🔒 Форензик кейс взлома серверов под управлением Linux

Содержание статьи:
1. Предыстория инцидента
2. Поиск артефактов
• Извлекаем данные из оперативной памяти
• Анализ образа жесткого диска
• Поиск артефактов в PCAP-дампе
• Анализ артефактов, собранных с живых систем
• Дополнительные инструменты поиска артефактов
3. Как это было на самом деле
• Враг внутри
• Веб под прицелом
• Майнеры поневоле
• Зомби-апокалипсис

В этой статье мы детально разбираем большой кейс с атакой на целую ферму машин под управлением Linux

🎃 Нас ждет взлом веб-сервера, заражение майнером, эскалация root из виртуального контейнера и создание ячейки ботнета, которая рассылала спам

🗄 Читать статью – линк.

// Не хакинг, а ИБ

😱 Взлом веб-аналитики

Книга покажет вам, как копаться в Интернете и находить информацию, о существовании которой многие даже не подозревают

В книге используется целостный подход, который заключается не только в использовании инструментов для поиска информации в Интернете, но и в том, как связать всю информацию и преобразовать ее в презентабельную и полезную информацию

Автор: Chauhan, Sudhanshu, Panda, Nutan Kumar
Год выхода: 2019

// Не хакинг, а ИБ

🦈 Wireshark | Как находить утечки данных с помощью анализатора сетевых пакетов | CyberYozh

В данном видео будет показано два варианта использования анализатора трафика:
⏺ Для простого люда, чтобы можно было защитить свой bitcoin.txt
⏺ Со стороны хакера, который получает пароль от облака, где этот файл хранится

// Не хакинг, а ИБ

💰 UniShadowTrade: глобальная афера оставила пользователей без сбережений

Group-IB раскрывает схему обмана, которой мошенники успешно пользовались с прошлого года

Глобальная кампания мошенничества с использованием фейковых приложений для торговли, опубликованных в Apple App Store и Google Play, недавно была выявлена исследователями из Group-IB

Мошенничество связано со схемой Pig Butchering, при которой злоумышленники медленно завоёвывают доверие жертв через виртуальное общение – как романтическое, так и под видом инвестиционных консультаций

Затем они убеждают жертв вкладывать средства в криптовалюту или финансовые инструмент, через поддельное приложение для торговли, в следствии чего они теряют свои деньги

🗄 Источник – линк.

// Не хакинг, а ИБ

🍯 Медовый горшок Cowrie

Cowrie – инструмент honeypot для взаимодействия со средой SSH и Telnet, предназначенный для регистрации атак грубой силы, методом перебора и взаимодействия с оболочкой, выполняемых злоумышленником

Telnet (от англ. Teletype Network

) – сетевой протокол для реализации текстового терминального интерфейса по сети

Cowrie также функционирует как прокси-сервер SSH и Telnet для наблюдения за поведением злоумышленника в другой системе

🗄 Репозиторий на GitHub – линк.
🗄 Официальное руководство – линк.
🗄 Статья на Habr: Анализ атак на ханипот Cowrie – линк.
🗄 Сообщество HoneyNetwork – линк.

// Не хакинг, а ИБ

💳 5 полезных советов для эффективной разведки по открытым источникам

Любая информация, даже в закрытом аккаунте, может привести к множеству разнообразных зацепок, если использовать более продвинутые методы и инструменты поиска, в том числе недоступных обычным гражданским лицам

В этой статье мы предоставим реальные советы по работе с закрытыми источниками, в частности, с профилями в социальных сетях и разнообразным платформам

С помощью нижеперечисленных методов можно расширить рамки поиска информации и найти неочевидную информацию

🗄 Читать статью – линк.

// Не хакинг, а ИБ

😒 Подборка каналов для каждого безопасника и хакера

⏺ No system is safe — ИБ-медиа об актуальном.

⏺ Бэкап — канал с исходниками популярных проектов. Здесь вы найдёте инструменты по ИБ, исходные коды нейросетей, ботов, сайтов.

