Злоумышленники взломали «умный дом» и превратили жизнь его обитателей в кошмар
По мнению пострадавших, киберпреступники взломали их сеть Wi-Fi.
Устройства «Интернета вещей» (IoT) стремительно становятся неотъемлемой частью повседневной жизни. Это заставляет экспертов по кибербезопасности уделять пристальное внимание сфере IoT и бить тревогу, обращая внимание на множественные уязвимости, делающие IoT-устройства привлекательной целью для злоумышленников.
Ярким примером уязвимости «умной» бытовой техники к кибератакам является случай с семейной парой из Милуоки (штат Висконсин, США). Как сообщают местные СМИ, в один прекрасный день их «умный дом» сошел с ума.
В 2018 году Саманта и Ламонт Вестморлэнд (Samantha and Lamont Westmoreland) приобрели термостат, дверной звонок и камеру видеонаблюдения Nest. Некоторое время ничего не нарушало спокойствие супругов, пока однажды они не услышали голос из камеры, установленной на кухне.
Возвратившись с работы, Саманта Вестморлэнд обнаружила, что в доме стало очень жарко – термостат нагрел воздух до +32 градусов по Цельсию. Списав все на кратковременный сбой, женщина установила привычную температуру, однако вскоре температура снова поднялась, а из камеры донесся голос и заиграла музыка.
Супруги сменили пароли, но все продолжилось снова. Вестморлэнды обратились к своему интернет-провайдеру, который по их просьбе сменили идентификатор сети. По мнению супругов, кто-то взломал их сеть Wi-Fi.
«Наверное, мы должны были принять какие-то меры. Думаю, Nest стоит усилить безопасность», - отметили супруги.
Источник: https://www.securitylab.ru/news/501372.php
По мнению пострадавших, киберпреступники взломали их сеть Wi-Fi.
Устройства «Интернета вещей» (IoT) стремительно становятся неотъемлемой частью повседневной жизни. Это заставляет экспертов по кибербезопасности уделять пристальное внимание сфере IoT и бить тревогу, обращая внимание на множественные уязвимости, делающие IoT-устройства привлекательной целью для злоумышленников.
Ярким примером уязвимости «умной» бытовой техники к кибератакам является случай с семейной парой из Милуоки (штат Висконсин, США). Как сообщают местные СМИ, в один прекрасный день их «умный дом» сошел с ума.
В 2018 году Саманта и Ламонт Вестморлэнд (Samantha and Lamont Westmoreland) приобрели термостат, дверной звонок и камеру видеонаблюдения Nest. Некоторое время ничего не нарушало спокойствие супругов, пока однажды они не услышали голос из камеры, установленной на кухне.
Возвратившись с работы, Саманта Вестморлэнд обнаружила, что в доме стало очень жарко – термостат нагрел воздух до +32 градусов по Цельсию. Списав все на кратковременный сбой, женщина установила привычную температуру, однако вскоре температура снова поднялась, а из камеры донесся голос и заиграла музыка.
Супруги сменили пароли, но все продолжилось снова. Вестморлэнды обратились к своему интернет-провайдеру, который по их просьбе сменили идентификатор сети. По мнению супругов, кто-то взломал их сеть Wi-Fi.
«Наверное, мы должны были принять какие-то меры. Думаю, Nest стоит усилить безопасность», - отметили супруги.
Источник: https://www.securitylab.ru/news/501372.php
SecurityLab.ru
Злоумышленники взломали «умный дом» и превратили жизнь его обитателей в кошмар
По мнению пострадавших, киберпреступники взломали их сеть Wi-Fi.
91% россиян предпочитают пиратский контент
Главная причина отказа от легального контента высокая стоимость легального контента.
Большинство россиян (91%) предпочитают скачивать из интернета пиратские фильмы, сериалы, музыку и другой контент, а не покупать их, несмотря на то, что таким образом они нарушают закон и рискуют заразить свой компьютер вредоносным ПО. Главная причина – высокая стоимость легального контента (на это жалуются 75% пользователей). К такому выводу пришли специалисты компании ESET по результатам опроса, проведенного в нынешнем месяце.
