Forwarded from SecAtor
На прошлой мы сообщали о том, как Microsoft сначала метил то одну, затем другую критическую 0-day в качестве активно эксплуатируемой.
Точно определившись, что именно CVE-2024-21410 в Exchange все-таки эксплуатируется вживую, разработчик снял планку с CVE-2024-21413 (Microsoft Outlook RCE), которая получила название MonikerLink.
Теперь обнаруженная Check Point проблема обзавелась PoC MonikerLink, который доступен на GitHub.
Поэтому насчет отметки Microsoft придется задуматься в ближайшем будущем, ведь непропатченные системы обязательно станут полигоном для киберподполья.
Точно определившись, что именно CVE-2024-21410 в Exchange все-таки эксплуатируется вживую, разработчик снял планку с CVE-2024-21413 (Microsoft Outlook RCE), которая получила название MonikerLink.
Теперь обнаруженная Check Point проблема обзавелась PoC MonikerLink, который доступен на GitHub.
Поэтому насчет отметки Microsoft придется задуматься в ближайшем будущем, ведь непропатченные системы обязательно станут полигоном для киберподполья.
Telegram
SecAtor
Другая отмеченная Microsoft как эксплуатируемая 0-day, которая должна была стать четвертой исправленной Patch Tuesday в феврале, лишилась пометки и, похоже, что не использовалась в дикой природе.
Критическая CVE-2024-21413 затрагивает Outlook и позволяет…
Критическая CVE-2024-21413 затрагивает Outlook и позволяет…
Forwarded from SecAtor
͏Силовики рапортуют о проведении операции под названием Хронос, в результате которой им удалось захватить серверы действующей с 2019 года банды вымогателей Lockbit.
В мероприятиях, как отмечается, наряду с Европолом приняли участие власти 11 стран: Австралии, Канады, Финляндии, Франции, Германии, Японии, Нидерландов, Швеции, Швейцарии, Великобритании и США.
Столь ошеломительному успеху способствовали отчасти сами хакеры, не углядевшие за уявзимостью в PHP (CVE-2023-3824 с CVSS: 9,8), которая собственно и открыла двери в их инфраструктуру.
Так что теперь сайт DLS и другие части инфраструктуры Lockbit показывают сообщение о том, что они конфискованы в рамках совместной полицейской операции и находятся под контролем NCA Великобритании и ФБР США, а внутри админки силовики вовсю развлекаются с участниками партнёрской сети.
Кроме того, правоохранителям удалось добраться и до исходников LockBit, включая и данные о жертвах, переговорах, суммах выкупа, украденных данных.
В свою очередь, Lockbit утверждают, что у них сохранились все бэкапы и с ними всё в порядке, помимо серверов никто из членов банд не пострадал.
Причем некоторые другие веб-сайты банды (включая используемые для размещения данных) все еще активны.
Учитывая серьезную репутацию Lockbit с 1700 атаками начиная с 2020 года, а также опыт последних аналогичных операций в отношении ALPHV или Hive, не особо подкосивших их RaaS-активность, не все так однозначно с Хронос.
В мероприятиях, как отмечается, наряду с Европолом приняли участие власти 11 стран: Австралии, Канады, Финляндии, Франции, Германии, Японии, Нидерландов, Швеции, Швейцарии, Великобритании и США.
Столь ошеломительному успеху способствовали отчасти сами хакеры, не углядевшие за уявзимостью в PHP (CVE-2023-3824 с CVSS: 9,8), которая собственно и открыла двери в их инфраструктуру.
Так что теперь сайт DLS и другие части инфраструктуры Lockbit показывают сообщение о том, что они конфискованы в рамках совместной полицейской операции и находятся под контролем NCA Великобритании и ФБР США, а внутри админки силовики вовсю развлекаются с участниками партнёрской сети.
Кроме того, правоохранителям удалось добраться и до исходников LockBit, включая и данные о жертвах, переговорах, суммах выкупа, украденных данных.
В свою очередь, Lockbit утверждают, что у них сохранились все бэкапы и с ними всё в порядке, помимо серверов никто из членов банд не пострадал.
Причем некоторые другие веб-сайты банды (включая используемые для размещения данных) все еще активны.
