🚩 Новые задания на платформе Codeby Games!

🔑 Категория Криптография — Загадка

🎢 Категория Разное — Фрилансер

Приятного хакинга!

Согласно исследованию ISACA на Европейской конференции 2024 года, специалисты по кибербезопасности всё чаще остаются в стороне при разработке политик по использованию ИИ.

✏️ Только 35% из опрошенных 1800 специалистов участвуют в создании таких политик, а 45% вовсе не задействованы в разработке, внедрении или управлении ИИ-решениями.

💡 Несмотря на растущее число компаний, разрешающих генеративный ИИ на рабочем месте, кибербезопасность не всегда интегрируется в новые AI-стратегии, о чем заявил Крис Димитриадис, Chief Global Strategy Officer ISACA.

🗣️ "Мы стремимся к инновациям и улучшению клиентского опыта, фокусируясь на этике и комплаенсе, забывая про кибербезопасность, которая жизненно необходима", — подчеркнул Димитриадис.

👀 По словам генерального директора ISACA, Эрика Пруша, управление рисками ИИ теперь лежит не только на CISO или CIO, а на всей команде, так как уязвимости зависят от каждого человека в организации.

Где уже применяется ИИ:
🔸 Автоматизация обнаружения и реагирования на угрозы (28%)
🔸 Безопасность конечных точек (27%)
🔸 Рутинные задачи (24%)
🔸 Обнаружение мошенничества (13%)

#новости

В первой статье нового цикла копнем глубже в архитектуру ядра Windows и обсудим такие интересные сущности, как объекты и дескрипторы. Пройдемся по основным структурам — от EPROCESS, которая "идентифицирует" процесс, до TABLE_ENTRY, которая хранит дескрипторы. И да, это та самая база, на которой строятся античиты и антивирусы.

⚙️ Процессы и Потоки
Создание процесса начинается с вызова Kernel32!CreateProcess(), который через цепочку Ntdll → ядро попадает в Nt/ZwCreateFile(). Здесь создается основная структура процесса _EPROCESS, включающая ядро планировщика _KPROCESS. Каждый поток получает свою структуру _ETHREAD, связанную с _EPROCESS. Процессы идентифицируются по PID, а потоки по TID, что помогает ОС отслеживать и управлять их состоянием.

⚙️ Object, Handle и Identifier
В глазах ядра всё является *объектом* — от файлов до процессов. Каждый объект имеет дескриптор (handle), который предоставляет к нему доступ. Когда, например, открывается файл через CreateFile(), ядро создает объект и возвращает handle, по которому процесс может обращаться к объекту. Управление и подсчет ссылок на объекты происходит через два счетчика: Handle и Pointer, которые отслеживаются диспетчером объектов.

⚙️ Исследование объектов
На физическом уровне объект — это структура данных с заголовком OBJECT_HEADER. У него есть поле SecurityDescriptor, хранящее доступ к объекту (DACL/ACE). Обычно драйверы и API возвращают только тело объекта (смещение 30h), скрывая доступ к заголовку. Но, имея адрес объекта, можно получить и доступ к заголовку, что важно при анализе системной безопасности.

⚙️ Таблица Дескрипторов Процесса
Каждому процессу выделяется своя таблица дескрипторов HANDLE_TABLE. Это ускоряет доступ к дескрипторам и управляется системой автоматически, выделяя виртуальные страницы памяти. Размер одной записи — 16 байт, из которых первые 8 — это указатель на OBJECT_HEADER, а вторые — маска доступа GrantedAccess.

✏️ Продолжение следует: в следующей части обсудим больше интересных деталей системы, так что следите за обновлениями!

➡️ Читать подробнее

Известная группа Lazarus, включая её подразделение BlueNoroff, провела очередную сложную кибератаку, эксплуатируя новую уязвимость нулевого дня в Google Chrome 👀

🔍 Исследователи Kaspersky обнаружили эту кампанию, когда вредоносное ПО Manuscrypt, используемое Lazarus, инфицировало систему в России. В этот раз группа использовала уязвимость в движке V8 Chrome, позволяющую получить полный контроль над заражёнными устройствами.

🗣️ Атака началась с сайта detankzone[.]com, который притворялся платформой DeFi-игры с NFT. Достаточно было посетить сайт через Chrome, чтобы сработала вредоносная программа, перехватывающая управление системой.