Из 2 тыс. участников опроса больше половины (52%) признались, что скачивают из интернета нелицензионные игры, 43% смотрят пиратский видеоконтент, 34% предпочитают бесплатно слушать музыку online, 19% используют нелицензионные программы, а 14% респондентов нелегально читают электронные книги. Примечательно, что многие пользователи отдают предпочтение сразу нескольким видам нелегального контента.
Помимо высокой стоимости платного контента, пользователи отказываются от него в пользу пиратского еще и потому, что легальные сервисы не отвечают их требованиям (об этом сообщили 34% респондентов). Еще 16% пожаловались на неудобство способов оплаты. Четверть опрошенных не платят за легальный контент «из идейных соображений», которые предпочли не называть.
Источник: https://www.securitylab.ru/news/501399.php
Главная причина отказа от легального контента высокая стоимость легального контента.
Большинство россиян (91%) предпочитают скачивать из интернета пиратские фильмы, сериалы, музыку и другой контент, а не покупать их, несмотря на то, что таким образом они нарушают закон и рискуют заразить свой компьютер вредоносным ПО. Главная причина – высокая стоимость легального контента (на это жалуются 75% пользователей). К такому выводу пришли специалисты компании ESET по результатам опроса, проведенного в нынешнем месяце.
Из 2 тыс. участников опроса больше половины (52%) признались, что скачивают из интернета нелицензионные игры, 43% смотрят пиратский видеоконтент, 34% предпочитают бесплатно слушать музыку online, 19% используют нелицензионные программы, а 14% респондентов нелегально читают электронные книги. Примечательно, что многие пользователи отдают предпочтение сразу нескольким видам нелегального контента.
Помимо высокой стоимости платного контента, пользователи отказываются от него в пользу пиратского еще и потому, что легальные сервисы не отвечают их требованиям (об этом сообщили 34% респондентов). Еще 16% пожаловались на неудобство способов оплаты. Четверть опрошенных не платят за легальный контент «из идейных соображений», которые предпочли не называть.
Источник: https://www.securitylab.ru/news/501399.php
SecurityLab.ru
91% россиян предпочитают пиратский контент
Главная причина отказа от легального контента высокая стоимость легального контента.
Новый вредонос Nodersok заразил тысячи компьютеров на базе Windows
Вредоносное ПО устанавливает Node.js, чтобы превратить системы в прокси-серверы и совершать мошеннические операции.
Тысячи компьютеров на базе Windows по всему миру за последние несколько недель были заражены новым видом вредоносного ПО. Вредонос под названием Nodersok загружает и устанавливает копию инфраструктуры Node.js для преобразования зараженных систем в прокси-серверы и проведения мошеннических операций.
Вредоносная программа, названная Nodersok (в отчете Microsoft) и Divergent (в отчете Cisco Talos), впервые была обнаружена летом нынешнего года и распространялась с помощью вредоносной рекламы, которая принудительно загружала файлы HTA (HTML Application) на компьютеры пользователей. Запуск HTA-файлов начинал многоэтапный процесс заражения с использованием скриптов Excel, JavaScript и PowerShell, которые в конечном итоге загружали и устанавливали вредоносное ПО Nodersok.
Сама вредоносная программа имеет несколько компонентов, включая PowerShell-модуль, который пытается отключить Защитника Windows и Центр обновления Windows, а также компонент для повышения привилегий вредоносного ПО до уровня SYSTEM. Но есть также два компонента, которые являются легитимными приложениями, а именно: WinDivert и Node.js. Первое представляет собой приложение для захвата и взаимодействия с сетевыми пакетами, а второе — известный инструмент для запуска JavaScript на web-серверах.
Легитимные приложения используются для запуска прокси-сервера SOCKS на зараженных хостах. Исследователи из компании Microsoft утверждают, что вредоносная программа превращает зараженные хосты в прокси-серверы для передачи вредоносного трафика. По словам специалистов из Cisco Talos, с другой стороны, прокси используются для мошеннических операций.
Так или иначе, создатели Nodersok могут в любой момент развернуть другие модули для выполнения дополнительных задач или даже запустить вымогательское ПО или банковские трояны.
Источник: https://www.securitylab.ru/news/501410.php
Вредоносное ПО устанавливает Node.js, чтобы превратить системы в прокси-серверы и совершать мошеннические операции.