⚠️ CVE-2024-47191: ошибка в OATH Toolkit поставила под удар безопасность миллионов устройств

Благодаря недавно обнаруженной уязвимости в OATH Toolkit, которая получила идентификатор CVE-2024-47191, злоумышленники могут повысить свои привилегии до уровня суперпользователя

Данная уязвимость найдена в модуле «Pluggable Authentication Module» (PAM), используемом для интеграции OTP-аутентификации в системы входа

При настройке параметров операции выполнялись с привилегиями root, но без должных проверок безопасности

Это позволило злоумышленникам создавать символические ссылки на критические системные файлы, такие как «shadow», что вело к возможности их перезаписи и изменению прав собственности

🗄 Источник

// Не хакинг, а ИБ

🛡 10 бесплатных инструментов диагностики SSL/TLS

SSL (secure sockets layer –уровень защищённых cокетов) – это криптографический протокол для безопасной связи

С версии 3.0 SSL заменили на TLS (transport layer security – безопасность транспортного уровня), но название предыдущей версии прижилось, поэтому сегодня под SSL чаще всего подразумевают TLS

Цель протокола – обеспечить защищённую передачу данных

Для аутентификации используются асимметричные алгоритмы шифрования (пара открытый – закрытый ключ), а для сохранения конфиденциальности – симметричные (секретный ключ)

Инструменты с открытым кодом для устранения проблем с SSL/TLS:
⏺DeepViolet
⏺SSL Diagnos
⏺SSLyze
⏺OpenSSL
⏺SSL Labs Scan
⏺SSL Scan
⏺Test SSL
⏺TLS Scan
⏺Cipher Scan
⏺SSL Audit

🗄 Читать статью – линк.

// Не хакинг, а ИБ

❗️ Отображения сетевых поверхностей атаки

OWASP Amass – инструмент, помогающий выполнять сетевое отображение поверхностей атак и выполнять внешнее обнаружение активов с использованием сбора информации с открытым исходным кодом и методов активной разведки

Используемые методы сбора информации:
⏺ DNS: базовое перечисление, грубое принуждение (по запросу)
⏺ Обратная развертка DNS
⏺ Изменение/перестановки имен доменов поддоменов

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

👩‍💻 Web-сервер глазами хакера, 3-е издание

Рассмотрена система безопасности web-серверов и типичные ошибки, совершаемые web-разработчиками при написании сценариев на языках PHP, ASP и Perl

Приведены примеры взлома реальных web-сайтов, имеющих уязвимости, в том числе и популярных

В теории и на практике рассмотрены распространенные хакерские атаки: DoS, Include, SQL-инъекции, межсайтовый скриптинг, обход аутентификации и др.

Представлены:
⏺основные приемы защиты от атак
⏺рекомендации по написанию безопасного программного кода
⏺настройка и способы обхода каптчи

В третьем издании рассмотрены новые примеры реальных ошибок, приведены описания наиболее актуальных хакерских атак и методов защиты от них

Автор: Фленов М. Е.
Год выхода: 2021

// Не хакинг, а ИБ

👺 «In the World of Hackers, Be a Knight»: решаем задачи с CTF-турнира

В 2020 году cybersecurity-энтузиаст Md. Moniruzzaman Prodhan aka NomanProdhan собирает команду Knight Squad. С 2021 года они начинают проводить семинары по информационной безопасности.

В 2022 организовывают первый международный CTF-турнир (Capture the flag, захват флага) — KnightCTF. И вот уже третий год специалисты со всего мира участвуют в масштабном соревновании от этих парней

🗄 Читать статью - линк.

// Не хакинг, а ИБ

🔎 Темная сторона open-source: что скрывается за бесплатным кодом?