Ключевые уязвимости:
🔸 CVE-2024-4947: Переписывание критических структур памяти в компиляторе Maglev Chrome
🔸 Обход песочницы V8: Позволил выполнить произвольный код

#новости

🔔 Вторая часть серии статей о ядре Windows посвящена исследованию подсистемы Win32 и драйвера поддержки win32k.sys, рассматриваются переходы из пользовательского режима в режим ядра через таблицу системных сервисов SSDT.

🗣️ Статья включает практические примеры в отладчике WinDbg, так что знания можно сразу применить на практике. Рекомендуется к прочтению после первой части.

Подсистема Win32 в архитектуре Windows
🔸В Windows виртуальная память делится на область пользователя (User) и ядра (Kernel). На системах x64 используется только часть адресного пространства. Старшие 16 бит установлены в единицу, что позволяет по старшим битам адреса сразу определять, принадлежит ли объект ядру или пользователю.
🔸Win32, основная подсистема Windows, предоставляет базовые библиотеки окружения, такие как Kernel32, User32 и Gdi32, отвечающие за интерфейсы графики (GUI). Отдельное внимание уделено драйверу win32k.sys, который поддерживает работу графического интерфейса в ядре.

Файлы Csrss.exe, Gdi32.dll и Win32k.sys
🔸GDI (Graphics Device Interface) — это компонент для вывода графического контента на устройства. До NT4 он находился в пользовательском режиме, но в целях безопасности его перенесли в режим ядра, добавив win32k.sys. Теперь CSRSS (Client/Server Runtime SubSystem) обрабатывает только консольные задачи, а графика передана win32k.sys.

SSDT — System Service Descriptor Table
🔸SSDT позволяет выполнять системные вызовы в ядре с использованием SYSENTER/SYSCALL инструкций. Для каждой функции ядра есть уникальный "System Service Number" (SSN), который задает ее адрес в SSDT. Это обеспечивает быстрый и эффективный переход между режимами.
🔸Для графических функций существует отдельная "затененная" таблица — SSDT Shadow. Она действует только для GUI-приложений, тогда как консольные приложения используют основную таблицу SSDT#0.

⚙️ В статье приводится демонстрация работы SSDT и SSDT Shadow в отладчике WinDbg. Указатели на обе таблицы можно обнаружить, подключившись к процессу GUI.

➡️ Читать подробнее

Согласно новому отчёту Email Threat Trends Report от Vipre Security Group, мошеннические атаки с использованием деловой переписки (BEC) составляют более половины всех фишинговых попыток, и производственные компании оказались особенно уязвимыми.

Основные данные отчёта
🔸 Из 1,8 миллиарда обработанных за квартал писем, 12% были классифицированы как вредоносные, а на BEC пришлось 58% всех фишинговых атак.
🔸 В 89% случаев атакующие выдавали себя за авторитетных лиц, чтобы вызвать доверие.
🔸 Производственный сектор оказался наиболее подверженным угрозам: 27% всех обработанных писем в этой отрасли оказались вредоносными.

⚙️ Рост атак на производственный сектор
На производственные компании стали чаще нацеливаться из-за возможности перенаправления платежей поставщиков на мошеннические счета. Кроме того, взлом корпоративных почтовых ящиков даёт доступ к другим компаниям и клиентам, позволяя отправлять поддельные запросы на документы для кражи учетных данных.

❓ Почему риск возрастает?
Многие сотрудники в секторе производства используют мобильные устройства для входа на рабочие площадки, что повышает вероятность попадания на фишинговые ссылки в условиях высокой занятости и стремления к соблюдению сроков.

🛡 ИИ в службе BEC-мошенничества
Отчёт отмечает, что 36% фишинговых писем с использованием BEC были созданы генеративным ИИ, что делает их более сложными для выявления. Злоумышленники также часто используют вложения и URL-перенаправления для обхода систем безопасности.

#новости #фишинг

В третьей статье цикла обсудим архитектуру объектов USER и GDI, которые отвечают за графику и интерфейс Windows. Например, объект типа *Window* включает почти все элементы окна — кнопки, поля ввода, списки и чекбоксы, а GDI добавляет обрамление, фигуры, цвет и шрифты.

⚙️Память и пулы Windows

Вся физическая память распределяется через системный диспетчер. Он выделяет большие объёмы через VirtualAlloc() и мелкие через HeapAlloc(), которые на уровне ядра обращаются к NtAllocateVirtualMemory() и RtlAllocateHeap().