Тысячи компьютеров на базе Windows по всему миру за последние несколько недель были заражены новым видом вредоносного ПО. Вредонос под названием Nodersok загружает и устанавливает копию инфраструктуры Node.js для преобразования зараженных систем в прокси-серверы и проведения мошеннических операций.
Вредоносная программа, названная Nodersok (в отчете Microsoft) и Divergent (в отчете Cisco Talos), впервые была обнаружена летом нынешнего года и распространялась с помощью вредоносной рекламы, которая принудительно загружала файлы HTA (HTML Application) на компьютеры пользователей. Запуск HTA-файлов начинал многоэтапный процесс заражения с использованием скриптов Excel, JavaScript и PowerShell, которые в конечном итоге загружали и устанавливали вредоносное ПО Nodersok.
Сама вредоносная программа имеет несколько компонентов, включая PowerShell-модуль, который пытается отключить Защитника Windows и Центр обновления Windows, а также компонент для повышения привилегий вредоносного ПО до уровня SYSTEM. Но есть также два компонента, которые являются легитимными приложениями, а именно: WinDivert и Node.js. Первое представляет собой приложение для захвата и взаимодействия с сетевыми пакетами, а второе — известный инструмент для запуска JavaScript на web-серверах.
Легитимные приложения используются для запуска прокси-сервера SOCKS на зараженных хостах. Исследователи из компании Microsoft утверждают, что вредоносная программа превращает зараженные хосты в прокси-серверы для передачи вредоносного трафика. По словам специалистов из Cisco Talos, с другой стороны, прокси используются для мошеннических операций.
Так или иначе, создатели Nodersok могут в любой момент развернуть другие модули для выполнения дополнительных задач или даже запустить вымогательское ПО или банковские трояны.
Источник: https://www.securitylab.ru/news/501410.php
www.securitylab.ru
Новый вредонос Nodersok заразил тысячи компьютеров на базе Windows
Вредоносное ПО устанавливает Node.js, чтобы превратить системы в прокси-серверы и совершать мошеннические операции.
Навыки программирования.
Для этических хакеров это фундаментальный фактор. Изучение основных концепций и структур, характерных для любого языка
программирования, предоставит тестеру преимущество при поиске уязвимостей.
Вы должны не только иметь базовые знания о языках программирования, но и разбираться в работе процессоров, системной памяти, буферов, указателей, типов данных, регистров и кэша. Эти понятия реализуемы практически на любом языке программирования, в том числе C/C++, Python, Perl и Assembly.
Из книги: "Kali Linux. Тестирование на проникновение и безопасность"
Для этических хакеров это фундаментальный фактор. Изучение основных концепций и структур, характерных для любого языка
программирования, предоставит тестеру преимущество при поиске уязвимостей.
Вы должны не только иметь базовые знания о языках программирования, но и разбираться в работе процессоров, системной памяти, буферов, указателей, типов данных, регистров и кэша. Эти понятия реализуемы практически на любом языке программирования, в том числе C/C++, Python, Perl и Assembly.
Из книги: "Kali Linux. Тестирование на проникновение и безопасность"
Обзор инцидентов безопасности за период с 23 по 29 сентября 2019 года
Коротко о главных событиях минувшей недели.
На прошедшей неделе немецкий концерн Rheinmetall сообщил о кибератаке, в результате которой была нарушена работа заводов компании в Бразилии, Мексике и США. Инцидент затронул IT-инфраструктуру подразделения Rheinmetall Automotive. Подробности инцидента не разглашаются, также в компании не сообщили, каким именно вредоносом оказались заражены системы предприятия.
За последние несколько недель тысячи компьютеров на базе Windows в странах по всему миру подверглись атакам с использованием редкого вредоносного ПО под названием Nodersok. Программа загружает и устанавливает копию инфраструктуры Node.js для превращения зараженных систем в прокси-серверы и проведения мошеннических операций. Для инфицирования системы Nodersok задействует два легитимных инструмента - WinDivert и Node.js. Первый представляет собой приложение для захвата и взаимодействия с сетевыми пакетами, а второе — известный инструмент для запуска JavaScript на web-серверах.