Учитывая серьезную репутацию Lockbit с 1700 атаками начиная с 2020 года, а также опыт последних аналогичных операций в отношении ALPHV или Hive, не особо подкосивших их RaaS-активность, не все так однозначно с Хронос.
📦 Red Team Attack Lab.
• Ссылка на репозиторий, который представляет собой виртуальную среду с различными операционными системами и уязвимостями для практики Red Team. Ознакомиться можно тут: https://github.com/Marshall-Hallenbeck/red_team_attack_lab
• Полный список ОС можно посмотреть здесь. Материал будет очень полезен для Red Team, Blue Team, пентестерам и ИБ специалистам.
#ИБ #Пентест
• Ссылка на репозиторий, который представляет собой виртуальную среду с различными операционными системами и уязвимостями для практики Red Team. Ознакомиться можно тут: https://github.com/Marshall-Hallenbeck/red_team_attack_lab
• Полный список ОС можно посмотреть здесь. Материал будет очень полезен для Red Team, Blue Team, пентестерам и ИБ специалистам.
#ИБ #Пентест
• Ради кражи криптовалюты некоторые злоумышленники устраивают аферы в стиле фильма «Поймай меня, если сможешь». Мишень — компании, ищущие инвесторов, к которым обращаются «инвестиционные фонды» и предлагают детально обсудить крупное вложение в бизнес.
• После нескольких созвонов и переписки жертвам — директорам стартапа — назначают личную встречу в роскошном отеле. На встрече долго обсуждаются юридические и финансовые вопросы, и под удобным предлогом возникает разговор об инвестициях или комиссионных сборах в криптовалюте.
• В итоге у жертвы подсматривают сид-фразу или кратковременно выманивают криптокошелек, а затем освобождают этот кошелек от всех денег. В одном из случаев жертв «нагрели» на четыре миллиона долларов, в другом, детально описанном, — на 206 тысяч.
#Разное #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Trend Micro продолжает отслеживать активность китайской Earth Preta, более известной в исследовательском сообществе как Mustang Panda (ака BASIN, Bronze President, Camaro Dragon, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 и TEMP.Hex), впервые попавшей в поле зрения исследователей еще 2017 году.
В новой наблюдаемой кампании АРТ атаковала различные азиатские страны с использованием модифицированного бэкдора PlugX (он же Korplug, основной инструмент Mustang Panda), получившего название DOPLUGS.
Причем ранее в арсенале группы встречались также и такие варианты PlugX, как RedDelta, Thor и Hodur.
Основные цели располагались на Тайване и во Вьетнаме, и в меньшей степени - в Гонконге, Индии, Японии, Малайзии, Монголии и даже Китае.
Профессиональная деятельность злоумышленника предполагает проведение тщательно продуманных целевых фишинговых кампаний.
Цепочка заражения начинается с электронного сообщения в качестве канала для доставки полезных данных первого этапа, на котором получателю демонстрируется документ-приманка, а параллельно распаковывается легально подписанный исполняемый файл, уязвимый для боковой загрузки DLL, которая, в свою очередь, расшифровывает и выполняет PlugX.
В свою очередь, PlugX извлекает Poison Ivy (RAT) или Cobalt Strike Beacon, чтобы установить соединение с подконтрольным АРТ сервером.
В декабре 2023 года Lab52 обнаружила кампанию Mustang Panda, нацеленную на тайваньские дипломатические и правительственные организации с помощью DOPLUGS, но с заметной разницей.
Вредоносная DLL была написана на языке программирования Nim. Этот новый вариант использует собственную реализацию алгоритма RC4 для расшифровки PlugX, в отличие от предыдущих версий, которые использовали библиотеку Windows Cryptsp.dll.
DOPLUGS, впервые задокументированный Secureworks в сентябре 2022 года, представляет собой загрузчик с четырьмя бэкдорными командами, одна из которых предназначена для загрузки основного типа вредоносного ПО PlugX.
Но в новой кампании Trend Micro столкнулась с образцами DOPLUGS, интегрированными с модулем KillSomeOne, плагином, который отвечает за распространение вредоносного ПО, сбор информации и кражу документов через USB-накопители.
