💻 Самые важные события в мире инфосека за прошедший месяц

🗄В прошедшем месяце: группировка BlackCat совершила exit scam, Microsoft взломали и похитили исходный код, разработчики Flipper ответили канадским властям, игроков Apex Legends взломали во время турнира, side-channel-атака GhostRace угрожает процессорам Intel, AMD, ARM и IBM, сэр Тим Бернерс‑Ли переживает о будущем веба, а также произошло много всего.
С чем и предлагаю ознакомиться по ссылке ниже

Содержание статьи
├╼ Малварь в китайских ПК Acemagic
├╼ BlackCat скрылась с деньгами
├╼ Вредоносные модели в Hugging Face
├╼ У Microsoft украли исходники
├╼ Мосты Tor имитируют HTTPS-трафик
├╼ Разработчики Flipper Zero vs Канада
├╼ Атака на турнир Apex Legends
├╼ Процессорам угрожает GhostRace
├╼ Хакеры угоняют eSIM
╰╼ Бесконечный Loop DoS

🗄 Читать подробнее

@linuxkalii

💻 Использование сканера Nikto на Kali Linux

🗄Nikto — это сканер веб-приложений с открытым исходным кодом, предустановленный в Kali Linux. Этот инструмент позволяет пентестерам с легкостью автоматизировать процесс поиска уязвимостей безопасности, которые могут существовать в веб-приложении на веб-сервере.

🗄Использование Nikto тривиально — просто напишите в терминале что-то в духе:
nikto -h 172.30.1.49
Использование параметра -h позволяет указать имя хоста или IP-адрес цели. Чтобы узнать больше о различных параметрах сканирования, воспользуйтесь командой:
nikto --help
На скрине показаны результаты сканирования целевой системы.

🖥 GitHub

@linuxkalii

💻 GPT-4 может эксплуатировать уязвимости, изучив связанные бюллетени безопасности

🗄Ученые из Иллинойского университета в Урбане-Шампейне (UIUC) пришли к выводу, что GPT-4 компании OpenAI может успешно эксплуатировать реальные уязвимости, если предварительно «прочтет» бюллетень безопасности об этой CVE, в котором описана проблема.

🗄«Чтобы продемонстрировать это, мы собрали набор данных из 15 1-day уязвимостей, включая те, которые относятся к категории критических, — объясняют эксперты в своей статье. — В случае получения описания CVE GPT-4 способен эксплуатировать 87% этих уязвимостей по сравнению с 0% для всех остальных протестированных нами моделей (GPT-3.5 и LLM с открытым исходным кодом), а также опенсосрных сканеров уязвимостей (ZAP и Metasploit)».

🗄Как эксперты рассказали изданию The Register, фактически GPT-4 способна автономно выполнять шаги для выполнения определенных эксплоитов, которые опенсорсные сканеры уязвимостей пока не могут обнаружить.

🗄Исследователи ожидают, что вскоре агенты LLM, например, созданные путем подключения чат-бота к фреймворку для автоматизации ReAct, реализованному в LangChain, сделают эксплуатацию уязвимостей более простой задачей. Эти агенты смогут переходить по ссылкам с описанием CVE для получения дополнительной информации.

🗄При этом, если лишить агента LLM (GPT-4) доступа к соответствующему описанию CVE, то вероятность успешной эксплуатации бага резко снижается с 87% до 7%. Но авторы научной статьи полагают, что ограничение публичного доступа к информации об уязвимостях вряд ли станет действенным способом защиты от таких LLM-агентов. Дело в том, что принцип безопасность через неясность, по мнению ученых, совсем не работает.

@linuxkalii

🟡Количество мошеннических схем с применением дипфейков выросло на 700%

⏩Согласно отчёту издания The Wall Street Journal, компании, использующие аудио- или визуальную идентификацию пользователей готовятся к стремительному росту числа мошеннических схем с применением технологий генеративного ИИ.

⏩По словам Билла Кэссиди, директора по информационным технологиям New York Life, мошеннические звонки были всегда, но с появлением генеративных нейросетей, способных в точности имитировать чужой голос, проблема выходит на совершенно новый уровень. Совсем недавно OpenAI рассказала о своей нейросети, способной скопировать голос человека буквально по 15-секундной записи. Именно из соображений безопасности компания не спешит выпускать её в массы.

⏩Используя эти технологии, злоумышленники могут проходить голосовую аутентификацию в банковских приложениях для получения доступа к учётным записям пользователей. Например, в ходе эксперимента систему безопасности американского банка Chase Bank удалось обойти с помощью сгенерированного голоса. Правда, в банке заявили, что для проведения транзакций и других финансовых операций клиенты должны предоставлять дополнительную информацию.

