🖥 100 команд Linux!

Краткая база для всех, кто работает с Linux.

В этом видео мы разыгрываем 3 крутые книги по Linux:

- Внутреннее устройство Linux. 3-е изд. | Кетов Дмитрий
- Unix и Linux: руководство системного администратора | Хейн Трент Р., Макин Дэн
- Командная строка Linux. Полное руководство. 2-е межд. изд. | Шоттс Уильям

Подписывайтесь на канал, оставляйте осмысленный комментарий под видео и выигрывайте эти крутые книги!

https://www.youtube.com/watch?v=FP8UwvEe3Cs

@linuxkalii

💻 SquidLoader — вредонос, маскирующийся под документы MS Word

Исследователи в области кибербезопасности обнаружили новый вредоносный загрузчик SquidLoader, распространяющийся через фишинговые кампании, нацеленные на китайские организации.

По данным специалистов LevelBlue Labs, впервые зафиксировавших этот вредоносный код в конце апреля 2024 года, SquidLoader использует методы, позволяющие избежать статического и динамического анализа и, в конечном счёте, обнаружения.

Цепочки атак используют фишинговые электронные письма с вложениями, которые маскируются под документы Microsoft Word, но на самом деле являются бинарными файлами, запускающими выполнение вредоносного кода. Этот код используется для загрузки второго этапа вредоносного ПО с удалённого сервера, включая Cobalt Strike.

Исследователь безопасности Фернандо Домингес отмечает, что загрузчики обладают сложными механизмами уклонения и создания ложных целей, что помогает им оставаться незамеченными и затрудняет анализ. Поставляемый шелл-код загружается в тот же процесс, чтобы избежать записи вредоносного ПО на диск и тем самым не попасть под обнаружение.

SquidLoader применяет различные техники уклонения, такие как использование зашифрованных сегментов кода, ненужного кода, который остаётся неиспользованным, обфускация графа управления потоком (CFG), обнаружение отладчиков и выполнение прямых системных вызовов вместо вызовов API Windows NT.

🗄 Подробнее

@linuxkalii

💻 Релиз Wireshark 4.2.6

Вчера вышла стабильная версия свободного программного сетевого анализатора Wireshark 4.2.6 .

В Wireshark 4.2.6 разработчики исправили баги и ошибки (уязвимости), обнаруженные в ходе тестирования, а также внесли изменения и дополнения в код проекта, включая обновления в поддержке протоколов DHCP, E.212, MySQL, NAS-5GS, PKT CCC, ProtoBuf, RADIUS, RLC-LTE, RTP, SIP, SPRT, Thrift и Wi-SUN, а также доработали поддержку пакетов log3gpp.

🗄 Страничка Wireshark

@linuxkalii

🖥 Последние уязвимости в Linux и VMware

Компания Positive Technologies опубликовала список нескольких наиболее опасных уязвимостей, обнаруженных в продуктах Microsoft, VMware, Linux, VPN-шлюзе от Check Point Software Technologies и в программном обеспечении Veeam Backup Enterprise Manager. И вот ниже часть уязвимостей, связанных с Linux

🗄CVE-2024-1086: Ошибка в подсистеме межсетевого экрана netfilter ядра Linux позволяет злоумышленнику повысить привилегии до уровня root. Это может привести к серьезным последствиям для безопасности системы. CVSS-оценка: 7.8. Рекомендовано следовать инструкции на официальной странице kernel.org. VMware также оказался под ударом.

🗄CVE-2024-37080 и CVE-2024-37079: Уязвимости в VMware vCenter, связанные с удаленным выполнением кода. Эксплуатация уязвимостей позволяет неаутентифицированному злоумышленнику выполнить произвольный код на сервере VMware vCenter и получить полный контроль над системой с целью дальнейшего развития атаки. Эти недостатки безопасности вызваны ошибкой работы с памятью в реализации протокола системы удаленного вызова процедур DCE (RPC). CVSS-оценка: 9.8. Рекомендуется скачать обновление на официальной странице VMware.

@linuxkalii

💻 Уязвимость в HackerOne

Анонимный хакер с киберпреступного форума недавно заявил о наличии уязвимости, позволяющей обходить двухфакторную аутентификацию (2FA) на платформе HackerOne, известной своими программами поощрения за обнаружение уязвимостей. Сообщение об этом появилось в официальном X-аккаунте компании ThreatMon, специализирующейся на ИБ-информировании.

Судя по заявлению злоумышленника, он обладает действующим PoC-эксплойтом, который можно применить для обхода двухфакторной аутентификации HackerOne, что существенно упрощает потенциальную компрометацию аккаунтов компаний или самих белых хакеров.