Этот вариант оснащен дополнительным компонентом, который запускает законный исполняемый файл для загрузки неопубликованных DLL, а также поддерживает функциональные возможности для выполнения команд и загрузки вредоносного ПО следующего этапа с сервера злоумышленника.
Стоит отметить, что модифицированный вариант PlugX, включающий модуль KillSomeOne, предназначенный для распространения через USB, также попадал в поле зрения Avira еще в январе 2020 года в рамках расследования атак, направленных на Гонконг и Вьетнам.
В общем все это в очередной раз говорит о том, что Earth Preta постоянно оттачивает свой инструментарии, расширяя его функции и возможности, что позволяет АРТ сохранять и усиливать активность, фокусируясь на целях в Европе и Азии.
В новой наблюдаемой кампании АРТ атаковала различные азиатские страны с использованием модифицированного бэкдора PlugX (он же Korplug, основной инструмент Mustang Panda), получившего название DOPLUGS.
Причем ранее в арсенале группы встречались также и такие варианты PlugX, как RedDelta, Thor и Hodur.
Основные цели располагались на Тайване и во Вьетнаме, и в меньшей степени - в Гонконге, Индии, Японии, Малайзии, Монголии и даже Китае.
Профессиональная деятельность злоумышленника предполагает проведение тщательно продуманных целевых фишинговых кампаний.
Цепочка заражения начинается с электронного сообщения в качестве канала для доставки полезных данных первого этапа, на котором получателю демонстрируется документ-приманка, а параллельно распаковывается легально подписанный исполняемый файл, уязвимый для боковой загрузки DLL, которая, в свою очередь, расшифровывает и выполняет PlugX.
В свою очередь, PlugX извлекает Poison Ivy (RAT) или Cobalt Strike Beacon, чтобы установить соединение с подконтрольным АРТ сервером.
В декабре 2023 года Lab52 обнаружила кампанию Mustang Panda, нацеленную на тайваньские дипломатические и правительственные организации с помощью DOPLUGS, но с заметной разницей.
Вредоносная DLL была написана на языке программирования Nim. Этот новый вариант использует собственную реализацию алгоритма RC4 для расшифровки PlugX, в отличие от предыдущих версий, которые использовали библиотеку Windows Cryptsp.dll.
DOPLUGS, впервые задокументированный Secureworks в сентябре 2022 года, представляет собой загрузчик с четырьмя бэкдорными командами, одна из которых предназначена для загрузки основного типа вредоносного ПО PlugX.
Но в новой кампании Trend Micro столкнулась с образцами DOPLUGS, интегрированными с модулем KillSomeOne, плагином, который отвечает за распространение вредоносного ПО, сбор информации и кражу документов через USB-накопители.
Этот вариант оснащен дополнительным компонентом, который запускает законный исполняемый файл для загрузки неопубликованных DLL, а также поддерживает функциональные возможности для выполнения команд и загрузки вредоносного ПО следующего этапа с сервера злоумышленника.
Стоит отметить, что модифицированный вариант PlugX, включающий модуль KillSomeOne, предназначенный для распространения через USB, также попадал в поле зрения Avira еще в январе 2020 года в рамках расследования атак, направленных на Гонконг и Вьетнам.
В общем все это в очередной раз говорит о том, что Earth Preta постоянно оттачивает свой инструментарии, расширяя его функции и возможности, что позволяет АРТ сохранять и усиливать активность, фокусируясь на целях в Европе и Азии.
Trend Micro
Earth Preta Campaign Uses DOPLUGS to Target Asia
In this blog entry, we focus on Earth Preta's campaign that employed a variant of the DOPLUGS malware to target Asian countries.
• Это руководство включает в себя полезные советы для повышения безопасности и конфиденциальности в ОС на базе ядра Linux.
• Choosing the right Linux distribution;
• Kernel hardening;
• Mandatory access control;
• Sandboxing;
• Hardened memory allocator;
• Hardened compilation flags;
• Memory safe languages;
• The root account;
• Firewalls;
• Identifiers;
• File permissions;
• Core dumps;
• Swap;
• PAM;
• Microcode updates;
• IPv6 privacy extensions;
• Partitioning and mount options;
• Entropy;
• Editing files as root;
• Distribution-specific hardening;
• Physical security;
• Best practices.