@linuxkalii

💻 Практическое руководство по Nmap

🗄Nmap, сокращение от Network Mapper, поддерживается Гордоном Лайоном и используется многими специалистами по безопасности во всем мире.

🗄Утилита работает как в Linux, так и в Windows и управляется из командной строки (CLI). Кстати, для тех, кто боится командной строки, есть замечательный графический интерфейс для nmap под названием zenmap.
Рекомендуется изучить версию nmap с интерфейсом командной строки, поскольку она обеспечивает гораздо большую гибкость по сравнению с графической версией zenmap.

🗄Для чего используется nmap? Отличный вопрос. Nmap позволяет администратору быстро и подробно узнать о системах в сети, отсюда и название Network MAPper или nmap.
Nmap имеет возможность быстро находить действующие хосты, а также службы, связанные с этим хостом. Функциональность Nmap можно расширить еще больше с помощью механизма сценариев Nmap, часто называемого сокращенно NSE.

Подробнее об использовании Nmap в этом практическом туториале:
🗄 Руководство

@linuxkalii

💻 В протоколе HTTP/2 нашли ряд уязвимостей, получивших общее название Continuation Flood

🗄Специалист обнаружил серию уязвимостей в протоколе HTTP/2, получивших общее название Continuation Flood. Эти проблемы могут привести к атакам на отказ в обслуживании (DoS) и способны вывести из строя веб-серверы в некоторых имплементациях при помощи одного TCP-соединения. По словам эксперта, Continuation Flood гораздо опаснее похожей проблемы Rapid Reset, обнаруженной прошлой осенью.

🗄Напомним, что HTTP/2 представляет собой обновленную версию протокола HTTP, стандартизированную в 2015 году и призванную повысить производительность веб-серверов за счет внедрения бинарного фрейминга (binary framing) для более эффективной передачи данных, мультиплексирования для передачи нескольких запросов и ответов через одно соединение, а также сжатия заголовков.

🗄Проблемы Continuation Flood были обнаружены исследователем Баркетом Новотарски (Barket Nowotarski). Он утверждает, что уязвимости связаны с использованием фреймов HTTP/2 CONTINUATION, которые во многих имплементациях протокола не ограничиваются и не проверяются должным образом.

🗄Так, сообщения HTTP/2 содержат секции заголовков и трейлеров, сериализованные в блоки. В ходе передачи такие блоки могут быть фрагментированы в несколько фреймов, а фреймы CONTINUATION используются для объединения потока.

🗄Как объясняет Новотарски, отсутствие должной проверки фреймов позволяет злоумышленникам отправлять чрезвычайно длинные строки фреймов, просто не устанавливая флаг END_HEADERS. В результате это может приводить к сбоям в работе сервера из-за исчерпания ресурсов, которые уйдет на обработку этих фреймов.

🗄 Подробнее

@linuxkalii

💻 Уязвимость браузера позволяет получить доступ к компьютеру через видеокарту

🗄Исследователям из Технического университета Graz удалось провести три атаки на графические карты через WebGPU. Атаки были достаточно быстрыми, чтобы добиться успеха при обычном серфинге.

🗄Сайты предъявляют всё более высокие требования к вычислительной мощности компьютеров. Поэтому браузеры уже несколько лет имеют доступ не только к CPU, но и к вычислительным мощностям графической карты (GPU). Язык сценариев JavaScript может использовать ресурсы GPU через программные интерфейсы WebGL или WebGPU. Однако здесь таятся большие риски. Используя сайт с вредоносным JavaScript, исследователи смогли получить доступ к пользовательскими данными, нажатиям клавиш и ключам шифрования на чужих компьютерах в ходе трёх разных атак через WebGPU.

🗄Исследовательская группа провела атаки на несколько систем, в которых были установлены разные видеокарты NVIDIA и AMD (NVIDIA из серии GTX 1000 и RTX 2000, 3000 и 4000, а карты AMD — из серии RX 6000). Для всех трёх типов атак исследователи использовали доступ к кэш‑памяти компьютера через WebGPU, который предназначен для быстрого и кратковременного доступа к данным со стороны CPU и GPU. Задействовав этот побочный канал, они получили метаинформацию, которая позволила им заявить о потенциальной угрозе безопасности.