Платформа известна своими надёжными мерами безопасности, поэтому заявление о наличии уязвимости является особенно тревожным. Эксперты предполагают, что подтверждение этой бреши может иметь серьёзные последствия для пользователей платформы и сообщества киберспециалистов в целом.

Пока что представители HackerOne не выпустили официального подтверждения или опровержения по поводу наличия уязвимости в 2FA, что окутывает ситуацию дополнительной пеленой интриги.

ИБ-сообщество отреагировало на эту новость сочетанием скептицизма и беспокойства. Одни ждут официального заявления и подробностей от HackerOne, в то время как другие уже обсуждают потенциальные последствия такой уязвимости.

@linuxkalii

💻 SnailLoad — новый метод атаки по сторонним каналам

Группа исследователей из Грацского технического университета разработала метод атаки по сторонним каналам SnailLoad, позволяющий определять обращение пользователя к тем или иным сайтам или выявлять просмотр определённых видеороликов на YouTube.

SnailLoad не требует совершения MITM-атаки, атакующему не нужно перехватывать транзитный трафик пользователя. Для осуществления атаки достаточно, чтобы жертва открыла в своём браузере подконтрольную атакующему страницу, которая инициирует загрузку с сервера атакующего больших файлов или изображений. Выполнения JavaScript-кода не требуется, достаточно организовать непрерывный поток трафика между жертвой и сервером атакующего.

Aнализ производится на стороне сервера атакующего и базируется на изменении задержек доставки пакетов в зависимости от параллельно выполняемых на системе пользователя запросов к другим сайтам. Метод отталкивается от того, что из‑за неравномерности пропускной способности каналов связи между пользователем и провайдером и между шлюзом провайдера и сайтом, разные сетевые соединения влияют друг на друга. Так как узким местом является канал подключения клиента к провайдеру («последняя миля»), характер отправки пакетов на сервер атакующего меняется в зависимости от другой сетевой активности жертвы.

Точность определения сайта в SnailLoad зависит от типа подключения пользователя к провайдеру и составляет 62.8%.

🗄 Код серверной части, используемой для проведения атаки, опубликован на GitHub под лицензией MIT.

@linuxkalii

⚡️ Fragtunnel - это инструмент для проверки концепции (PoC) TCP-туннелирования, который вы можете использовать для туннелирования трафика вашего приложения и обхода брандмауэров следующего поколения на пути к цели.

TCP туннели создают для того, чтобы безопасно передавать данные и не бояться, что их перехватят на пути к адресату. Информация начнет проходить через указанный сервер (локальную сеть) и попадать к адресату напрямую.

▪Github

@linuxkalii

🖥 Релиз ядра Linux 6.10

14 июля 2024 года Линус Торвальдс представил первый стабильный релиз ядра Linux 6.10. Выпуск новой версии ядра Linux вышел в соответствии с графиком, спустя два месяца после выхода предыдущей стабильной версии Linux 6.9 в середине мая 2024 года.

Исходный код Linux 6.10 доступен для загрузки на портале kernel.org. Коммит релиза ядра Linux 6.9 на GitHub и на Makefile (и на Git) от Линуса Торвальдса.

Новая версия ядра Linux содержит большое количество изменений, обновлений и доработок, а также исправлений по ранее обнаруженным багам (Linux 6.10 changelog).

В проект принято 14 564 исправлений от 1 989 разработчиков, размер патча составляет 41 МБ (изменения затронули 12 509 файлов, добавлено 547 663 строк кода, удалено 312 464 строк). Около 41% всех представленных в Linux 6.10 изменений связаны с драйверами устройств, примерно 15% изменений имеют отношение к обновлению кода, специфичного для аппаратных архитектур, 13% относятся к сетевому стеку, 5% - к файловым системам и 4% касаются внутренних подсистемам ядра.

В Linux 6.10 появился драйвер Panthor DRM для новой графики Arm Mali, дополнительные возможности подготовки графики Intel Xe2, улучшенная поддержка AMD ROCm/AMDKFD для «маленьких» APU Ryzen, поддержка дисплея графического процессора AMD на оборудовании RISC-V благодаря FPU режима ядра RISC-V, дополнения для AMD Zen 5, улучшенная производительность IO_uring в режиме zero-copy performance, более быстрое шифрование дисков/файлов AES-XTS на современных процессорах Intel и AMD, поддержка Steam Deck IMU, появилась начальная инфраструктура для DRM Panic, шифрование и защита целостности шины TPM, поддержку языка Rust для архитектуры RISC-V, первоначальная поддержка настройки фильтров PFCP (Packet Forwarding Control Protocol), а также многие другие изменения и обновления.