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
• MITRE CVE — база данных, поисковик и классификатор уязвимостей.
• opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
• Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
• sploitus — поисковик по эксплойтам и необходимым инструментам.
• CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
• GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
• Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
• Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
• osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
• security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
• Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.
*Список ресурсов не претендует на полноту.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Автор этой статьи описывает процесс установки Raspberry Pi Zero в док-станцию для получения полного доступа к устройствам, которые к ней подключаются.
• Дело в том, что Raspberry Pi находится под управлением P4wn P1 A.L.O.A, делая "малину" по-настоящему хакерским устройством, позволяющим установить бэкдор на подключенном ПК, выполнить определенный скрипт, скачать данные и т.д:
#ИБ #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Основные сетевые термины и сетевые модели;
• Протоколы верхнего уровня;
• Протоколы нижних уровней (транспортного, сетевого и канального);
• Сетевые устройства и виды применяемых кабелей;
• Понятие IP адресации, масок подсетей и их расчет;
• Понятие VLAN, Trunk и протоколы VTP и DTP;
• Протокол связующего дерева: STP;
• Протокол агрегирования каналов: Etherchannel;
• Маршрутизация: статическая и динамическая на примере RIP, OSPF и EIGRP.
#Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
CMD.pdf
4.6 MB
• Это самое объемное руководство по командной строке Windows, которое охватывает более 900 страниц и включает в себя все возможные команды, подробное описание и различные нюансы.
#cmd
#cmd
Полное_руководство_по_командам_Linux.pdf
384.2 KB
• А в этом руководстве ты найдешь самые важные команды Unix-подобных ОС. Для твоего удобства, команды сгруппированы по назначению.
#Linux
#Linux
S.E.Book
Photo
Основы GNU:Linux и подготовка к RHCSA.pdf
52 MB
• Перед Вами курс по изучению операционных систем семейства Linux и подготовки к экзамену для сертификации системного администратора по RedHat. Однако, основной целью курса является изучение работы с линуксами.
• Вы можете ознакомиться с курсом в разных форматах:
- Читать материал в онлайне на странице автора;
- Изучать курс из книги, которая доступна выше;
- Смотреть курс в формате видеоуроков на YT.
• Содержание курса доступно на скриншотах к этой публикации.
#RedHat #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Бизоны сообщают о новых атаках активной с 2023 года Mysterious Werewolf на военно-промышленного комплекса РФ с помощью бэкдора RingSpy, написанного на Python.
Злоумышленники продолжают активно полагаться на фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD.
После открытия архива и двойного щелчка по документу эксплоит запускает файл CMD с использованием уязвимости CVE-2023-38831 в WinRAR для доставки в скомпрометированную систему нового оригинального инструмента - RingSpy.
Вредоносное ПО стало заменой агента Athena фреймворка Mythic, который Mysterious Werewolf применяла в предыдущих атаках.
RingSpy позволяет злоумышленнику удаленно выполнять команды, получать результат и скачивать файлы с сетевых ресурсов.
Mysterious Werewolf продолжает использовать легитимные сервисы для взаимодействия со скомпрометированными системами: в качестве командного сервера выступает бот в Telegram.
Индикаторы компрометации и MITRE ATT&CK - в отчете.
Злоумышленники продолжают активно полагаться на фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD.
После открытия архива и двойного щелчка по документу эксплоит запускает файл CMD с использованием уязвимости CVE-2023-38831 в WinRAR для доставки в скомпрометированную систему нового оригинального инструмента - RingSpy.
Вредоносное ПО стало заменой агента Athena фреймворка Mythic, который Mysterious Werewolf применяла в предыдущих атаках.
RingSpy позволяет злоумышленнику удаленно выполнять команды, получать результат и скачивать файлы с сетевых ресурсов.
Mysterious Werewolf продолжает использовать легитимные сервисы для взаимодействия со скомпрометированными системами: в качестве командного сервера выступает бот в Telegram.
Индикаторы компрометации и MITRE ATT&CK - в отчете.
