Код в мешке
249 subscribers
9.08K photos
1.6K videos
2.11K files
42.7K links
Код в мешке - про кодинг, и не только...
Это личная записная книжка

https://t.me/joinchat/AAAAAEIy6oGlr8oxqTMS5w
Download Telegram
💎 Не пропустите! Самые интересные материалы марта

🔖ИИ в реальном секторе экономики — никаких ChatGPT попугаев, только серьёзные применения в новом выпуске ОБИБЭ

🔖Топ уязвимостей в веб-приложениях по результатам реальных ИБ-аудитов

🔖Новые способы туннелирования, теперь Qemu

🔖Исследование причин и практик внедрения SD-WAN (cпойлер, ИБ — в топе)

🔖Разбор методов повышения привилегий в Windows через символические ссылки и подмену C:\

🔖Рекомендации по защите облачных инфраструктур от CISA & АНБ

🔖Что такое SIM swap, чем грозит и как бороться

🔖Интерактивное видео — симуляция ransomware-инцидента

Приятного чтения и просмотра!
#дайджест @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
🚨 Бэкдор в популярных Linux-дистрибутивах

Все выходные развивалась детективная история из мира open source. В библиотеке и утилитах для компрессии XZ был обнаружен бэкдор (CVE-2024-3094), который при определённых условиях предоставляет возможность выполнить произвольный код в системе, не оставляя следов в логах sshd.

Троянизированные версии 5.6.0 и 5.6.1 успели попасть в следующие популярные сборки Linux, выпущенные в марте:
🔴 Alpine (5.6.0 — 5.6.1-r1 )
🔴 Debian (тестовые версии) 5.5.1alpha-0.1 — 5.6.1-1.
🔴 Fedora Rawhide (тестовые версии)
🔴 Kali Linux
🔴 openSUSE Tumbleweed и MicroOS

Дрянь не была включена в стабильные дистрибутивы: Debian Stable, RHEL, Suse Linux Enterprise.
Arch Linux пишут, что хотя в образах были уязвимые пакеты, из-за специфики линковки openssh и liblzma в Arch бэкдор не может работать. Примерно то же самое сказано про Fedora 40 — вредоносные пакеты были, но троян не работает.

Для сомневающихся уже написано Yara-правило.
Тем, кто успел установить затрояненную версию, рекомендовано откатиться на более старые сборки и провести полноценное реагирование на инцидент.

Детективность истории состоит в том, что операция по внедрению длилась два года и включала в себя социальную инженерию, вытеснение предыдущего мейнтейнера и фейковые аккаунты разработчиков для продавливания нужных решений как в самой библиотеке XZ, так и в дистрибутивах, куда она входит.

Надежды на то, что разработчики ПО, использующего компоненты open source, значительно ужесточат «фейс-контроль» этих компонентов, у редакции, честно говоря, нет. Поэтому будем надеяться, что ИБ в крупных организациях повсеместно наладит комплексный мониторинг и детектирования аномалий в масштабе всей ИТ-инфраструктуры. 😏

#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
➡️ Интересные разборы APT и важные новости ИБ за неделю:

👽 Конец марта однозначно прошёл под знаком open source.
Про бэкдор в XZ, пробравшийся в множество крупных Linux-дистрибутивов, мы уже писали.

Немного раньше вышло исследование про другую сложную спецоперацию, приведшую к компрометации многих Python-разработчиков и целого сообщества авторов Discord-ботов, top.gg. Для этого был создан вредоносный клон библиотеки colorama. Жертв заражали инфостилером.

В четверг отключал регистрацию новых пользователей и создание проектов репозиторий PyPi, потому что их захлестнула волна вредоносных регистраций. Атакующие использовали тайпсквоттинг и прилагали значительные усилия к обфускации кода и вредоносной инфраструктуры. Финальная нагрузка — тоже инфостилер.

👾 Возвращаясь к более привычной деятельности APT, отметим появление Linux-версии многоплатформенного бэкдора DinodasRAT/Xdealer, v10 в нумерации разработчиков ВПО. Имплант оптимизирован для работы в RedHat и Ubuntu. Жертвы замечены в Центральной и Юго-Восточной Азии, а также Турции. Функции ВПО в целом аналогичны ранее известной Windows-версии, которая применялась для атак на госструктуры.

🥸 Google TAG совместно с Mandiant выпустили обзор зиродеев, которые эксплуатировались в дикой природе в 2023 году. Из 97 уязвимостей, 24 были использованы производителями коммерческого шпионского ПО. 11 из этих 24 относится к Safari и iOS, а остальные 13 — к разным продуктам Google.

