились в своем отчете за апрель 2021 года. Доступны они для ОС начиная с Windows 7 до последней версии Windows 10 и от Windows Server 2008 до Windows Server 2019. Для установки такого микропатча вы должны создать учетную запись 0patch, а затем установить агент 0patch. И на этом все, агент сам запустится и будет работать автоматически, для этого даже не нужно перезагружать компьютер.
@NeKaspersky
👍9😱6
Цифровизация как она есть. «Ленэнерго» закупает оборудование для модернизации системы информационной безопасности своих энергообъектов. Участники тендера ООО «АРТКО» из Казани и ООО «АНГАРА ПРОФЕШНЛ АССИСТАНС» из Москвы. Татары предложили более выгодную цену, поэтому заняли в ранжирование первое место. Редкий случай, когда компания из региона выигрывает у москвичей.
@NeKaspersky
@NeKaspersky
😁7👍5😱1
Так выглядят 2 хакера из 8 участников REvil: Михаил Головачук и Руслан Хансвяров.
Страницы хакеров в Instagram:
• Михаил Головачук
• Руслан Хансвяров (закрытый аккаунт)
Страницы хакеров в Instagram:
• Михаил Головачук
• Руслан Хансвяров (закрытый аккаунт)
👍5😱4💩3
Intel решили отказаться от SGX в процессорах 11го и 12го поколения, что делает невозможным воспроизведение blu-ray дисков в 4k. Проблема используемой DRM-защите, которой необходима эта технология.
Причиной решения послужили множественные уязвимости, обнаруженные за время существования технологии (Prime+Probe, SGXSpectre, SGAxe, Plundervolt и др.). Если учесть, что распространение контента на blu-ray сейчас непопулярно, отказ от использования SGX был обоснован.
Однако есть люди, предпочитающие blu-ray по различным причинам: для коллекции просто потому, чтобы иметь материальный носитель информации, отсутствие задержек, которые могут случаться при потоковом воспроизведении. Им советуют пока что остановить выбор на процессорах 7-10 поколений (технически, SGX появилась еще в шестом, но тогда не было HDCP 2.2, что вызывает определенные проблемы с HDMI 2.0) и не обновлятся до windows 11. Другое возможное решение — отказ от данной DRM — всецело зависит от Blu-ray Disc Association.
@NeKaspersky
Причиной решения послужили множественные уязвимости, обнаруженные за время существования технологии (Prime+Probe, SGXSpectre, SGAxe, Plundervolt и др.). Если учесть, что распространение контента на blu-ray сейчас непопулярно, отказ от использования SGX был обоснован.
Однако есть люди, предпочитающие blu-ray по различным причинам: для коллекции просто потому, чтобы иметь материальный носитель информации, отсутствие задержек, которые могут случаться при потоковом воспроизведении. Им советуют пока что остановить выбор на процессорах 7-10 поколений (технически, SGX появилась еще в шестом, но тогда не было HDCP 2.2, что вызывает определенные проблемы с HDMI 2.0) и не обновлятся до windows 11. Другое возможное решение — отказ от данной DRM — всецело зависит от Blu-ray Disc Association.
@NeKaspersky
👎4🔥2💩2
Уязвимость в cryptsetup позволяет отключить шифрование в luks2 разделах.
Проблема, получившая идентификатор CVE-2021-4122, заключается в т.н. «online reencryption» - модуле, позволяющем менять ключ шифрования «на лету» во избежание : атакующий может изменить метаданные LUKS2 (они не защищены от модификации) таким образом, чтобы после ввода владельцем правильного ключа и расшифровки носителя информации шифрование часть расшифрованных ранее данных останется в plaintext (иными словами, не будет зашифрована обратно). Метаданные меняются таким образом, чтобы симулировать начатый ранее процесс расшифровки данных после ошибки повторного шифрования.
Пользователь, подключивший модифицированный таким образом накопитель, не получает каких-либо уведомлений и может узнать об атаке лишь с помощью
Данный сценарий атаки, очевидно, требует физического доступа к накопителю (минимум дважды). Уязвимость затрагивает версии cryptsetup ≥ 2.2.0 и устранена в 2.4.3 и 2.3.7 (теперь метаданные нельзя изменить без знания ключа шифрования).
Всем пользователям рекомендовано обновиться.
@NeKaspersky
Проблема, получившая идентификатор CVE-2021-4122, заключается в т.н. «online reencryption» - модуле, позволяющем менять ключ шифрования «на лету» во избежание : атакующий может изменить метаданные LUKS2 (они не защищены от модификации) таким образом, чтобы после ввода владельцем правильного ключа и расшифровки носителя информации шифрование часть расшифрованных ранее данных останется в plaintext (иными словами, не будет зашифрована обратно). Метаданные меняются таким образом, чтобы симулировать начатый ранее процесс расшифровки данных после ошибки повторного шифрования.