Память делится на Paged Pool (может выгружаться на диск) и NonPaged Pool (всегда в ОЗУ). При старте создаётся несколько базовых пула для каждого пользователя в своей сессии, а также для всех системных служб. Это помогает системно управлять памятью и разграничивать процессы.

⚙️USER и GDI: Память и объектная таблица

🔸 USER-объекты (интерфейсные элементы) хранятся в куче рабочего стола.
🔸 GDI-объекты (графические примитивы) получают память из NonPagedSessionPool.

Объекты GDI привязаны к контексту создающего их процесса. Например, передача кисти из одного процесса в другой с высокой вероятностью может привести к сбоям.

Дескрипторы объектов управляются глобальной таблицей в каждой сессии и индексируются в фиксированной таблице с лимитом в 65,536 объектов. Например, GDIProcessHandleQuota в реестре ограничивает доступный для процесса лимит (по умолчанию — 10,000 дескрипторов).

⚙️Объекты USER

USER-объекты индексируются в таблице дескрипторов каждой сессии, которая отображается в пользовательском пространстве каждого GUI-процесса. Указатель на таблицу USER хранится в win32k!gSharedInfo, и её записи отображаются через массив HANDLEENTRY, предоставляя быстрый доступ процессам без необходимости в вызовах ядра.

🗣️ GDI и USER объекты — основа графической подсистемы Windows, которая позволяет управлять интерфейсом и графикой на уровне ядра.

➡️ Читать подробнее

✔️ Вышла новая статья рубрики "Без про-v-ода"!

Сегодня мы тестируем три популярных прошивки для платы ESP8266: ESP8266-EvilTwin, ESP8266-Captive-Portal и PhiSiFi. Если вы уже пробовали deauther, пришло время познакомиться с другими прошивками, каждая из которых предлагает уникальные возможности.

⚙️ PhiSiFi объединяет функционал Evil-Twin и Captive-Portal, создавая поддельные точки доступа для захвата паролей и отключения пользователей от сети. Простой интерфейс и удобный Captive Portal делают её идеальной для тестирования беспроводной безопасности.

📎 EvilTwin и Captive-Portal тоже отлично работают, но уступают по функционалу и удобству. EvilTwin предлагает самописный интерфейс для создания фейковых точек доступа, а Captive-Portal больше подходит для развлечения и демонстрации захвата данных.

✔️ Читать подробнее

29 октября Apple выпустила критическое обновление безопасности для 90 своих сервисов и операционных систем, включая macOS, iOS, iPadOS, watchOS, tvOS и visionOS. Обновления также коснулись Safari и iTunes. Это обновление устраняет множество уязвимостей, которые могли поставить под угрозу конфиденциальность и безопасность пользователей.

Что нового?
🔸 macOS: Исправлены уязвимости, которые позволяли злоумышленникам получить доступ к контактам, конфиденциальным данным геолокации через сервис Find My и утечкам критических данных ядра. Некоторые из них также устраняли возможность атаки отказа в обслуживании (DoS) при открытии вредоносных изображений.
🔸 Safari: Закрыты дыры, позволявшие утечку истории просмотров в режиме Private Browsing.
🔸 iOS и iPadOS: Устранены баги, которые позволяли просматривать личные данные, даже если устройство заблокировано. Среди уязвимостей — проблема с Siri, из-за которой можно было просматривать фотографии контактов.
🔸 visionOS 2.1: Обновление включает исправления более чем 25 уязвимостей, некоторые из которых позволяли выполнение произвольного кода, доступ к конфиденциальной информации и даже полный сбой системы.

🗣️ Apple подчеркивает, что своевременное обновление ПО — это ключ к защите устройств и данных. Исследователи из таких компаний, как Trend Micro, CrowdStrike, Alibaba и JD.com, внесли значительный вклад в обнаружение и устранение этих уязвимостей.

#новости

Aircrack-ng👩‍💻

Aircrack-ng - это инструмент, который используется для безопасности и взлома Wi-Fi сетей. Это всё в одном - сниффер пакетов, взломщик WEP и WPA/WPA2, инструмент анализа и инструмент захвата хэшей. Он помогает захватывать пакеты и считывать из них хэши и даже взламывать эти хэши с помощью различных атак, таких как атаки по словарю.
Может работать в 4 режимах:
Режим монитора - Мониторит передачу пакетов и захватывает их, пока не поймает определённый файл с хэшем.
Режим атаки - Создаёт поддельные точки доступа и выполняет деаунтификацию.
Режим тестировки - Проверка вашей сетевой карты на совместимость и исправность, относительно работы программы.
Режим взлома - взламывет WEP или WPA PSK.