В России активизировались мошенники, подменяющие номера телефонов банков. По данным Центробанка РФ, за прошедшее лето злоумышленники подменили 198 номеров, однако участники рынка утверждают, что реальная цифра намного выше. В период с июня по август специалисты Банка России направили операторам связи данные о более чем 2,5 тыс. телефонных номеров, с которых мошенники звонили клиентам финорганизаций. В результате в 218 случаях операторы заблокировали номера, в 59 – ограничили использование финансовых сервисов, а в 198 случаях была обнаружена подмена номера банка. В более чем 2 тыс. случаев операторы отказались принимать меры «ввиду отсутствия правовых оснований».
В Сети обнаружен ботнет, использующий недавно опубликованный эксплоит для уязвимости в форумном движке vBulletin, для наращивания собственной армии ботов. Атаки осуществлялись из разных стран, чаще всего из Бразилии, Вьетнама и Индии.
Сотрудники украинской киберполиции обезвредили преступную группировку, промышлявшую незаконной перерегистрацией арестованного имущества. Участники группировки заражали компьютеры нотариусов и госслужащих вредоносным ПО, с помощью которого вмешивались в работу государственных реестров и переоформляли права собственности на недвижимое имущество на третьих лиц.
Исследователи в области безопасности сообщили о вредоносной кампании, нацеленной на транспортные и судоходные организации, действующие за пределами Кувейта в Персидском заливе. В рамках кибератак группировка xHunt использовала бэкдоры Sakabota, Hisoka, Netero и Killua.
Источник: https://www.securitylab.ru/news/501475.php
Коротко о главных событиях минувшей недели.
На прошедшей неделе немецкий концерн Rheinmetall сообщил о кибератаке, в результате которой была нарушена работа заводов компании в Бразилии, Мексике и США. Инцидент затронул IT-инфраструктуру подразделения Rheinmetall Automotive. Подробности инцидента не разглашаются, также в компании не сообщили, каким именно вредоносом оказались заражены системы предприятия.
За последние несколько недель тысячи компьютеров на базе Windows в странах по всему миру подверглись атакам с использованием редкого вредоносного ПО под названием Nodersok. Программа загружает и устанавливает копию инфраструктуры Node.js для превращения зараженных систем в прокси-серверы и проведения мошеннических операций. Для инфицирования системы Nodersok задействует два легитимных инструмента - WinDivert и Node.js. Первый представляет собой приложение для захвата и взаимодействия с сетевыми пакетами, а второе — известный инструмент для запуска JavaScript на web-серверах.
В России активизировались мошенники, подменяющие номера телефонов банков. По данным Центробанка РФ, за прошедшее лето злоумышленники подменили 198 номеров, однако участники рынка утверждают, что реальная цифра намного выше. В период с июня по август специалисты Банка России направили операторам связи данные о более чем 2,5 тыс. телефонных номеров, с которых мошенники звонили клиентам финорганизаций. В результате в 218 случаях операторы заблокировали номера, в 59 – ограничили использование финансовых сервисов, а в 198 случаях была обнаружена подмена номера банка. В более чем 2 тыс. случаев операторы отказались принимать меры «ввиду отсутствия правовых оснований».
В Сети обнаружен ботнет, использующий недавно опубликованный эксплоит для уязвимости в форумном движке vBulletin, для наращивания собственной армии ботов. Атаки осуществлялись из разных стран, чаще всего из Бразилии, Вьетнама и Индии.
Сотрудники украинской киберполиции обезвредили преступную группировку, промышлявшую незаконной перерегистрацией арестованного имущества. Участники группировки заражали компьютеры нотариусов и госслужащих вредоносным ПО, с помощью которого вмешивались в работу государственных реестров и переоформляли права собственности на недвижимое имущество на третьих лиц.
Исследователи в области безопасности сообщили о вредоносной кампании, нацеленной на транспортные и судоходные организации, действующие за пределами Кувейта в Персидском заливе. В рамках кибератак группировка xHunt использовала бэкдоры Sakabota, Hisoka, Netero и Killua.
Источник: https://www.securitylab.ru/news/501475.php
www.securitylab.ru
Обзор инцидентов безопасности за период с 23 по 29 сентября 2019 года
Коротко о главных событиях минувшей недели.