Пользователь, подключивший модифицированный таким образом накопитель, не получает каких-либо уведомлений и может узнать об атаке лишь с помощью
luksDump. Как сообщил мейнтейнер, обнаруживший баг, при дефолтных настройках объем расшифрованных таким образом данных может превысить 3гб.Данный сценарий атаки, очевидно, требует физического доступа к накопителю (минимум дважды). Уязвимость затрагивает версии cryptsetup ≥ 2.2.0 и устранена в 2.4.3 и 2.3.7 (теперь метаданные нельзя изменить без знания ключа шифрования).
Всем пользователям рекомендовано обновиться.
@NeKaspersky
👍6
Китай снова всех опередил. Пока многие страны, в числе которых и Россия, колеблются в вопросе выделения частот, в Поднебесной установили 5G-станции во всех городах и районах.
Общий охват более 97% округов и около 50% посёлков. Число базовых станций 1,4 млн.
800 тыс. для коммерческого доступа, 600 тыс. для государственного и корпоративного сектора.
Пруф тут.
@NeKaspersky
Общий охват более 97% округов и около 50% посёлков. Число базовых станций 1,4 млн.
800 тыс. для коммерческого доступа, 600 тыс. для государственного и корпоративного сектора.
Пруф тут.
@NeKaspersky
Gizchina
China now has 5G base stations in "all" cities and urban areas
China now has 5G base stations in "all" cities and urban areas. As of now, China is far ahead of the world in terms of 5G development
👍12😱7🔥5
Неустраненная уязвимость в Safari позволяет злоумышленникам отслеживать пользователей.
FingerprintJS сообщает: уязвимость, названная IndexedDB Leaks, заключается в эксплуатации косяка в имплементации IndexedDB, низкоуровневой API-шке для NoSQL баз данных. В норме упомянутая имплементация должна следовать т.н. «Same-origin policy» - базовому правилу, утверждающему, что один origin не должен иметь доступ к данным другого; у двух страниц один origin, когда нет различий между их хостами, портами и протоколами.
В десткопном Safari 15 и мобильных версиях браузера разработчики слегка забили на упомянутое правило, и в итоге, когда одна вкладка взаимодействует с определенной бд через IndexedDB API, в других создается пустая бд с таким же именем. Опасность уязвимости заключается в том, что название бд, зачастую, уникально для конкретного сайта и в некоторых случаях даже уникальны для конкретного пользователя сайта; последнее применимо, например, к YouTube, Google Calendar и Google Keep, которые используют User ID в названиях баз, чтобы разграничить различные аккаунты на одном устройстве.
Защититься на текущий можно лишь разрешив исполнение js на сайтах, которым непосредственно доверяешь, но это не очень удобно, т.к. многие сайты имеют проблемы с отображением или отказываются работать без js. Тем, кого такое не устраивает, придется ждать фикса от Apple.
Кстати, специалисты FingerprintJS обнаружили баг и сообщили о нем еще в конце ноября 21го, но Apple пока не спешит с фиксами.
@NeKaspersky
FingerprintJS сообщает: уязвимость, названная IndexedDB Leaks, заключается в эксплуатации косяка в имплементации IndexedDB, низкоуровневой API-шке для NoSQL баз данных. В норме упомянутая имплементация должна следовать т.н. «Same-origin policy» - базовому правилу, утверждающему, что один origin не должен иметь доступ к данным другого; у двух страниц один origin, когда нет различий между их хостами, портами и протоколами.
В десткопном Safari 15 и мобильных версиях браузера разработчики слегка забили на упомянутое правило, и в итоге, когда одна вкладка взаимодействует с определенной бд через IndexedDB API, в других создается пустая бд с таким же именем. Опасность уязвимости заключается в том, что название бд, зачастую, уникально для конкретного сайта и в некоторых случаях даже уникальны для конкретного пользователя сайта; последнее применимо, например, к YouTube, Google Calendar и Google Keep, которые используют User ID в названиях баз, чтобы разграничить различные аккаунты на одном устройстве.
Защититься на текущий можно лишь разрешив исполнение js на сайтах, которым непосредственно доверяешь, но это не очень удобно, т.к. многие сайты имеют проблемы с отображением или отказываются работать без js. Тем, кого такое не устраивает, придется ждать фикса от Apple.
Кстати, специалисты FingerprintJS обнаружили баг и сообщили о нем еще в конце ноября 21го, но Apple пока не спешит с фиксами.