🍄 Пограничные устройства Cisco, Fortinet, Palo Alto и Sonicwall уже две недели подвергаются масштабным брутфорс-атакам. Автор исследования утверждает, что атаки ведёт ботнет Brutus, использующий не менее 20 тысяч адресов по всему миру и возможно опережающий по своим масштабам печально знаменитый Mirai. Среди адресов встречаются как домашние, так и корпоративные диапазоны адресов.

Кстати, о домашних IP — 28 приложений в Google Play превращали Android-смартфоны в прокси-серверы без ведома владельцев. Большинство из них позиционировались как бесплатный VPN.

😐 Детальный анализ свежей версии фишкита Tycoon 2FA, особо популярного у криминала благодаря отточенным механикам обхода 2FA в Gmail и Microsoft 365.

🤖 Взлом ИИ пришёл, откуда ждали — незакрытая уязвимость в инструменте распределённых вычислений Anyscale Ray, активно применяемом при тренировке больших моделей, эксплуатируется злоумышленниками. Пять уязвимостей в Ray были раскрыты в ноябре, но одну из разработчики них не стали устранять, потому что не баг, а фича. Они в инструкции написали, что кластеры должны быть полностью изолированы от Интернета, но почему-то на практике так не случилось 🤪

Новая серия атак на российские организации по уже знакомому рецепту: фишинг + RAR-архив + пароль + CVE-2023-38831. Жертвам устанавливают ВПО PhantomRAT.

🎁 Анализ кампании по распространению IDAT Loader, в конечном счёте в скомпрометированной сети разворачивают Brute Ratel или троянец SecTop.

#дайджест #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
😮 Неожиданное сообщение от босса? Возможно, скам

Сегодня в рубрике #Азбука_ИБ рассмотрим тему, которую нужно срочно включать в корпоративную программу security awareness. Хотя в рамках этой схемы жертв часто не взламывают и организация как таковая даже не страдает, начало атаки непосредственно связано с работой и организационной структурой.

Речь про печально известные «письма от босса», в которых псевдоначальник сначала слегка пугает подчинённого, а потом просит ни в коем случае не пропустить звонок от человека из Центробанка/полиции/ФСБ, который должен спасти организацию и её конкретных сотрудников от больших проблем.

В посте — особенности схемы и рекомендации, как избежать мошенников.

#советы #Азбука_ИБ @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👀 Касается ли российских версий Linux бэкдор в XZ Utils?

Комментарий Игоря Кузнецова, руководителя Kaspersky GReAT:

💬 Поскольку отечественных дистрибутивов Linux очень много, трудно сказать про каждый однозначно. Обязательно проверьте, не установлены ли у вас вредоносные версии XZ Utils 5.6.0 или 5.6.1. Если версия более старая, то пользователи в безопасности. Пользователям уязвимых версий нужно обновиться.

Пока реальных кейсов эксплуатации CVE-2024-3094 мы не зафиксировали. Повезло, что атаку довольно быстро обнаружили. Вредоносные версии попали только в супер-нестабильные тестовые и rolling-дистрибутивы, которые сразу забирают свежие обновления пакетов. До самых популярных стабильных дистрибутивов Linux троянизированные версии в целом не успели добраться.

Если бы с обнаружением «закладки» опоздали, то потенциально эта история могла бы стать самой массовой атакой на экосистему Linux за всю историю её существования.

@П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
📊 Генеративный ИИ, риски цепочки поставок и другие прогнозы кибербезопасности на 2024 год

Gartner объявил свои прогнозы по кибербезопасности на 2024 год и немного заглянул ещё на 4 года вперёд.

Много внимания в прогнозах уделено ИИ, от которого ожидается много хлопот в сфере ИБ, но потом наступит светлое будущее он поможет решить некоторые хронические проблемы.

📊 В этом и следующем году генеративный ИИ потребует ощутимо больше — на 15% — ресурсов кибербезопасности: увеличатся расходы на безопасность приложений и данных. Потребуется и покрытие совершенно новых векторов атак, таких как инъекция промптов. Но затем GenAI якобы уменьшит дефицит навыков в области ИБ. К 2028 году сотрудники на стартовых должностях в ИБ в половине случаев обойдутся без специализированного образования.

😎 Кроме того, Gartner ожидает, что количество инцидентов, связанных с ошибками сотрудников, сократится на 40%. Поможет адаптированное к особенностям каждого человека обучение кибербезопасности, основанное на ИИ-персонализации.

