24963
Информационная безопасность, пентест и многое другое... Преобрести рекламное размещение: https://telega.in/c/tg_infosec
Как обеспечить безопасность компании?
Только постоянным прокачиванием скиллов в сфере ИБ. А сделать это можно на страницах ресурса по информационной безопасности Security Center от компании Selectel.
Вы специалист по ИБ, IT-директор, DevOps-инженер и системный администратор? Или разработчик, интересующийся информационной безопасностью?
Будьте в курсе угроз и актуальных решений, читайте новости и свежие кейсы, решайте практические задачи.
А чтобы не пропустить новые материалы, подписывайтесь на рассылку Security Center.
Реклама, АО «Селектел», ИНН: 7810962785, ERID: 2VtzqvpV8sG
🔎 deepdarkCTI.
• Собранная информация об актуальных угрозах и хакерских группировках, позволяет нам изучить цели, тактику, методы и различные инструменты, которые применяются на этапе разведки и проникновения. Такую информацию можно собирать вручную или автоматически из разных источников, в том числе из новостей, форумов, ресурсов даркнета, мессенджеров и т.д. А найти такие источники поможет репозиторий, в котором перечислены различные ресурсы и аккуратно разбиты на категории:
- Discord;
- Telegram;
- Twitter;
- Forum;
- Exploits;
- Phishing;
- Maas;
- Markets;
- Methods;
- Search engines;
- Rat;
- CVE most exploited;
- Ransomware gang;
- Others.
➡️ https://github.com/fastfire/deepdarkCTI
#ИБ #OSINT
📲 Мобильник для перехвата чужих SMS сообщений.
• Есть такая занимательная статистика, которая демонстрирует топ самых продаваемых мобильных телефонов в истории. Первое место в этой статистике занимает Nokia 1100, а общее число продаж этого телефона перевалило за 250 миллионов. Вот Вам забавная история, которая случилась в далеком 2009 году...
• В процессе расследования дела о почтовом мошенничестве в Нидерландах полиция столкнулась с весьма интересным фактом – неизвестный покупатель отдал 25 тысяч евро за телефон Nokia 1100. Данная бюджетная модель была выпущена в конце 2003 г. и предназначалась для развивающихся рынков, а цена телефона составляла менее 100 евро.
• В попытках выяснить, почему хакеры готовы платить такие большие деньги за дешевый и внешне непримечательный аппарат, полиция обратилась к компании Ultrascan Advanced Global Investigations. Эксперты Ultrascan выяснили, что хакеров привлекают не все аппараты Nokia 1100, а только изготовленные на фабрике Nokia в г. Бохум (Германия).
• Эта серия аппаратов была признана бракованной из-за проблем в устаревшем программном обеспечении, созданном еще в 2002 г. За счет этого самого «брака» хакеры научились перехватывать чужие SMS сообщения, в частности, одноразовые коды для банковских транзакций — mTAN (mobile Transaction Authentication Number), которые европейские банки присылали своим клиентам по SMS.
• Таким образом, получается, что хакерам оставалось лишь подключить этот телефон (без какой бы то ни было перепрошивки) к снифферу наподобие #WireShark и дело в шляпе — можно перехватывать SMS, а затем перевести деньги на свой счет.
• Интересно заметить, что на момент инцидента (2009 год), компания Nokia продала во всем мире более 200 миллионов экземпляров Nokia 1100 и моделей на ее базе, однако количество уязвимых аппаратов остается неизвестным...
#Разное
🔎 Archie: первый в мире поисковик.
• До появления поисковиков пользователь был вынужден заходить на FTP-серверы и вручную просматривать каждый документ, ориентируясь только на краткое описание. Вы не могли ввести куда-то запрос из серии: «Сколько весит слон?» и получить мгновенную пачку ответов. Проблему вызвался решить Алан Эмтейдж, который в 1990 году разработал первый в мире поисковик Archie на Unix.
• Если кратко, Archie представлял собой набор скриптов, которые выполняли поиск по списку общедоступных FTP-серверов с использованием протокола Telnet и создавали индексные файлы. Пользователь вводил тему и получал в ответ список адресов в виде доступного каталога документов. При этом Archie оказался удивительно производительным: мог обработать до 2 миллионов файлов, распределенных на сотнях серверов всего за пару минут.
#Разное
🔐 16 миллиардов паролей.
• Если верить сервису TGstat, который анализирует статистику каналов и осуществляет поиск публикаций в сегменте Telegram, то новость о сливе 16 миллиардов паролей опубликовали более 4 тыс. раз за последние пару дней... Все СМИ просто копировали текст друг у друга и публиковали эту новость в своих каналах \ сайтах.
• Однако проблема состоит в том, что тут нет никаких верифицируемых доказательств данного слива, поэтому вы не наблюдали данную новость в этом канале ранее. Если честно, то даже из заголовка было понятно, что тут что-то не так.
• Читая первоисточник, можно заметить, что определенный набор данных был временно доступен в сети из-за неверно сконфигурированных, незащищенных инстансов Elasticsearch или в публичных облачных хранилищах (object storage). Но как уже ранее отмечалось, нет никаких доказательств данного слива. Судя по всему, первоисточник просто неправильно преподнес информацию и тем самым создал впечатление самой масштабной утечки данных за все время...
• Очень хорошо данную ситуацию расписали на хабре. Если интересно, то почитайте: https://habr.com/ru/news/920080
#Новости
👾 Icelandic. 1989.