BI.ZONE
Mysterious Werewolf атакует ВПК с помощью нового бэкдора RingSpy
Группировка использует фишинговую рассылку для первоначального доступа, а в ней — архив с исполняемым файлом, который доставляет в систему оригинальный бэкдор RingSpy для получения удаленного доступа
This media is not supported in your browser
VIEW IN TELEGRAM
• Наглядная демонстрация процесса загрузки Linux.
• Стоит отметить, что загрузка ОС, это многоступенчатый процесс. В различных дистрибутивах Linux процесс загрузки может несколько изменяться, но общая схема примерно одинакова и состоит из следующих стадий:
1. В момент запуска процессор передаёт управление по определённому физическому адресу в ПЗУ. В этот момент начинается выполнение кода BIOS/UEFI.
2. BIOS/UEFI определяет подключенные к системе устройства.
3. Выбор устройства (USB, Жесткий диск и т.д.) для загрузки и запуска ОС.
4. Начальный загрузчик считывает в память основной загрузчик (GRUB, LiLo, NTLDR) и передаёт управление ему.
5. После того, как выбранное ядро загружено в память и начинает исполняться, в первую очередь, оно должно извлечь самого себя из сжатой версии файла, перед тем как начать выполнять полезную работу. Как только извлечение произошло, оно загружает
systemd и передает ему контроль.6.
systemd монтирует файловые системы, как определено в /etc/fstab, включая любые swap-файлы и разделы. К этому моменту, он может получить доступ к файлам конфигурации, расположенным в /etc, включая его собственным. Он использует собственный конфигурационный файл /etc/systemd/system/default.target, чтобы определить таргет (target), по которому нужно загрузить хост.7. Запуск определенного набора стартовых скриптов и настройка рабочей среды.
8. Вход в систему. Система готова к работе.
• Более подробное описание процесса загрузки можно найти тут и тут.
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Cyber Media
🔥 Обзор платформ для практического обучения: направления Offensive и Defensive
В современном цифровом мире безопасность стала одной из наиболее приоритетных задач для организаций и частных лиц. Каждый день появляются новые угрозы, требующие постоянного повышения уровня защиты. И лучше всего это делать на практике.
➡️ В новой статье на сайте сделали обзор ключевых платформ, предназначенных для практики в направлениях Offensive Security — Hack The Box, PortSwigger Academy, TryHackMe, Root-Me и Defensive Security — Defbox, Letsdefend, Defendtheweb, Cyberdefenders.
Отдельно благодарим всех экспертов за уделенное время.
В современном цифровом мире безопасность стала одной из наиболее приоритетных задач для организаций и частных лиц. Каждый день появляются новые угрозы, требующие постоянного повышения уровня защиты. И лучше всего это делать на практике.
Отдельно благодарим всех экспертов за уделенное время.
Please open Telegram to view this post
VIEW IN TELEGRAM
• Account Creation in Linux;
• User Account Creation;
• Root/Superuser Account Creation;
• Persistance using SSH Authorized Keys;
• Persistence using Scheduled task;
• Cron Jobs;
• Systemd Timers;
• Shell Configuration Modification;
• Dynamic Linker Hijacking;
• What is LD_PRELOAD;
• Creating malicious Shared object Library for Persistence;
• SUID binary;
- Using SUID for Persistence;
- Example Scenario;
• rc.common/rc.local;
- Using rc.local for Persistence;
- Example: Starting a Service;
• Systemd Services;
- Creating a Custom systemd Service;
- Security Considerations;
- Advantages of Using systemd Services;
• Trap;
- Using trap in Scripts;
• Backdooring user startup file;
• Using System Call;
- system Call Monitoring and Blocking;
- Method 1: Emulate/Implement System Call in User-Space;
- Method 2: Use Alternate System Calls;
- Method 3: Fudging Around Parameters;
• MOTD Backdooring;
• APT Backdooring;
• Git Backdooring;
• Config;
• Backdooring OpenVPN;
• Security Researchers.
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Сегодня день не задался у многих: у Microsoft Office с их 365 (на самом деле помним, как было и 364), затем пользователей Xiaomi накрыла волна «окирпичивания» их мобильных девайсов после обновления Hyper OS, а владельцы 3D-принтеров Anycubic по всему миру получили месседж от хакера.