📊 Возвращаясь с ИИ-небес на Землю, Гартнер констатирует всё более широкое внедрение метрик ИБ, основанных на результатах (Outcome-driven metrics). Они помогают CISO защитить бюджет и всю стратегию инвестиций в кибербезопасность на совете директоров, а также дают «нетехническим» членам совета директоров понять связь инвестиций с результатами, которые и понятны и ценны для них. Состав из их 16 метрик конечно дискуссионный, но ценность метрик вроде «время изоляции инцидента» и «время разрешения инцидента» несомненна.

🔩 По вопросу цепочки поставок и её безопасности Gartner пессимистичен: заранее оценить всех поставщиков слишком дорого и недостаточно эффективно. CISO рекомендуется сосредоточиться киберустойчивости, установить взаимовыгодные отношения с ключевыми поставщиками компании, чтобы обеспечить постоянную защиту их ценных активов. Вишенка на торте: начните создавать специфичные для конкретных поставщиков плейбуки по инцидентам, которые включают, среди прочего, чёткую стратегию их отключения.

#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
🎢 Триллер из Вегаса

Интересное чтение на выходные от WSJ: захватывающая история взлома знаменитых казино бандой молодых рансомварщиков.

Очень хочется, конечно, сопоставить расходы и потери бизнеса на разные планы реагирования, которые были у пострадавших казино, но для такого анализа недостаточно данных.

Ещё один важный момент, который должны учитывать CISO крупных организаций — злоумышленники всё чаще применяют гибридные схемы, в которых чисто технические приёмы вроде фишинга сочетаются с уловками из арсенала аферистов, например, весьма артистичными звонками.

Вот компоненты, которые порой сочетаются все вместе:
1️⃣ Фальшивые коллеги
2️⃣ Подмена номера телефона или клонирование SIM-карты
3️⃣ BEC и внедрение в переписку

#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
➡️ Интересные разборы APT и важные новости ИБ за неделю:

🐀 Разбор деятельности новой азиатской APT CoralRaider, которая является финансово мотивированной и ворует всё что плохо лежит: учётные данные, финансовую информацию, корпоративные соцмедиа-аккаунты и рекламные кабинеты. География APT довольно широка, а основными инструментами группировки являются переработанный троянец QuasarRAT и инфостилер XClient.

Анализ бэкдора в XZ utils продолжается, новые технические находки, включая троянизацию дополнительных функций в библиотеке перечислены в этом посте.

👩‍💻 Отчёт о новом семействе веб-скиммеров Shoplift, способном заражать сайты как на Magento, так и на Wordpress.

↪️ Подробный технический анализ ВПО UNAPIMON, применяемого группой APT41/Earth Freybug. Оно примечательно тем, что снимает перехваты API-вызовов для своего дочернего процесса (API unhooking), по сути избавляя его от мониторинга многими защитными решениями.

🌚 Новые версии Qbot/Qakbot — уже окончательно понятно, что прошлогодняя облава совсем не снизила энтузиазм разработчиков и их «клиентов».

👀 Эволюционирует и активно распространяется с вредоносным спамом и конкурирующее семейство PikaBot.

Разбор нового ВПО Latrodectus. Это сложный загрузчик с продвинутыми функциями обмана песочниц. Авторы считают, что он написан разработчиками IceID.

🗿 Детальный отчёт об инциденте с Nokoyawa ransomware: пошагово расписаны действия атакующих, начиная с отправки вредоносного вложения OneNote и разворачивания IceID, через неспешный сбор данных о сети, расширение присутствия при помощи AnyDesk и RDP, и вплоть до (не вполне успешного) шифрования.

✈️ Небольшой разбор процесса оптимизации детектов на примере APT Sidewinder.

#дайжест #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Kaspersky
Улыбнитесь, за вами следят алгоритмы: крупнейшие рекламные компании массово собирают и перепродают личные данные пользователей спецслужбам.

Как за вами шпионят через рекламу и уведомления и как защитить себя от этого — читайте в новой статье.

#KD_советы
Разбор атак с подменой симки (SIM swapping) и их последствий. Учитывая, что на SMS завязано множество сервисов 2FA, включая Госуслуги, атаки такого рода наверняка будут продолжаться и совершенствоваться. Вот недавно появилась разновидность с угоном eSIM, которая уже не требует вступать в преступный сговор с сотрудниками салона сотовой связи.

Немаловажно, что подмена симки может быть частью мошеннической схемы с «сообщением от начальника», поэтому этот риск нужно проработать как минимум с руководителями компании.

Кстати, в конце 2022 года ВС РФ принял решение, что сотовый оператор всё же несёт ответственность за последствия неправомерной выдачи дубликата SIM-карты.