🗄Команда смогла отслеживать изменения в кэше, самостоятельно заполняя его с помощью кода на JavaScript через WebGPU и отслеживая, когда их собственные данные удаляются из кэша при вводе. Это позволило относительно быстро и точно проанализировать нажатия клавиш. Более тонко сегментируя кэш, исследователи также смогли использовать вторую атаку для создания собственного секретного канала связи, в котором заполненные и незаполненные сегменты кэша служили нулями и единицами и, таким образом, основой для двоичного кода

🗄Они использовали 1024 таких сегмента кэша и добились скорости передачи данных до 10,9 килобайта в секунду, что достаточно для передачи простой информации

🗄 Подробнее

@linuxkalii

⚡️ Инструмент поиска по базе данных утекших паролей.

Инструмент поиска по 3,2 миллиардам утекших учетных данных по:
- электронной почте
- нику
- паролю

(вы также можете попробовать поиск по номеру мобильного телефона, так как некоторые люди используют его в качестве пароля)

▪ Смотреть
▪Еще 1 база

🔥 Лайк, если хотите больше подобных инструментов.

⚠️ Информация предоставлена только с целью ознакомления. И побуждает обратить внимание на проблемы в безопасности.

@linuxkalii

💻 На GitHub обнаружен вредонос Keyzetsu Clipper, угрожающий криптоактивам пользователей

🗄На платформе GitHub зафиксировано распространение нового вредоносного программного обеспечения (ПО) для Windows под названием Keyzetsu Clipper, нацеленного на пользовательские криптовалютные кошельки. Чтобы обмануть пользователей, злоумышленники создают фальшивые репозитории с названиями популярных проектов, которые выглядят легитимно, обманом заставляя жертв скачивать вредонос, угрожающий безопасности их криптоактивов.

🗄Компания Checkmarx, специализирующаяся на кибербезопасности, подчёркивает, что такие действия не только маскируют угрозы, но и способствуют их распространению через злоупотребление результатами поиска на GitHub. Вредоносные репозитории могут выглядеть легитимно, появляясь в начале результатов поисковой выдачи, и иметь множество фальшивых звёздочек, а также частые модификации, чтобы казаться активными, что помогает им подняться в результатах поиска GitHub.

🗄Вредонос Keyzetsu Clipper атакует до 12 различных адресов криптовалютных кошельков, причём эти атаки происходят ежедневно в заданное время. Эта программа способна украсть широкий спектр криптовалют, включая Bitcoin и Ethereum, за счёт подмены адресов кошельков в момент совершения транзакций жертвой.

🗄Юхуда Гельб (Yahuda Gelb), инженер-исследователь из Checkmarx, сообщает, что данный вредонос не только перенаправляет финансовые средства на контролируемые злоумышленниками адреса, но также передаёт личные данные жертв специальному Telegram-боту. Это усугубляет риски, поскольку кража данных сопровождается их дальнейшим использованием в мошеннических схемах.

@linuxkalii

💻 В GitHub подтвердили распространение вредоносов через URL-адреса репозитория Microsoft

🗄В GitHub подтвердили, что злоумышленники используют лазейку в платформе для распространения вредоносного ПО с помощью URL-адресов, связанных с репозиторием Microsoft. Аналогичный способ может применяться в любом общедоступном репозитории на GitHub.

🗄Ранее в McAfee опубликовали отчёт о новом загрузчике вредоносного ПО LUA, распространяемом через законный репозиторий Microsoft GitHub менеджера библиотек C++ для Windows, Linux и MacOS, известного как vcpkg. Исследователи привели примеры таких URL-адресов установщиков вредоносного ПО, ссылки на которые отсутствуют в исходном коде проекта:

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip,

https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip.

🗄В BleepingComputer обнаружил, что файлы не являются частью vcpkg, а были загружены как часть комментария, оставленного к коммиту или описывающего проблему в проекте.

🗄Оставляя комментарий, пользователь GitHub может прикрепить файл, который будет загружен в CDN GitHub и связан с соответствующим проектом, используя уникальный URL-адрес в следующем формате: https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name}.

🗄Вместо создания URL-адреса после публикации комментария GitHub автоматически генерирует ссылку для скачивания. Это позволяет злоумышленникам прикреплять вредоносное ПО к любому репозиторию без ведома владельцев. Даже если оставить комментарий в черновике или удалить его после публикации, то файлы сохраняются в CDN GitHub, а URL-адреса загрузки продолжают работать вечно. Поскольку URL-адрес файла содержит имя репозитория, в котором он был создан, то он выглядит как заслуживающий доверия.

🗄 Подробнее

@linuxkalii