🔸Для вывода листа доступных сетевых интерфейсов, можно просто написать:

airmon-ng

🔸Можно остановить сетевой интерфейс:

airmon-ng stop <INTERFACE>

🔸И запустить на определённом канале:

airmon-ng start <INTERFACE> <CHANNEL>

🔸Давайте попробуем украсть аутентификационное рукопожатие)):

airodump-ng -c <CHANNEL> --bssid <BSSID> -w psk <INTERFACE>

🔸А далее можно подобрать пароль с помощью aircrack-ng:

aircrack-ng -w <PATH_T0_WORDLIST> <HANDSHAKE>

Исследовательская группа Sysdig Threat Research Team (TRT) сообщает о глобальной атаке под кодовым названием Emeraldwhale, нацеленной на уязвимые Git-конфигурации. В результате этой операции злоумышленники похитили более 15,000 учетных данных для облачных сервисов, а также смогли клонировать более 10,000 приватных репозиториев.

⌛ Масштаб утечки
Украденные данные включают широкий спектр сервисов, от облачных провайдеров до почтовых платформ. Похищенные учетные данные активно используются в фишинговых и спам-кампаниях, а также продаются на подпольных рынках, где стоимость аккаунта может достигать сотен долларов.

⚙️ Инструменты и тактика атакующих
В ходе расследования Sysdig обнаружил, что злоумышленники использовали автоматизированные инструменты для поиска открытых Git-конфигураций и файлов .env, содержащих учетные данные. С помощью таких инструментов, как httpx и специализированных сканеров, Emeraldwhale смогли получать доступ к закрытым репозиториям и извлекать ключи для дальнейших атак.

🗣️ Атака Emeraldwhale показала, что одних мер по защите секретов недостаточно — критически важно отслеживать действия всех учетных записей с доступом к конфиденциальной информации. В противном случае утечка данных может стать точкой входа для широкомасштабных атак.

🛡 Как защититься?
🔸 Периодически проверяйте конфигурации веб-сервисов на предмет ошибок.
🔸 Используйте системы мониторинга активности учетных записей.
🔸 Обучите сотрудников основам безопасности для предотвращения ошибок, приводящих к утечкам данных.

#новости

🚩 Новые задания на платформе Codeby Games!

🖼 Категория Стеганография — Тайна пикселей

🏆  Категория Квесты — Симпсоны

Приятного хакинга!

Исследователи кибербезопасности обнаружили новую волну атак, в которых злоумышленники эксплуатируют API DocuSign для отправки поддельных счетов. В отличие от традиционного фишинга, здесь преступники создают подлинные аккаунты и используют шаблоны DocuSign, чтобы выдавать себя за известные бренды и обходить защитные фильтры 💱

👀 Новый уровень фишинга
Вместо поддельных писем с вредоносными ссылками, эти атаки используют реальные сервисы для создания доверия.

🗣️ К примеру, как сообщает Wallarm, киберпреступники открывают платные аккаунты DocuSign и настраивают шаблоны для имитации счетов от компаний, таких как Norton Antivirus.

Злоумышленники отправляют такие счета напрямую через DocuSign, и они проходят проверку как подлинные, так как исходят с легитимного сервиса, не содержащего явных вредоносных ссылок.

✏️ Чтобы снизить риски, специалисты Wallarm рекомендуют:
🔸 Проверять отправителя и внимательно смотреть на подозрительные письма.
🔸 Вводить многоступенчатое подтверждение финансовых операций.
🔸 Обучать сотрудников распознавать поддельные счета.
🔸 Мониторить любые неожиданные транзакции.

Сторонние сервисы также должны применять ограничение на количество запросов к API и отслеживать аномалии в активности API.

🟢 API уязвимости
За последние месяцы пользователи DocuSign массово жалуются на мошеннические счета, указывая на высокую автоматизацию таких атак. Злоумышленники используют API DocuSign, чтобы отправлять поддельные счета в большом объеме. Wallarm предупреждает: удобство API дизайна — это и потенциальная лазейка для злоумышленников.

#новости