Название: "Расследование компьютерных преступлений"
Год: 2012
Авторы: Крис Просис, Кевин Мандиа
Книга старая, но для основ информационной безопасности подойдет.
https://vk.com/hacker_timcore?w=wall-44038255_4106
Год: 2012
Авторы: Крис Просис, Кевин Мандиа
Книга старая, но для основ информационной безопасности подойдет.
https://vk.com/hacker_timcore?w=wall-44038255_4106
В инструменте АНБ Ghidra обнаружена очередная уязвимость
Уязвимость в инструменте обратного инжиниринга Ghidra позволяет выполнять код на системах.
На сайте Национального института стандартов и технологий США (National Institute of Standards and Technology, NIST) опубликована информация об уязвимости (CVE-2019-16941) в декомпиляторе Ghidra — бесплатном программном обеспечении с открытым исходным кодом для обратной разработки, которое Агентство национальной безопасности США обнародовало ранее в нынешнем году. Эксплуатация уязвимости позволяет злоумышленнику удаленно скомпрометировать целевые системы.
Проблема затрагивает версию Ghidra 9.0.4 и младше и проявляется при «включенном экспериментальном режиме». Произвольный код возможно выполнить в том случае, «если функция чтения XML-файлов в Bit Patterns Explorer используется с измененным документом XML». Другими словами, эксплуатация потребует от пользователя загрузки вредоносного файла XML через плагин, обойдя обычный процесс загрузки проекта.
По словам специалистов, поскольку эта функция является экспериментальной, наличие в ней ошибок и уязвимостей следовало ожидать. Несмотря на описание уязвимости на сайте NIST, исследователи отмечают, что она не может быть проэксплуатирована удаленно. Патч для данной проблемы в настоящее время находится в разработке.
Источник: https://www.securitylab.ru/news/501515.php
Уязвимость в инструменте обратного инжиниринга Ghidra позволяет выполнять код на системах.
На сайте Национального института стандартов и технологий США (National Institute of Standards and Technology, NIST) опубликована информация об уязвимости (CVE-2019-16941) в декомпиляторе Ghidra — бесплатном программном обеспечении с открытым исходным кодом для обратной разработки, которое Агентство национальной безопасности США обнародовало ранее в нынешнем году. Эксплуатация уязвимости позволяет злоумышленнику удаленно скомпрометировать целевые системы.
Проблема затрагивает версию Ghidra 9.0.4 и младше и проявляется при «включенном экспериментальном режиме». Произвольный код возможно выполнить в том случае, «если функция чтения XML-файлов в Bit Patterns Explorer используется с измененным документом XML». Другими словами, эксплуатация потребует от пользователя загрузки вредоносного файла XML через плагин, обойдя обычный процесс загрузки проекта.
По словам специалистов, поскольку эта функция является экспериментальной, наличие в ней ошибок и уязвимостей следовало ожидать. Несмотря на описание уязвимости на сайте NIST, исследователи отмечают, что она не может быть проэксплуатирована удаленно. Патч для данной проблемы в настоящее время находится в разработке.
Источник: https://www.securitylab.ru/news/501515.php
www.securitylab.ru
В инструменте АНБ Ghidra обнаружена очередная уязвимость
Уязвимость в инструменте обратного инжиниринга Ghidra позволяет выполнять код на системах.
Прохождение CTF Мистер Робот. Практический курс для хакеров.
Данная книга предназначена для людей, которые интересуются
соревнованием, под названием CTF (capture the flag).
Оно было позаимствовано из серии игр Doom, и Quake (если я не
ошибаюсь). Разновидностей CTF существует достаточное большое
количество, но два вида все-таки можно выделить – это классический CTF (attack-defense), и CTF (jeopardy).
Итак, ближе к делу...
На vulnhab-е нашел интересную виртуальную машину, которая называется «Mr-Robot:1». Как Вы уже догадались из названия, она основана по мотивам одноименного сериала «Мистер Робот», по первому сезону.
Данная книга предназначена для людей, которые интересуются
соревнованием, под названием CTF (capture the flag).
