Обзор основных угроз для телемедицины в 2021 году и прогнозы на 2022 год о безопасности в этой сфере.
https://securelist.ru/connected-healthcare-predictions-for-2022/103985/
https://securelist.ru/connected-healthcare-predictions-for-2022/103985/
Powercat для пентестера. Руководство.
https://www.hackingarticles.in/powercat-for-pentester/
#Powercat #Пентест
https://www.hackingarticles.in/powercat-for-pentester/
#Powercat #Пентест
Msfvenom Cheatsheet: Windows Exploitation.
https://www.hackingarticles.in/msfvenom-cheatsheet-windows-exploitation/
#Metasploit #Cheatsheet #Windows
https://www.hackingarticles.in/msfvenom-cheatsheet-windows-exploitation/
#Metasploit #Cheatsheet #Windows
Windows auditing mindmap.png
1 MB
Windows auditing mindmap.
• Windows auditing mindmap provides a simplified view of Windows Event logs and auditing capacities that enables defenders to enhance visibility for different purposes:
https://github.com/mdecrevoisier/Windows-auditing-mindmap
#mindmap #Windows
• Windows auditing mindmap provides a simplified view of Windows Event logs and auditing capacities that enables defenders to enhance visibility for different purposes:
• Log collection (eg: into a SIEM).• Threat hunting.• Forensic / DFIR.• Troubleshooting.https://github.com/mdecrevoisier/Windows-auditing-mindmap
#mindmap #Windows
Киберугрозы для Автоматизированных Систем Управления и промышленных предприятий в 2022 году какими мы их видим в ноябре 2021 года.
https://ics-cert.kaspersky.ru/media/Kaspersky-ICS-CERT-threats-to-ics-and-industrial-enterprises-in-2022-Ru.pdf
https://ics-cert.kaspersky.ru/media/Kaspersky-ICS-CERT-threats-to-ics-and-industrial-enterprises-in-2022-Ru.pdf
Forwarded from SecAtor
Еще вчера мы писали о 0-day уязвимости локального повышения привилегий в установщике Microsoft Windows (CVE-2021-41379), обнаруженную как обход исправлений последнего Patch Tuesday, который и должен был исправить ту самую дыру.
А сегодня опубликованную исследователем Абдельхамидом Насери рабочую версию эксплойта хакеры уже сконвертировали в вредоносное ПО, образцы которого обнаружили специалисты Cisco Talos Security Intelligence & Research Group.
Характер проводимых злоумышленниками работ при этом указывает на то, что ведется проверка кода, настройка и тестирование экспериментального эксплойта для будущих полномасштабных кампаний.
Как мы уже отмечали, ситуацию еще более накаляет то, что патчей или обхода для новой уязвимости нет. Поэтому, в самое ближайшее время мы станем свидетелями этих самых атак.
А сегодня опубликованную исследователем Абдельхамидом Насери рабочую версию эксплойта хакеры уже сконвертировали в вредоносное ПО, образцы которого обнаружили специалисты Cisco Talos Security Intelligence & Research Group.
Характер проводимых злоумышленниками работ при этом указывает на то, что ведется проверка кода, настройка и тестирование экспериментального эксплойта для будущих полномасштабных кампаний.
Как мы уже отмечали, ситуацию еще более накаляет то, что патчей или обхода для новой уязвимости нет. Поэтому, в самое ближайшее время мы станем свидетелями этих самых атак.
Cisco Talos Blog
Attackers exploiting zero-day vulnerability in Windows Installer — Here’s what you need to know and Talos’ coverage
Cisco Talos is releasing new SNORTⓇ rules to protect against the exploitation of a zero-day elevation of privilege vulnerability in Microsoft Windows Installer. This vulnerability allows an attacker with a limited user account to elevate their privileges…
Forwarded from Cyber Detective
World OSINT tools map
428 links to resources (entity, courts, records and documents search, yellow/white pages etc)
120 countries
24 cities and towns
68 regions
Today something new for Brazil, China, Island and other places https://cipher387.github.io/osintmap/
#osint #socmint #geoint
428 links to resources (entity, courts, records and documents search, yellow/white pages etc)
120 countries
24 cities and towns
68 regions
Today something new for Brazil, China, Island and other places https://cipher387.github.io/osintmap/
#osint #socmint #geoint
Port Forwarding & Tunnelling Cheatsheet.
https://www.hackingarticles.in/port-forwarding-tunnelling-cheatsheet/
#CheatSheet
https://www.hackingarticles.in/port-forwarding-tunnelling-cheatsheet/
#CheatSheet
Forwarded from быдло.jazz
Тут у меня недавно зашел разговор на тему блокировщиков экрана.
