🌐 Кто видел ваш трафик, тот знает, кто вы

Хотя HTTPS давно стал стандартом, он не прячет всё. Доменные имена сайтов по-прежнему «текут» наружу — через DNS-запросы и фазу TLS ClientHello. А это значит: достаточно просто перехватывать адреса сайтов, чтобы строить поведенческие профили, определять местоположение и выявлять связи. Особенно уязвимы госслужащие, правозащитники и активисты.

Google и Cloudflare наконец-то взялись закрыть эти дыры. Сначала — массовый переход на зашифрованный DNS (DoH/DoT), теперь — внедрение стандарта Encrypted Client Hello (ECH). Вместе они убирают последние открытые участки в процессе подключения. Новый механизм уже работает в Chrome и BoringSSL, ожидается официальная публикация в IETF.

Но главное — это конец эпохи «ничего страшного, это всего лишь адрес сайта». Домены — это метаданные. А метаданные — это власть. И чем раньше будет принято это как базовая истина, тем меньше поводов для паранойи останется у тех, кто просто хочет тишины в своём трафике.

#HTTPS #DNS #ECH

@SecLabNews

• Нашел интересный ресурс, который содержит информацию об основных веб-уязвимостях. Особенность данной платформы в том, что каждый из перечисленных методов можно выполнить самостоятельно, следуя подсказкам и примерам. А еще каждый пример является интерактивным, поэтому вам будет легче воспринимать материал и практиковаться. Содержание следующее:

➡SQL Injection;
➡Cross-Site Scripting;
➡Command Execution;
➡Clickjacking;
➡Cross-Site Request Forgery;
➡Directory Traversal;
➡Reflected XSS;
➡DOM-based XSS;
➡File Upload Vulnerabilities;
➡Broken Access Control;
➡Open Redirects;
➡Unencrypted Communication;
➡User Enumeration;
➡Information Leakage;
➡Password Mismanagement;
➡Privilege Escalation;
➡Session Fixation;
➡Weak Session IDs;
➡XML Bombs;
➡XML External Entities;
➡Denial of Service Attacks;
➡Email Spoofing;
➡Malvertising;
➡Lax Security Settings;
➡Toxic Dependencies;
➡Logging and Monitoring;
➡Buffer Overflows;
➡Server-Side Request Forgery;
➡Host Header Poisoning;
➡Insecure Design;
➡Mass Assignment;
➡Prototype Pollution;
➡Regex Injection;
➡Remote Code Execution;
➡Cross-Site Script Inclusion;
➡Downgrade Attacks;
➡DNS Poisoning;
➡SSL Stripping;
➡Subdomain Squatting.

➡️ https://www.hacksplaining.com/lessons

#web

• Анекдот дня: производитель принтеров Procolored в течение шести месяцев выпускали драйверы с вредоносным ПО в виде трояна удалённого доступа и кражи криптовалюты.

• Для тех кто не слышал о Procolored, объясню: это Китайская компания, которая известна своими продуктами для печати на текстиле, акриле, дереве, металле и на других поверхностях. Она продаёт принтеры в более чем 31 стране, включая США.

• Так вот, исследователи ИБ-компании G Data выяснили, что официальное программные пакеты Procolored поставляли вредоносное ПО минимум полгода. Специалист G Data Карстен Хан информирует, что драйверы минимум для шести моделей принтеров Procolored содержали вредоносное ПО. Производитель размещает программные пакеты на платформе обмена файлами Mega, предлагая прямую загрузку драйверов оттуда.

• Хан обнаружил 39 файлов, заражённых XRedRAT и SnipVex. XRedRAT — это известное вредоносное ПО, которое умеет в кейлоггинг, захват экрана, удалённый доступ к оболочке и управление файлами. SnipVex — это ранее не документированная вредоносная программа-клипер, которая заражает файлы .exe, внедряется в них и заменяет BTC-адреса в буфере обмена, когда вы копируете любой адрес (т.е. вы копируете один btc адрес, но вставляете btc адрес хакеров). На момент анализа файлы в последний раз обновляли в октябре 2024 года.

• Отмечается, что на используемый SnipVex BTC-адрес поступило около 9,308 биткоина, что по сегодняшнему обменному курсу составляет около 756 миллионов рублей.

• В итоге Procolored удалила программные пакеты 8 мая и начала внутреннее расследование. После обращения G Data китайская компания призналась, что загрузила файлы на Mega.nz при помощи USB-накопителя, который мог быть заражён Floxif. Драйверы вернутся на платформу только после проведения строгих проверок на вирусы и безопасность ПО.

➡️ https://www.gdatasoftware.com/printer-infected-software

#Новости

• Исследователь под псевдонимом es3n1n зареверсил службу Windows Security Center и благодаря этому нашел способ отключить Microsoft Defender на устройствах Windows. А еще разработчик создал инструмент под названием Defendnot, который использует данную уязвимость и позволяет отключать Defender, не прибегая к удалению или вмешательству в системные службы.

• Суть проста: у Windows Security Center (WSC) есть недокументированный API, благодаря чему можно зарегистрировать в системе поддельный антивирусный продукт, который может пройти все проверки Windows. После этого Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов при запуске нескольких приложений безопасности на одном устройстве.

• В общем и целом, тулза Defendnot злоупотребляет этим API, выполняет все необходимые действия для отключения Defender и создает задачу в "планировщике задач", что позволяет инструменту запускаться при каждом запуске Windows.

• Хотя Defendnot считается исследовательским проектом, инструмент демонстрирует, как можно манипулировать надёжными системными функциями для отключения систем безопасности. В настоящее время Microsoft Defender детектит и помещает Defendnot в карантин как «Win32/Sabsik.FL.!ml;».

➡️ В блоге автора есть хорошая статья по разработке данного инструмента и по реверсу службы: https://blog.es3n1n.eu

➡️ GitHub: https://github.com/es3n1n/defendnot

#ИБ