#Азбука_ИБ @П2Т
➡️ Интересные разборы APT и важные новости ИБ за неделю:

😎 Обзор индустрии коммерческого шпионского ПО (stalkerware) за 2023-2024 год. Россия входит в топ стран, где обнаруживались жертвы такой слежки, а самым популярным ВПО стал TrackView.

⤵️ Использование LOTL не ограничивается повышением привилегий, перемещением по сети и шифрованием, для эксфильтрации данных всё чаще применяют легитимные инструменты резервного копирования, например restic.

⚙️ Хороший практический пример использования ATT&CK и STIX для анализа возможной угрозы в применении к инфраструктуре конкретной компании. Чтобы было интереснее, взяли ОТ-угрозу, а именно Pipedream/Incontroller.

🔓 Разбор новой многоэтапной разновидности ВПО STOPCRYPT, которая без лишней помпы в СМИ продолжает использоваться в ransomware-атаках на частных лиц (типичный выкуп 1-2 тыс. дол.).

🏪Тем временем китаеязычных пользователей атакуют троянизированными версиями текстовых редакторов. Распространение — через вредоносную рекламу.

⭐️Азиатские акторы продолжают оттачивать атаки на водопой — посетители тибетского фестиваля в Индии были заражены через сайт этого фестиваля. Атаку приписывают группе Evasive Panda.

♻️ Подробное исследование рынка домашних прокси, столь любимых APT в последнее время.

📧 Разбор шпионских атак RedCurl/RedWolf/EarthKapre, продолжающих эффективно применять фишинговые письма со вложенными файлами ISO и IMG. Цели атак находятся в России и многих странах Европы.

❗️ Новая версия Bunnyloader 3.0 — теперь с возможностью заражения без создания файла на диске, а также солидным набором функций стилера (перехват нажатий клавиатуры, кража паролей и буфера обмена).

🔓 Два обзора ВПО RA World (1, 2), ранее называвшегося RA Group. Одноименная группировка вымогателей преимущественно атакует организации в сфере финансов и здравоохранения.

#дайжест #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Типичный программист
Harpa.m4v
36 MB
Удивительный многостаночный ИИ прямо в браузере

Tproger специально для вас протестировал Harpa — уникальный в своём роде браузерный ассистент для множества задач, убийца Notion AI.

Среди интересных фичей:
— суммаризация видео / статей, «чат с контентом»;
— подробная SEO-оптимизация статьи;
— факт-чекинг;
— создание квизов;
— проверка на плагиат;
— сопоставление резюме с вакансией;
— улучшатор промптов для Midjourney и многое другое.

На скринкасте — чат с докладом создателя Python, советы по SEO для статьи и HR-коуч перед собеседованием на дата-аналитика.

Единственный нюанс — требуется действующий аккаунт openai.com для доступа к GPT, или VPN для Google Bard. Но оно того стоит.

Бесплатное расширение в интернет-магазине Chrome

Станет ли этот ассистент Game Changer? Посмотрим.

#нейросети
Простое общение

Биоинженеры из Лос-Анджелеса изобрели гибкое устройство на базе ИИ, которое может помочь людям с поврежденными голосовыми связками начать говорить.

Это небольшое устройство площадью около 6,5 квадратных сантиметров прикрепляется к шее и преобразует движения мышц гортани в слышимую речь с помощью машинного обучения с точностью почти 95%. То есть оно обучено посредством машинного обучения распознавать, какие движения мышц соответствуют каким словам.

⚙️ Сам патч состоит из двух компонентов: чувствительного – который отвечает за обнаружение сигналов от мышц, и исполнительного – который превращает сигналы в речь. Между компонентами находится слой, который генерирует магнитное поле.

⚙️ Устройство способно обнаруживать механические изменения магнитного поля, а индукционные катушки помогают генерировать электрические сигналы высокой точности.

Эта команда также разработала перчатки, способные переводить язык жестов в речь в режиме реального времени. Супер применение технологий ИИ.

#СверхРазум
[НОВОСТИ]

В Yandex Cloud открылся доступ к тестированию нейросети для создания иллюстраций YandexART

9 апреля, 2024
https://kod.ru/8205
Расшифруй, если сможешь. Изучаем устройство трояна-энкодера и создаем программу дешифровки

Иногда вирусным аналитикам удается бесплатно расшифровать файлы, за восстановление которых трояны‑энкодеры требуют очень много денег. Со стороны это выглядит настоящей магией, но в ее основе лежат исследования и знания о том, как работают вредоносные программы.

Сегодня мы разберемся в принципах действия таких троянов на примере реального энкодера и напишем программу — декодер зашифрованных им файлов.
https://xakep.ru/2024/04/03/pt-trojan/