@NeKaspersky
Fingerprint
Exploiting IndexedDB API information leaks in Safari 15
Discover how a software bug in Safari 15's IndexedDB API can track your online activity and reveal your identity.
👍2🔥1😱1
Вчера мы писали про то, что Китай полностью покрыл страну базовыми станциями 5G, а сегодня минцифры уже обсуждает вопрос предоставления операторам частот бесплатно, так как на российском диапазоне 4,8-4,9 ГГц требуется установить гораздо больше базовых станций. Вот как чужой успех подстёгивает собственное развитие.
Сейчас, кстати, к установленному частотному диапазону для тестирования добавляются отдельные полосы 4,4-4,8 ГГц.
@NeKaspersky
Сейчас, кстати, к установленному частотному диапазону для тестирования добавляются отдельные полосы 4,4-4,8 ГГц.
@NeKaspersky
ТАСС
Минцифры обсуждает вопрос предоставления операторам частот для 5G без взимания платы
Минцифры ранее сообщало, что Государственная комиссия по радиочастотам рассматривает вопрос расширения диапазона для сетей 5G в городах-миллионника
👍3😁3💩3🔥1
Crowdstrike подвели итоги прошедшего года по заражению Linux-систем.
В кратце, рассказали следующее:
• Наиболее частой целью все еще являются IoT-девайсы, юзают зараженные девайсы в основном для DDoS-атак;
• Количество заражений возросло на 35%;
• 22% из них принадлежат XorDDoS, Mirai и Mozi;
• Количество пойманных сэмплов Mozi возросло в 10 раз.
Немного о наиболее многочисленных на текущий момент ботнетах:
• XorDDoS - троян, нацеленный на ARM, x86 и x64 системы. Количество сэмплов возросло на 123%. Существует как минимум с 2014, при атаке на IoT-устройства брутит SSH, также может простукивать Docker-сервера;
• Mozi - p2p-ботнет, использует кастомную расширенную имплементацию распределенной хеш-таблицы (DHT) для общения между ботами и C2 (command & control) сервером, при этом такой трафик неплохо маскируется под легитимный. Брутфорсит SSH и Telnet, после - закрывает порты, чтобы предотвратить доступ конкурентов к той же машине;
• Mirai - стал очень популярен после того как разработчик опубликовал исходники, это же привело к появлению другой малвари на его основе. Также пытается сбрутить все, до чего может дотянутся.
@NeKaspersky
В кратце, рассказали следующее:
• Наиболее частой целью все еще являются IoT-девайсы, юзают зараженные девайсы в основном для DDoS-атак;
• Количество заражений возросло на 35%;
• 22% из них принадлежат XorDDoS, Mirai и Mozi;
• Количество пойманных сэмплов Mozi возросло в 10 раз.
Немного о наиболее многочисленных на текущий момент ботнетах:
• XorDDoS - троян, нацеленный на ARM, x86 и x64 системы. Количество сэмплов возросло на 123%. Существует как минимум с 2014, при атаке на IoT-устройства брутит SSH, также может простукивать Docker-сервера;
• Mozi - p2p-ботнет, использует кастомную расширенную имплементацию распределенной хеш-таблицы (DHT) для общения между ботами и C2 (command & control) сервером, при этом такой трафик неплохо маскируется под легитимный. Брутфорсит SSH и Telnet, после - закрывает порты, чтобы предотвратить доступ конкурентов к той же машине;
• Mirai - стал очень популярен после того как разработчик опубликовал исходники, это же привело к появлению другой малвари на его основе. Также пытается сбрутить все, до чего может дотянутся.
@NeKaspersky
👍5😱3
Протокол удалённого рабочего стола, как инструмент для атак.
Проприетарный протокол прикладного уровня (RDP) вызывает все большую обеспокоенность в области кибербезопасности. Большое количество киберпреступников используют его как инструмент для атак на юридических и физических лиц. В 2019 году такие атаки привели к потерям 7,5 млрд долларов. А с 1 по 4 квартал 2020 года количество атак выросло на 768%.
Сам RDP представляет из себя протокол, обычно используемый для удаленного администрирования компьютера с использованием терминальных клиентов и серверов по TCP / IP. На сегодняшний день он предоставляет различные типы безопасности для шифрования связи между клиентами и серверами, такие как: «стандартная безопасность RDP» (весь трафик шифруется симметрично в зависимости от поддержки клиента и выбора сервера для уровня шифрования) и «RDP Enhanced Security» (реализует внешние протоколы для обеспечения механизмов шифрования и безопасности, используя TLS). Но, к сожалению, оба типа шифрования не защищены полностью от перехвата «посередине». Тестировщики часто используют RDP в качестве эффективного инструмента, для захвата сеансов и захвата хэшей и т. д.