Послание отправил некий хакер-альтруист, которые обнаружил уязвимость, позволяющую потенциальным злоумышленникам контролировать печать на принтерах через API службы MQTT.
И дабы не тратить время на объяснения и оповещение разработчиков хакер пошел с козырей и продемонстрировал атаку на устройства сам, в результате которой смог загрузить файл с предупреждением о найденной проблеме.
В результате на девайсы был доставлен файл с названием hacked_machine_readme.gcode, содержащий месседж о критической ошибке и дружеский совет пользователям отключить свои принтеры от интернета до тех пор, пока компания не устранит проблему.
Сообщалось, что под угрозой находятся более 290 тыс. принтеров по всему миру, но позже на форуме Reddit хакер уточнил, что фактическое количество затронутых устройств может быть значительно меньше, поскольку одно и то же предупреждение могло быть отправлено на один и тот же принтер несколько раз.
После появления сообщений о взломе временно перестало работать приложение Anycubic, которое выдавало ошибку "сеть недоступна".
Вероятно, это было вызвано с действиями компании по отключению сетевых функций в целях безопасности.
Так уж получилось, что о насущной проблеме хакер уведомил клиентов сам, при этом он все же связался с Anycubic и транслировал о проблеме, что дает надежду на скорое ее решение.
Anycubic, в свою очередь, еще не предоставила никаких официальных комментариев по поводу инцидента.
Послание отправил некий хакер-альтруист, которые обнаружил уязвимость, позволяющую потенциальным злоумышленникам контролировать печать на принтерах через API службы MQTT.
И дабы не тратить время на объяснения и оповещение разработчиков хакер пошел с козырей и продемонстрировал атаку на устройства сам, в результате которой смог загрузить файл с предупреждением о найденной проблеме.
В результате на девайсы был доставлен файл с названием hacked_machine_readme.gcode, содержащий месседж о критической ошибке и дружеский совет пользователям отключить свои принтеры от интернета до тех пор, пока компания не устранит проблему.
Сообщалось, что под угрозой находятся более 290 тыс. принтеров по всему миру, но позже на форуме Reddit хакер уточнил, что фактическое количество затронутых устройств может быть значительно меньше, поскольку одно и то же предупреждение могло быть отправлено на один и тот же принтер несколько раз.
После появления сообщений о взломе временно перестало работать приложение Anycubic, которое выдавало ошибку "сеть недоступна".
Вероятно, это было вызвано с действиями компании по отключению сетевых функций в целях безопасности.
Так уж получилось, что о насущной проблеме хакер уведомил клиентов сам, при этом он все же связался с Anycubic и транслировал о проблеме, что дает надежду на скорое ее решение.
Anycubic, в свою очередь, еще не предоставила никаких официальных комментариев по поводу инцидента.
TechCrunch
Anycubic users say their 3D printers were hacked to warn of a security flaw
Anycubic customers are reporting that their 3D printers have been hacked and now display a message warning of an alleged security flaw in the company's systems.
📦 Zip-файлы: история, объяснение и реализация.
• Формат Zip был создан более 30 лет назад на основе технологий пятидесятых и семидесятых годов. И хотя с тех пор многое изменилось, Zip-файлы, по сути, остались теми же и сегодня более распространены, чем когда-либо. Думаю, будет полезно хорошо разбираться в том, как они работают.
• В статье очень подробно объясняется, как работают Zip-файлы и схема сжатия: LZ77-сжатие, алгоритм Хаффмана, алгоритм Deflate и прочее.
• История;
- PKZip;
- Info-ZIP and zlib;
- WinZip;
• Сжатие Lempel-Ziv (LZ77);
• Код Хаффмана;
- Алгоритм Хаффмана;
- Канонические коды Хаффмана;
- Эффективное декодирование Хаффмана;
• Deflate;
- Битовые потоки;
- Распаковка (Inflation);
- Несжатые Deflate-блоки;
- Deflate-блоки с применением фиксированных кодов Хаффмана;
- Deflate-блоки с применением динамических кодов Хаффмана;
- Сжатие (Deflation);
• Формат Zip-файлов;
- Обзор;
- Структуры данных;
- Конец записи центрального каталога;
- Центральный заголовок файла;
- Локальный заголовок файла;
- Реализация Zip-считывания;
- Реализация Zip-записи;
• HWZip;
- Инструкции по сборки;
• Заключение;
• Упражнения;
• Полезные материалы.