Число вредоносных пакетов в экосистеме open-source за последний год значительно возросло, о чем свидетельствует новый отчет компании Sonatype

Open-source

– это программное обеспечение, которое основывается на прозрачном процессе разработки с возможностью для любого желающего вносить свой вклад, является основой большинства современных цифровых технологий

Специалисты отметили, что количество вредоносных компонентов, целенаправленно загруженных в open-source репозитории, увеличилось более чем на 150% по сравнению с предыдущим годом

⚠️ В отчете Sonatype было проанализировано более 7 миллионов проектов, среди которых обнаружено свыше 500 тысяч с вредоносными компонентами

🗄 Источник – линк.

// Не хакинг, а ИБ

😈 Утилита для сокрытия данных

Steghide – это бесплатная утилита для стеганографии, которая позволяет скрывать секретные файлы внутри других файлов

Steghide позволяет легко внедрять скрытую информацию и извлекать ее снова с помощью пароля

Это обеспечивает способ безопасной передачи сообщений или конфиденциальных данных по общедоступным сетям или любой системе, где требуется конфиденциальность

С помощью всего нескольких команд Steghide позволяет даже новичкам легко начать использовать базовые методы стеганографии в Kali Linux

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

❗️ Физические атаки с использованием хакерских устройств

Книга посвящена физическим атакам на беспроводные сети и компьютеры с использованием самодельных хакерских устройств и защите от них

Содержание книги:
⏺Показан способ дампа памяти компьютера при помощи обычной флешки, метод перехвата сетевого трафика посредством зажимов-«крокодилов»
⏺Подробно освещены различные атаки BadUSB, продемонстрирован метод организации несанкционированного доступа к компьютеру при помощи 4G-модема и подключения к локальной сети через хакерское устройство на базе одноплатного компьютера
⏺Описаны атаки на беспроводные сети и уличные IP-камеры с помощью самодельного устройства Wi-Fi Pineapple
⏺Продемонстрирован способ атаки на сеть и устройства с использованием дрона, оборудованного одноплатным компьютером
⏺Описана конструкция защищенного от помех квадрокоптера с управлением по мобильной сотовой сети
⏺Рассказано о том, как превратить обычный мобильный телефон в «трекер» или хакерское устройство, позволяющее управлять гаражными воротами или шлагбаумами

Автор: А. Жуков
Год выхода: 2023

// Не хакинг, а ИБ

😷 Как я получил 50000 + 0 долларов за уязвимость в Zendesk

Zendesk – это веб-сервис с рядом приложений для поддержки клиентов и посетителей, используемый одними из самых богатых компаний мира

Сервис оснащён инструментами для оперативной обработки заявок клиентов, которые поступают в службу поддержки, систематизируются и поступают напрямую оператору для обработки и ответа

Он прост в настройке:

достаточно указать ссылку на электронную почту технической поддержки компании (вида support@company.com), и Zendesk сразу начнёт обрабатывать входящие письма и создавать тикеты

В начале этого года я обнаружил в Zendesk серьёзную уязвимость, позволявшую нападающим читать тикеты системы клиентской техподдержки любой компании, пользующейся Zendesk

Для этого достаточно составить специальное письмо и отправить его на адрес почты техподдержки, обрабатываемой Zendesk

🗄 Читать статью – линк.

// Не хакинг, а ИБ

😂 От нуля до N: хакеры побили рекорд в скорости эксплуатации уязвимостей

Аналитики Google Mandiant предупреждают о новой тенденции: хакеры все чаще обнаруживают и используют уязвимости нулевого дня в программном обеспечении

Специалисты исследовали 138 уязвимостей, выявленных в 2023 году, которые активно использовались в реальных атаках

💻 Большинство из них (97) были эксплуатированы как zero-day, то есть до выпуска исправлений. Оставшиеся 41 ошибка использовались после выхода исправлений и классифицируются как n-day

Эксперты отметили, что в 2023 году разрыв между использованием zero-day и n-day заметно увеличился, что подчеркивает растущую популярность 0Day-атак

🗄 Источник – линк.

// Не хакинг, а ИБ