Оно было позаимствовано из серии игр Doom, и Quake (если я не
ошибаюсь). Разновидностей CTF существует достаточное большое
количество, но два вида все-таки можно выделить – это классический CTF (attack-defense), и CTF (jeopardy).
Итак, ближе к делу...
На vulnhab-е нашел интересную виртуальную машину, которая называется «Mr-Robot:1». Как Вы уже догадались из названия, она основана по мотивам одноименного сериала «Мистер Робот», по первому сезону.
Преступники атаковали нефтяные компании США с помощью трояна Adwind
Злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными.
Неизвестные киберпреступники организовали атаку на компании в сфере нефтяной промышленности США. В рамках вредоносной кампании для кражи данных использовался троян для удаленного доступа (RAT) Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat), который ранее применялся против компаний электроэнергетического сектора.
По словам исследователей из Netskope, атаки осуществляются с домена, принадлежащего австралийскому интернет-провайдеру Westnet. Остается неясным, является ли участники группировки клиентами Westnet или они скомпрометировали учетные записи клиентов и используют их для распространения Adwind.
Adwind RAT предлагается на ряде торговых площадок в даркнете по модели вредоносное ПО-как-услуга (malware-as-a-service) и за последние два года неоднократно использовался в различных кампаниях. Вредонос способен шифровать и фильтровать данные, захватывать изображения web-камеры, проверять жесткие диски на наличие определенных файлов на основе расширений в конфигурации вредоносного ПО, внедрять вредоносный код в легитимные процессы для избежания обнаружения и мониторить состояние системы. ПО изменяет параметры реестра для обеспечения персистентности и может отключать межсетевые экраны, антивирусные решения и другие службы безопасности на зараженных устройствах.
По словам исследователей, в новом варианте Adwind преступники реализовали сложные методы обфускации. Анализ вредоносного ПО показал, что оно использует несколько встроенных JAR-архивов (Java Archive) перед распаковкой окончательной полезной нагрузки. Уровень обфускации был настолько эффективным, что только 5 из 56 антивирусных решений на VirusTotal смогли обнаружить вредоносное ПО.
Согласно проведенному анализу, злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными. Они также заинтересованы в поиске такой информации, как FTP-пароли и SSH-ключи, которые могут дать больший доступ к сети.
Источник: https://www.securitylab.ru/news/501535.php
Злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными.
Неизвестные киберпреступники организовали атаку на компании в сфере нефтяной промышленности США. В рамках вредоносной кампании для кражи данных использовался троян для удаленного доступа (RAT) Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat), который ранее применялся против компаний электроэнергетического сектора.
По словам исследователей из Netskope, атаки осуществляются с домена, принадлежащего австралийскому интернет-провайдеру Westnet. Остается неясным, является ли участники группировки клиентами Westnet или они скомпрометировали учетные записи клиентов и используют их для распространения Adwind.
Adwind RAT предлагается на ряде торговых площадок в даркнете по модели вредоносное ПО-как-услуга (malware-as-a-service) и за последние два года неоднократно использовался в различных кампаниях. Вредонос способен шифровать и фильтровать данные, захватывать изображения web-камеры, проверять жесткие диски на наличие определенных файлов на основе расширений в конфигурации вредоносного ПО, внедрять вредоносный код в легитимные процессы для избежания обнаружения и мониторить состояние системы. ПО изменяет параметры реестра для обеспечения персистентности и может отключать межсетевые экраны, антивирусные решения и другие службы безопасности на зараженных устройствах.
По словам исследователей, в новом варианте Adwind преступники реализовали сложные методы обфускации. Анализ вредоносного ПО показал, что оно использует несколько встроенных JAR-архивов (Java Archive) перед распаковкой окончательной полезной нагрузки. Уровень обфускации был настолько эффективным, что только 5 из 56 антивирусных решений на VirusTotal смогли обнаружить вредоносное ПО.
Согласно проведенному анализу, злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными. Они также заинтересованы в поиске такой информации, как FTP-пароли и SSH-ключи, которые могут дать больший доступ к сети.
Источник: https://www.securitylab.ru/news/501535.php
www.securitylab.ru
Преступники атаковали нефтяные компании США с помощью трояна Adwind
Злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными.