Типичный Сисадмин
Государственный руткит на экспорт: Как Китай продает технологию тотальной слежки 😶 Тут подъехала, возможно, самая жирная новость года. Утечка более 100 000 внутренних файлов из китайской конторы Geedge Networks вскрыла то, о чем мы догадывались, но боялись…
Разбираем дашборд государственной системы мониторинга некого Китайского города (в образовательных целях)
Скрин из утечки. Перед нами дашборд, который является тепловой картой интернет-активности целого города.
Он отображает детальный анализ того, куда ходят жители и что они делают. В левой части топ-10 самых популярных (и, видимо, нежелательных) доменов. Справа классификация инцидентов, то есть типов активности. А внизу живой лог, который в реальном времени показывает, как конкретный пользователь (номер частично скрыт) из конкретного района заходит на тот или иной сайт👨🦳
По сути, это SIEM-система, но не для серверов, а для людей. Она в реальном времени строит цифровой портрет интернет-привычек целого города. Big Data на страже целого города🤔
В общем, это типа игра SimCity, но для реального города.
Типичный🥸 Сисадмин
Скрин из утечки. Перед нами дашборд, который является тепловой картой интернет-активности целого города.
Он отображает детальный анализ того, куда ходят жители и что они делают. В левой части топ-10 самых популярных (и, видимо, нежелательных) доменов. Справа классификация инцидентов, то есть типов активности. А внизу живой лог, который в реальном времени показывает, как конкретный пользователь (номер частично скрыт) из конкретного района заходит на тот или иной сайт
По сути, это SIEM-система, но не для серверов, а для людей. Она в реальном времени строит цифровой портрет интернет-привычек целого города. Big Data на страже целого города
В общем, это типа игра SimCity, но для реального города.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯62😭9🫡8❤4💊4😡2🔥1😁1🌚1
Microsoft объявила о смене политики гибкой работы. Теперь большинство сотрудников должны будут проводить в офисе три дня в неделю. В официальном письме глава по персоналу объясняет это так:
Данные показывают, что когда люди работают вместе очно, они более энергичны и достигают лучших результатов😬
Официальной причиной названо наступление эры ИИ, в которую, цитата: «великие прорывы случаются, когда умные люди сидят бок о бок и решают сложные проблемы». Похоже, ИИ будет писать код, а люди должны сидеть рядом и создавать энергию и импульс
Внедрять новую политику будут поэтапно, сначала в штаб-квартире, затем в других офисах США, и только потом по всему миру. Microsoft отдельно подчеркивает, что это не для сокращения штата. А те, кто переехавший удалёнщик или просто не захочет тратить по три часа в день на дорогу, могут уволиться сами. Получилась еще одна небольшая эффективная оптимизация.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
❤21🔥13😢8😡8🤷♂7🌭3👎2👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡124😁70😈5❤3🌚1
Forwarded from godnoTECH - Новости IT
Please open Telegram to view this post
VIEW IN TELEGRAM
😁95🌚10🔥6✍5❤5🐳1
Новый fileless-фреймворк от китайских APT для взлома военных систем 🎹
Тут Bitdefender опубликовал разбор fileless-фреймворка EggStreme, который используется китайской APT-группировкой для атаки на филиппинскую военную компанию. Выглядит как хорошо продуманный, многокомпонентный инструментарий для незаметного и долгосрочного шпионажа.
Атака начинается с загрузчика EggStremeFuel (
Для связи с C2-сервером EggStremeAgent использует протокол gRPC (Google Remote Procedure Call) и поддерживает 58 команд. Функционал красивый и классический, тут разведка систем и сетей, эскалация привилегий, выполнение произвольного шеллкода и кража данных. Для закрепления в сети и бокового перемещения атакующие используют прокси-утилиту Stowaway и вспомогательный имплант EggStremeWizard (
Главная особенность EggStreme в его полностью бесфайловой природе. Весь вредоносный код выполняется непосредственно в оперативной памяти, не оставляя на диске никаких следов, что делает его обнаружение стандартными антивирусами крайне сложной задачей. Это, в сочетании с многоэтапной загрузкой и активным использованием DLL side-loading, позволяет ему работать с очень низким профилем шума.