Также для захвата хеша NetNTLMv2 (протокол сетевой аутентификации встроенный в Microsoft Windows), можно использовать PyRDP библиотеки, специально созданные для атаки «посередине» и экспериментов с протоколом RDP. Находясь в режиме MITM, PyRDP имеет возможность перехватывать хеши NetNTLMv2, даже если у него нет реального сертификата сервера и закрытого ключа, а NLA обеспечивается сервером.
Для примера возьмем два варианта развития событий захвата хэша. В первом мы обладаем сертификатом и закрытым ключом сервера, на который выполняется атака. В этом случае взаимодействие между клиентом RDP и сервером будет осуществляться с поддержкой CredSSP, и PyRDP будет передавать сообщения NTLMSSP в обоих направлениях. Захват NetNTLMv2 выполняется после того, как сервер RDP отправляет сообщение CHALLENGE (здесь PyRDP извлекает значение запроса сервера из сообщения), и клиент отвечает хешем, который регистрирует PyRDP, а затем отправляет на сервер RDP для продолжения процесса аутентификации. Во втором же случае NLA применяется сервером, но при отсутствии сертификата и закрытого ключа. В этом сценарии PyRDP будет обрезать связь с оригинал сервера и продолжать подключение клиента и аутентификацию NTLMSSP для того, чтобы выполнить то же извлечение NetNTLMv2, что и раньше. Хитрость состоит в том, что PyRDP сгенерирует сообщение "ВЫЗОВ", после получит сообщение "ПЕРЕГОВОР" клиента и отправит его. Здесь PyRDP контролирует значение проблемы и позже получит сообщение АУТЕНТИКАЦИИ. Примерно так и работает захват NetNTLMv2 во время соединений RDP.
@NeKaspersky
Проприетарный протокол прикладного уровня (RDP) вызывает все большую обеспокоенность в области кибербезопасности. Большое количество киберпреступников используют его как инструмент для атак на юридических и физических лиц. В 2019 году такие атаки привели к потерям 7,5 млрд долларов. А с 1 по 4 квартал 2020 года количество атак выросло на 768%.
Сам RDP представляет из себя протокол, обычно используемый для удаленного администрирования компьютера с использованием терминальных клиентов и серверов по TCP / IP. На сегодняшний день он предоставляет различные типы безопасности для шифрования связи между клиентами и серверами, такие как: «стандартная безопасность RDP» (весь трафик шифруется симметрично в зависимости от поддержки клиента и выбора сервера для уровня шифрования) и «RDP Enhanced Security» (реализует внешние протоколы для обеспечения механизмов шифрования и безопасности, используя TLS). Но, к сожалению, оба типа шифрования не защищены полностью от перехвата «посередине». Тестировщики часто используют RDP в качестве эффективного инструмента, для захвата сеансов и захвата хэшей и т. д.
Также для захвата хеша NetNTLMv2 (протокол сетевой аутентификации встроенный в Microsoft Windows), можно использовать PyRDP библиотеки, специально созданные для атаки «посередине» и экспериментов с протоколом RDP. Находясь в режиме MITM, PyRDP имеет возможность перехватывать хеши NetNTLMv2, даже если у него нет реального сертификата сервера и закрытого ключа, а NLA обеспечивается сервером.
Для примера возьмем два варианта развития событий захвата хэша. В первом мы обладаем сертификатом и закрытым ключом сервера, на который выполняется атака. В этом случае взаимодействие между клиентом RDP и сервером будет осуществляться с поддержкой CredSSP, и PyRDP будет передавать сообщения NTLMSSP в обоих направлениях. Захват NetNTLMv2 выполняется после того, как сервер RDP отправляет сообщение CHALLENGE (здесь PyRDP извлекает значение запроса сервера из сообщения), и клиент отвечает хешем, который регистрирует PyRDP, а затем отправляет на сервер RDP для продолжения процесса аутентификации. Во втором же случае NLA применяется сервером, но при отсутствии сертификата и закрытого ключа. В этом сценарии PyRDP будет обрезать связь с оригинал сервера и продолжать подключение клиента и аутентификацию NTLMSSP для того, чтобы выполнить то же извлечение NetNTLMv2, что и раньше. Хитрость состоит в том, что PyRDP сгенерирует сообщение "ВЫЗОВ", после получит сообщение "ПЕРЕГОВОР" клиента и отправит его. Здесь PyRDP контролирует значение проблемы и позже получит сообщение АУТЕНТИКАЦИИ. Примерно так и работает захват NetNTLMv2 во время соединений RDP.
@NeKaspersky
👍13💩1