#Разное
• Формат Zip был создан более 30 лет назад на основе технологий пятидесятых и семидесятых годов. И хотя с тех пор многое изменилось, Zip-файлы, по сути, остались теми же и сегодня более распространены, чем когда-либо. Думаю, будет полезно хорошо разбираться в том, как они работают.
• В статье очень подробно объясняется, как работают Zip-файлы и схема сжатия: LZ77-сжатие, алгоритм Хаффмана, алгоритм Deflate и прочее.
• История;
- PKZip;
- Info-ZIP and zlib;
- WinZip;
• Сжатие Lempel-Ziv (LZ77);
• Код Хаффмана;
- Алгоритм Хаффмана;
- Канонические коды Хаффмана;
- Эффективное декодирование Хаффмана;
• Deflate;
- Битовые потоки;
- Распаковка (Inflation);
- Несжатые Deflate-блоки;
- Deflate-блоки с применением фиксированных кодов Хаффмана;
- Deflate-блоки с применением динамических кодов Хаффмана;
- Сжатие (Deflation);
• Формат Zip-файлов;
- Обзор;
- Структуры данных;
- Конец записи центрального каталога;
- Центральный заголовок файла;
- Локальный заголовок файла;
- Реализация Zip-считывания;
- Реализация Zip-записи;
• HWZip;
- Инструкции по сборки;
• Заключение;
• Упражнения;
• Полезные материалы.
#Разное
Forwarded from SecAtor
Как мы и полагали, все инсинуации с инфраструктурой вымогателей - лишь небольшой хук, который вряд ли приведет к нокдауну RaaS, с чем также солидарны исследователи Wired.
Вслед за подбитыми LockBit и уже замеченными Bl00dy и Black Basta к эксплуатации ConnectWise ScreenConnect приступили операторы банды вымогателей ALPHV/BlackCat.
Активность заметили исследователи Huntress в ходе реагирования на инцидент у одного из своих клиентов, экземпляр ScreenConnect которого был скомпрометирован 22 февраля 2024 года менее чем за три минуты для доставки исполняемого файла BlackCat ransomware.
Как и в случае с LockBit разработчики ALPHV не только успешно восстановились после атак спецслужб, но и выкатили новую своего штамма программы-вымогателя.
Новая версия, отслеживаемая как версия 2.0 или обновление Spynx, уже была замечена в недавних атаках в этом месяце. Программа способна шифровать файлы в системах Windows, Linux и VMware.
Некоторые из новых атак AlphV затронули учреждения здравоохранения в США, которые группировка ранее обещала не атаковать.
Но табу, по всей видимости, были сняты после посягательств со стороны силовиков и теперь RaaS станет только вредоноснее.
Будем посмотреть.
Вслед за подбитыми LockBit и уже замеченными Bl00dy и Black Basta к эксплуатации ConnectWise ScreenConnect приступили операторы банды вымогателей ALPHV/BlackCat.
Активность заметили исследователи Huntress в ходе реагирования на инцидент у одного из своих клиентов, экземпляр ScreenConnect которого был скомпрометирован 22 февраля 2024 года менее чем за три минуты для доставки исполняемого файла BlackCat ransomware.
Как и в случае с LockBit разработчики ALPHV не только успешно восстановились после атак спецслужб, но и выкатили новую своего штамма программы-вымогателя.
Новая версия, отслеживаемая как версия 2.0 или обновление Spynx, уже была замечена в недавних атаках в этом месяце. Программа способна шифровать файлы в системах Windows, Linux и VMware.
Некоторые из новых атак AlphV затронули учреждения здравоохранения в США, которые группировка ранее обещала не атаковать.
Но табу, по всей видимости, были сняты после посягательств со стороны силовиков и теперь RaaS станет только вредоноснее.
Будем посмотреть.
WIRED
Ransomware Groups Are Bouncing Back Faster From Law Enforcement Busts
Two months ago, the FBI “disrupted” the BlackCat ransomware group. They're already back—and their latest attack is causing delays at pharmacies across the US.