Типичный🥸 Сисадмин
Тут Bitdefender опубликовал разбор fileless-фреймворка EggStreme, который используется китайской APT-группировкой для атаки на филиппинскую военную компанию. Выглядит как хорошо продуманный, многокомпонентный инструментарий для незаметного и долгосрочного шпионажа.
Атака начинается с загрузчика EggStremeFuel (
mscorsvc.dll), который проводит базовую разведку, устанавливает персистентность через EggStremeLoader и затем, через еще один загрузчик, инжектит в память основной пейлоад EggStremeAgent. Этот агент, который в Bitdefender назвали центральной нервной системой фреймворка, он является полнофункциональным бэкдором. Он мониторит новые пользовательские сессии и для каждой инжектит в память кейлоггер EggStremeKeylogger для сбора нажатий клавиш.Для связи с C2-сервером EggStremeAgent использует протокол gRPC (Google Remote Procedure Call) и поддерживает 58 команд. Функционал красивый и классический, тут разведка систем и сетей, эскалация привилегий, выполнение произвольного шеллкода и кража данных. Для закрепления в сети и бокового перемещения атакующие используют прокси-утилиту Stowaway и вспомогательный имплант EggStremeWizard (
xwizards.dll), который загружается через DLL side-loading - запуск легитимного бинарника, который подгружает вредоносную DLL.Главная особенность EggStreme в его полностью бесфайловой природе. Весь вредоносный код выполняется непосредственно в оперативной памяти, не оставляя на диске никаких следов, что делает его обнаружение стандартными антивирусами крайне сложной задачей. Это, в сочетании с многоэтапной загрузкой и активным использованием DLL side-loading, позволяет ему работать с очень низким профилем шума.
З.Ы. Использовать gRPC для связи с C2 разумная идея. Трафик выглядит как легитимное общение с сервисами Google. Файрвол будет думать, что это просто очередной protobuf полетел, а на самом деле это ваши пароли улетают🎩
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23✍15❤7🔥4⚡1🫡1
Please open Telegram to view this post
VIEW IN TELEGRAM
😢117💊74😁15😡10😭6❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁230❤7🔥5
Причиной является использование в Windows древнего и дырявого алгоритма шифрования RC4, который до сих пор работает по умолчанию в Active Directory. Именно эта фича из 1987 года стала ключевым звеном в атаке на медицинскую корпорацию Ascension, в результате которой утекли данные 5.6 миллиона пациентов. Хакеры получили доступ к ноутбуку подрядчика, а дальше, благодаря RC4, использовали технику kerberoasting для перебора паролей привилегированных учеток.
Для тех, кто не в курсе, RC4, созданный еще в 1987 году, был взломан в 1994-м. Но в Kerberos-аутентификации в AD он до сих пор является базовым. Это позволяет атакующему запрашивать у сервера зашифрованные тикеты, выносить их наружу и брутить на мощных GPU. Из-за отсутствия соли и итераций в используемом хэше MD4, перебор идет со скоростью миллиарды вариантов в секунду. Даже длинные пароли не спасают.
Microsoft в ответ заявила, что настоятельно не рекомендует использовать RC4, и что в новых доменах на Windows Server 2025 он будет отключен по умолчанию. Но для миллионов существующих систем все остается по-прежнему.
И после этого они еще заставляют менять пароли каждые 90 дней
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁69🌚8❤5😱2🤯1
Please open Telegram to view this post
VIEW IN TELEGRAM
💊56😁40🌚3❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁62✍5❤3🌚2😎1😡1
Forwarded from Linux / Линукс
Фонд Apache сменил логотип
Некоммерческая организация Apache Software Foundation представила новый логотип, сменила дизайн сайта apache.org и объявила о переходе к использованию бренда ASF вместо полного наименования "Apache Software Foundation". На новом логотипе вместо пера, используемого как символ проектов Apache с 1997 года, изображён дубовый лист.