Подробнее

@linuxkalii

💻 Количество DDoS-атак в 2024 году выросло

Краткие итоги первых 6 месяцев 2024 года: количество DDoS-атак выросло, их мощность выросла, распределенность источников увеличилась.

🗄За второй квартал 2024 года атак было на 43% больше, чем в первом.
При этом второй квартал 2024 года превосходит аналогичный период 2023 года уже на 63%.

🗄Повседневный вредоносный трафик теперь нередко превышает то, что в прошлые годы было пиком. 350 млн пакетов в секунду (рекорд всего интернета в 2021 году) — сегодня уже рядовой эпизод.

🗄Большинство атак идет с зараженных IoT-устройств, распределенность также постоянно растет.

🗄Абсолютное большинство DDoS-атак идет на уровне веб-приложений (L7 по системе OSI) — в 3-4 раза больше, чем на сетевом и транспортном (L3-L4).

🗄В тренде атаки на группы доменов (региональные или служебные поддомены), а также их новая версия — атаки на несуществующие домены.

Подробнее насчёт последней техники. Атакующий указывает в качестве точки назначения protected ip (защищаемый IP-адрес), а в качестве host (это обязательный заголовок в HTTP-запросе) — любое доменное имя, что усложняет процесс защиты

🗄 Подробнее

@linuxkalii

💻 Роутеры MikroTik атакуют глобальную сеть

OVHcloud, один из ведущих европейских провайдеров облачных услуг, недавно столкнулся с беспрецедентной по своим масштабам DDoS-атакой. Эта атака, достигшая ошеломляющей мощности в 840 миллионов пакетов в секунду (Mpps), стала рекордной в 2024 году и ярко иллюстрирует растущую угрозу DDoS-угроз.

С начала 2023 года специалисты OVHcloud отмечают тревожную тенденцию: масштабы и частота DDoS-атак неуклонно растут. К текущему моменту ситуация обострилась настолько, что атаки мощностью свыше 1 Тбит/с стали практически повседневным явлением.

За последние полтора года OVHcloud регулярно фиксировал впечатляющие показатели как по битрейту, так и по количеству пакетов в секунду. Пик этой активности пришёлся на 25 мая 2024 года, когда был зарегистрирован рекордный битрейт в 2,5 Тбит/с.

Особую озабоченность у специалистов OVHcloud вызвал тот факт, что многие атаки с высоким количеством пакетов в секунду, включая рекордную, исходили от скомпрометированных устройств MikroTik Cloud Core Router (CCR).

В ходе исследования OVHcloud обнаружила почти 100 000 устройств MikroTik, доступных через Интернет и потенциально уязвимых для атак. Эксперты компании предупреждают: даже если всего 1% этих устройств будет скомпрометирован, это может привести к созданию настолько мощного ботнета, что он будет способен генерировать до 2,28 миллиарда пакетов в секунду.

🗄 Подробнее

@linuxkalii

💻 Исследователи выявили уязвимость Blast-RADIUS в протоколе RADIUS, позволяющую подделать ответ при аутентификации

Исследователи по ИБ из Бостонского университета, Cloudflare, BastionZero, Microsoft, Centrum Wiskunde&Informatica и Калифорнийского университета в Сан-Диего обнаружили уязвимость CVE-2024-3596 в популярном протоколе RADIUS, которая позволяет опытному злоумышленнику реализовать эксплойты для аутентификации любого пользователя в локальной сети, обходя защитные средства MFA в рамках атаки. Эта техника атаки получила название Blast-RADIUS.

Эксперты из InkBridge Networks предоставили полное техническое описание атаки Blast-RADIUS и предупредили о серьёзных рисках для корпоративных сетей, включая внутренние сети предприятий, сети интернет-провайдеров (ISP) и телекоммуникационных компаний.

Согласно пояснению профильных специалистов, в протоколе RADIUS некоторые пакеты Access-Request не аутентифицированы и не имеют проверки целостности, что позволяет провести атаку Blast-RADIUS с помощью уязвимости CVE-2024-3596.

Фактически злоумышленник может выполнить атаку Blast-RADIUS с выбранным префиксом, которая позволяет изменить Access-Request, чтобы заменить допустимый ответ в протоколе RADIUS на тот, который не является легитимным. Несмотря на то, что ответ аутентифицирован и проверен целостность, уязвимость выбранного префикса позволяет злоумышленнику изменить пакет ответа практически по своему желанию.

@linuxkalii