Например приложение Data Wipe Screen Locker
https://m.apkpure.com/data-wipe-screen-locker/com.safetyjabber.datawipe/download?from=details, позволяющее создать дополнительный экран блокировки. То есть, после ввода пароля разблокировки, вам, ну или тому кто хочет пощупать ваши файлы, нужно ввести еще один пароль - на дополнительном экране в открывшемся окне Datawipe. А если ввести на этом экране специальный заданный пароль, удалятся все/выбранные данные на устройстве.
Безопасности много не бывает, круто и все такое. Но... я знаю минимум парочку простейших способов как обойти сторонние блокировщики, и считать такую защиту надежной нельзя. Кроме того, если ваше устройство попало в липкие ручонки "плохих дядей", надеяться что вы успеете ввести какой-то там нужный пароль, нажмете всякие "тревожные кнопки" и тд. - поздно пить Боржоми. В то же время, "плохой дядя", если он не полный лох, увидев дополнительное окно для ввода пароля, сразу отдуплит с чем он имеет дело и примет меры. Ну и если дошло до "второго экрана", коню понятно что "первый экран" уже сломали и ключ шифрования в руках у Буратино.
Ниже видос, в котором показываю удаление всех/выбранных данных при вводе определенного символа на экране разблокировки. Показываю на примере пин-кода, но то же самое настраивается и для пароля, состоящего из любого количества символов. Причем абсолютно без разницы, идет ли брут по словарю как в случае с https://github.com/urbanadventurer/Android-PIN-Bruteforce в автоматическом режиме, или кто-то тыкает наугад, в попытке подобрать нужный ключ.
Работает это так: в реальном пине отсутствует цифра "1" (ну или например буква "а", если речь о пароле), и как только в поле ввода эта цифра (буква) появится - сработает удаление данных. Самому пользователю также достаточно ввести всего лишь один этот символ, чтобы запустить удаление данных. Тоже эксклюзив и has no analogues.
Например приложение Data Wipe Screen Locker
https://m.apkpure.com/data-wipe-screen-locker/com.safetyjabber.datawipe/download?from=details, позволяющее создать дополнительный экран блокировки. То есть, после ввода пароля разблокировки, вам, ну или тому кто хочет пощупать ваши файлы, нужно ввести еще один пароль - на дополнительном экране в открывшемся окне Datawipe. А если ввести на этом экране специальный заданный пароль, удалятся все/выбранные данные на устройстве.
Безопасности много не бывает, круто и все такое. Но... я знаю минимум парочку простейших способов как обойти сторонние блокировщики, и считать такую защиту надежной нельзя. Кроме того, если ваше устройство попало в липкие ручонки "плохих дядей", надеяться что вы успеете ввести какой-то там нужный пароль, нажмете всякие "тревожные кнопки" и тд. - поздно пить Боржоми. В то же время, "плохой дядя", если он не полный лох, увидев дополнительное окно для ввода пароля, сразу отдуплит с чем он имеет дело и примет меры. Ну и если дошло до "второго экрана", коню понятно что "первый экран" уже сломали и ключ шифрования в руках у Буратино.
Ниже видос, в котором показываю удаление всех/выбранных данных при вводе определенного символа на экране разблокировки. Показываю на примере пин-кода, но то же самое настраивается и для пароля, состоящего из любого количества символов. Причем абсолютно без разницы, идет ли брут по словарю как в случае с https://github.com/urbanadventurer/Android-PIN-Bruteforce в автоматическом режиме, или кто-то тыкает наугад, в попытке подобрать нужный ключ.
Работает это так: в реальном пине отсутствует цифра "1" (ну или например буква "а", если речь о пароле), и как только в поле ввода эта цифра (буква) появится - сработает удаление данных. Самому пользователю также достаточно ввести всего лишь один этот символ, чтобы запустить удаление данных. Тоже эксклюзив и has no analogues.