Название юридического лица Apache Software Foundation не изменилось и по-прежнему используется в официальных документах, в футере сайта и при упоминании авторских прав. Проекты фонда, имеющие слово Apache в своих названиях (например, Apache HTTP Server), продолжат использование существующих имён.
То есть Apache как бы перестали использовать имя Apache, но на самом деле не перестали из-за больших затрат и юридических сложностей, а также продолжат использовать старое название в официальных документах и футере сайта. Ну, ладно...
Linux / Линукс🥸
Некоммерческая организация Apache Software Foundation представила новый логотип, сменила дизайн сайта apache.org и объявила о переходе к использованию бренда ASF вместо полного наименования "Apache Software Foundation". На новом логотипе вместо пера, используемого как символ проектов Apache с 1997 года, изображён дубовый лист.
Название юридического лица Apache Software Foundation не изменилось и по-прежнему используется в официальных документах, в футере сайта и при упоминании авторских прав. Проекты фонда, имеющие слово Apache в своих названиях (например, Apache HTTP Server), продолжат использование существующих имён.
📌 Причиной смены символики стало недовольство организации Natives in Tech, отстаивающей интересы коренных народов. Она считает неприемлемым использование индейской символики в логотипе Apache Software Foundation, и расценивает это как манипуляцию культурными ценностями национальных меньшинств, искажающую представление об индейцах и основанную на стереотипах. Борцы за права индейцев также требовали переименовать организацию и прекратить использование слова Apache, но сообщество отказалось переименовывать организацию из-за больших затрат и юридических сложностей.
То есть Apache как бы перестали использовать имя Apache, но на самом деле не перестали из-за больших затрат и юридических сложностей, а также продолжат использовать старое название в официальных документах и футере сайта. Ну, ладно...
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔31🌚17💊11❤4👎4😁4
Please open Telegram to view this post
VIEW IN TELEGRAM
😁94🫡37💯7😱6😭5🔥2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁116😎13❤6
Армия MikroTik'ов наносит ответный удар 👊
Неназванная европейская компания, которая специализируется на защите от DDoS-атак, сама стала жертвой одной из самых мощных атак в истории. Мощность UDP-флуда достигла 1.5 миллиарда пакетов в секунду.
Атаку отражали спецы из FastNetMon. По их данным, в оркестре участвовали тысячи скомпрометированных IoT-устройств и роутеров MikroTik, разбросанных по 11 000 уникальных сетей по всему миру. То есть, это был тот самый распределенный, трушный DDoS.
Интересно, что для отражения атаки пришлось использовать DDoS-фильтрующие мощности самого клиента. То есть, компания, по сути, защищала саму себя от атаки, которая была нацелена на ее же защитные сервисы. В ход шли классические методы развертывание ACL на пограничных маршрутизаторах и другие техники.
Основатель FastNetMon, Павел Одинцов, выступил в роли Капитана Очевидность и отметил, что без проактивной фильтрации исходящего мусорного трафика на уровне интернет-провайдеров, любой домашний роутер и умный чайник продолжат быть частью гигантских ботнетов.
Интересно, их отдел продаж, наверное, сейчас звонит самим себе с предложением купить усиленный тарифный план😬
Типичный🥸 Сисадмин
Неназванная европейская компания, которая специализируется на защите от DDoS-атак, сама стала жертвой одной из самых мощных атак в истории. Мощность UDP-флуда достигла 1.5 миллиарда пакетов в секунду.
Атаку отражали спецы из FastNetMon. По их данным, в оркестре участвовали тысячи скомпрометированных IoT-устройств и роутеров MikroTik, разбросанных по 11 000 уникальных сетей по всему миру. То есть, это был тот самый распределенный, трушный DDoS.
Интересно, что для отражения атаки пришлось использовать DDoS-фильтрующие мощности самого клиента. То есть, компания, по сути, защищала саму себя от атаки, которая была нацелена на ее же защитные сервисы. В ход шли классические методы развертывание ACL на пограничных маршрутизаторах и другие техники.
Основатель FastNetMon, Павел Одинцов, выступил в роли Капитана Очевидность и отметил, что без проактивной фильтрации исходящего мусорного трафика на уровне интернет-провайдеров, любой домашний роутер и умный чайник продолжат быть частью гигантских ботнетов.
Интересно, их отдел продаж, наверное, сейчас звонит самим себе с предложением купить усиленный тарифный план
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁113❤12🔥5👏1
Forwarded from godnoTECH - Новости IT
⚡️ Как Discord-сервер стал парламентом, а "зумеры" свергли правительство
В Непале прямо сейчас пишется история, и пишется она в игровом чате. Массовые протесты, вспыхнувшие из-за блокировки соцсетей, не просто снесли верхушку власти, но и породили уникальный для мировой политики феномен – выборы нового лидера страны проходят в Discord.
Все началось, когда правительство решило заблокировать многие популярные соцсети. Протесты получили название "революция зумеров", они координировались через Discord и быстро переросли в масштабные беспорядки по всей стране. В огне оказались правительственные здания, а число жертв превысило 50 человек. Премьер-министр и его кабинет подали в отставку.
😱 И вот тут начинается самое интересное. Протестующие создали свой "виртуальный парламент" на том же Discord-сервере, который еще вчера был их штабом. Более 145 тысяч непальцев уже присоединились к этому цифровому государству, где проходят оживленные дебаты и даже проводятся "мини-выборы" для определения нового лидера.
Админы Discord договорились с военными, а на роль временного лидера предложена бывшая главная судья Сушила Карки. Решения этого сервера цитируют СМИ страны.
Мир замер в ожидании: сможет ли поколение, выросшее в сети, построить реальное государство? Непал показывает – возможно, будущее политики уже здесь.
🥸 godnoTECH - Новости IT
В Непале прямо сейчас пишется история, и пишется она в игровом чате. Массовые протесты, вспыхнувшие из-за блокировки соцсетей, не просто снесли верхушку власти, но и породили уникальный для мировой политики феномен – выборы нового лидера страны проходят в Discord.
Все началось, когда правительство решило заблокировать многие популярные соцсети. Протесты получили название "революция зумеров", они координировались через Discord и быстро переросли в масштабные беспорядки по всей стране. В огне оказались правительственные здания, а число жертв превысило 50 человек. Премьер-министр и его кабинет подали в отставку.
Админы Discord договорились с военными, а на роль временного лидера предложена бывшая главная судья Сушила Карки. Решения этого сервера цитируют СМИ страны.
Мир замер в ожидании: сможет ли поколение, выросшее в сети, построить реальное государство? Непал показывает – возможно, будущее политики уже здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥90💊21❤10👏9😁5🤔5🤯4🏆4👍3🤷♂1🐳1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁87🤔9
Please open Telegram to view this post
VIEW IN TELEGRAM
😁144🫡19😎8❤1
Oracle провела широкомасштабные увольнения в основной команде разработки MySQL, по слухам, на выход попросили около 70 ключевых, старых разрабов.
Из внутренних сливов сообщают, что команда опенсорсного MySQL была поглощена подразделением, которое занимается разработкой Heatwave - проприетарной
Еще один шаг Oracle к медленному убийству MySQL Community Edition
Как и в случае с Sun, Oracle сначала покупает популярный опенсорсный продукт, выжимает из него все соки для своих коммерческих решений, а затем начинает оптимизировать команду, которая занималась его развитием...
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
💊41😡30😢15❤3🤔2👍1👏1🤯1