Forwarded from SecAtor
Исследователи голландской компании по кибербезопасности Sansec расчехлили троян удаленного доступа (RAT) для Linux CronRAT, который обеспечивает свою скрытность посредством злоупотребления системой планирования задач cron, занимая несуществующие даты (к примеру, 31 февраля).
Вредоносное ПО заточено под атаки Magecart, позволяя злоумышленникам красть данные кредитных карт пользователей Интернет-магазинов и развертывать скиммеры онлайн-платежей на серверах Linux.
Планировщик cron Linux принимает спецификации даты, если они имеют допустимый формат, даже если день не существует в календаре - просто полагая, что запланированная задача не будет выполнена. Этой уловкой и пользуется CronRAT. Троян добавляет в crontab ряд задач с синтаксически верной спецификацией значения даты, но при выполнении они будут генерировать ошибку времени в планировщике. Таким образом, полезная нагрузка скрывается в допустимых именах запланированных задач CRON.
В названиях запланированных задач внедряется сложная программа Bash. Полезные данные запутываются с помощью нескольких уровней сжатия и кодирования Base64. Очищенный код включает команды для самоуничтожения, временной модуляции и настраиваемый протокол, позволяющий взаимодействовать с удаленным сервером.
Исследователи отмечают, что Sansec имеет безфайловое исполнение, управляется двоичным запутанным протоколом. Вредоносная программа связывается с командным и управляющим сервером (47.115.46.167), используя уникальную функцию ядра Linux, которая обеспечивает TCP-связь через файл. Соединение осуществляется по TCP через порт 443 с использованием поддельного баннера для службы Dropbear SSH, что также помогает вредоносному ПО оставаться незамеченным.
После связи с C2 троян отправляет и получает несколько команд и подгружает вредоносную динамическую библиотеку, после чего операторы ВПО могут выполнить любую команду в скомпрометированной системе.
Выявленные особенности делают CronRAT практически незаметным для антивирусных решений: 12 антивирусных ядер на VirusTotal не смогли обработать вредоносный файл, а 58 вообще не обнаружили в нем угрозу.
Хочешь заработать крутись – по такому принципу и действовали создатели CronRAT и, как видно, им это более чем удалось.
Вредоносное ПО заточено под атаки Magecart, позволяя злоумышленникам красть данные кредитных карт пользователей Интернет-магазинов и развертывать скиммеры онлайн-платежей на серверах Linux.
Планировщик cron Linux принимает спецификации даты, если они имеют допустимый формат, даже если день не существует в календаре - просто полагая, что запланированная задача не будет выполнена. Этой уловкой и пользуется CronRAT. Троян добавляет в crontab ряд задач с синтаксически верной спецификацией значения даты, но при выполнении они будут генерировать ошибку времени в планировщике. Таким образом, полезная нагрузка скрывается в допустимых именах запланированных задач CRON.
В названиях запланированных задач внедряется сложная программа Bash. Полезные данные запутываются с помощью нескольких уровней сжатия и кодирования Base64. Очищенный код включает команды для самоуничтожения, временной модуляции и настраиваемый протокол, позволяющий взаимодействовать с удаленным сервером.
Исследователи отмечают, что Sansec имеет безфайловое исполнение, управляется двоичным запутанным протоколом. Вредоносная программа связывается с командным и управляющим сервером (47.115.46.167), используя уникальную функцию ядра Linux, которая обеспечивает TCP-связь через файл. Соединение осуществляется по TCP через порт 443 с использованием поддельного баннера для службы Dropbear SSH, что также помогает вредоносному ПО оставаться незамеченным.
После связи с C2 троян отправляет и получает несколько команд и подгружает вредоносную динамическую библиотеку, после чего операторы ВПО могут выполнить любую команду в скомпрометированной системе.
Выявленные особенности делают CronRAT практически незаметным для антивирусных решений: 12 антивирусных ядер на VirusTotal не смогли обработать вредоносный файл, а 58 вообще не обнаружили в нем угрозу.
Хочешь заработать крутись – по такому принципу и действовали создатели CronRAT и, как видно, им это более чем удалось.
Sansec
CronRAT malware hides behind February 31st
In the run-up to Black Friday, Sansec discovered a sophisticated threat that is packed with never-seen stealth techniques. This malware, dubbed "CronRAT...