• Предметом искусства может быть картина, скульптура, поэма, симфония и даже компьютерный вирус, как бы странно это не звучало. К сожалению, создание вирусов в наши дни сопряжено с извлечением выгоды из своего творения или причинением вреда окружающим. Однако на заре компьютерных технологий вирусописатели были истинными художниками, чьими красками были кусочки кода, умело смешанные они превращались в шедевр. И цель их была не столь обидеть кого-то, сколь заявить о себе, продемонстрировать свой ум и смекалку и, порой, просто позабавить людей. Сегодня поговорим о первом вирусе, который инфицировал исключительно файл .exe на системе DOS:
• Вирус под названием Icelandic попадал на компьютер в виде файла .exe, при запуске которого вирус проверял наличие себя самого в памяти системы. Если его копии там не было, вирус становился резидентным. Также он модифицировал некоторые блоки памяти дабы скрыть свое присутствие. Это могло привести к падению системы, если программа пыталась провести запись на эти самые блоки. Вирус далее заражал каждый десятый исполняемый файл, добавляя в конце каждого свой код. Если же файл был формата «read only», Icelandic удалял свой код.
• Если на компьютере использовались жесткие диски объемом более 10 мегабайт, вирус выбирал область FAT, которая не использовалась, и помечал ее как битую. Эта операция проводилась каждый раз, когда происходило заражение нового файла.
• Также существовало несколько разновидностей Icelandic, которые отличались друг от друга некоторыми функциями и свойствами:
- Icelandic.632 — заражал каждую третью программу. Помечал как битый один кластер на диске, если тот был больше 20 мегабайт;
- Icelandic.B — был усовершенствован для усложнения обнаружения некоторыми антивирусами, не производил никаких действий кроме распространения;
- Icelandic.Jol — подвариант Icelandic.B, который 24 декабря выводил сообщение на исландском «Gledileg jol» («Счастливого Рождества»);
- Icelandic.Mix1 — впервые обнаруженный в Израиле, вызывал искажение символов при передаче их серийным устройствам (к примеру, принтеры);
- Icelandic.Saratoga — с 50% вероятностью заражал запущенный файл.
#Разное
🔒 Защита от Bluetooth-маячков.
• 20 апреля 2021 года на презентации Apple был представлен очень интересный девайс — Apple AirTag. Идея таких Bluetooth-трекеров заключается в том, что они помогают нам в повседневной деятельности (искать предметы, которые вы успешно забыли где-либо). Как это работает? При помощи технологии Bluetooth различные девайсы экосистемы Apple определяют наличие метки поблизости и передают примерные или точные координаты в вашу учетную запись Apple. При помощи сервиса Apple Find My вы можете посмотреть, куда в итоге попала ваша вещь — в бюро находок или к новому владельцу. Самое главное, что все это происходит автоматически, и даже устанавливать ничего не надо. Все нужное для работы системы поиска AirTag уже встроено в iOS у сотен миллионов пользователей.
• Так вот, это я к тому, что когда данный девайс поступил в продажу, то люди начали следить за другими людьми с помощью AirTag. Спустя год и несколько громких дел Apple догадались выпустить обновление для своих устройств и реализовали оповещения, которые информируют человека о том, что рядом находится метка AirTag.
• Но ведь помимо AirTag в мире существует сотни других маячков, не так ли? И есть достаточно популярные устройства, которые никак не связаны с экосистемами по типу Samsung или Apple. Как в таком случае защититься от слежки? Такие решения есть! Еще и с открытым исходным кодом и для вашего #Android:
• AirGuard и MetaRadar: оба инструмента работают по следующему принципу — сканируют частоты, на которых работают Bluetooth-трекеры, а приложения определяют те идентификаторы, которые находятся постоянно с вами (наушники, часы, браслеты, которые принадлежат вам). Как только появляется новое устройство перемещающиеся с вами (порог срабатывания выставляется либо вручную, либо по умолчанию фиксируется 3 появления в зоне присутствия смартфона) приложения начинают вас информировать о неизвестном устройстве и показывают отметку на карте, где оно было зафиксировано. В среднем обнаружение может занимать от 30 минут до 3х часов. Пользуйтесь!
#Разное
• Судя по всему сегодня израильские хакеры взломали одну из крупнейших иранских криптобирж Nobitex и вывели почти 82 млн. баксов. Первым об этом инциденте сообщил ZachXBT - известный в криптосообществе исследователь, который раскрывает мошеннические схемы в сфере криптовалют.
• Сейчас на главной странице сайта можно наблюдать отбойник и сообщение о том, что биржа подверглась взлому. Все операции приостановлены и ведется внутреннее расследование. Также биржа заявила, что средства пользователей в холодных кошельках не пострадали, а убытки будут компенсированы из страхового фонда биржи.
• Ответственность за взлом взяла на себя израильская хакерская группировка Gonjeshke Darande. В Twitter X они пообещали, что в течение 24 часов опубликуют внутреннюю информацию и исходный код биржи.
• Nobitex была основана в 2017 году. Cуточный объем торгов на ней составляет более 168 млн. долларов, почти половина которого приходится на пару с биткоином. Такие вот дела...
➡️ Источник [1].
➡️ Источник [2].
#Новости
▶️ Автоматизируйте разработку с CI/CD! Бесплатный вебинар для DevOps-инженеров и разработчиков
Хотите научиться быстро и безопасно доставлять код в production? Тогда наш вебинар «Основы и инструменты CI/CD» — для вас!
🟧 18 июня в 19:00 (мск) БЕСПЛАТНО
🟧 Регистрация
Что разберём?
🟧 Что такое CI/CD и зачем он нужен
🟧 Как работает пайплайн от коммита до продакшена
🟧 Инструменты: Jenkins, GitLab CI/CD, GitHub Actions, ArgoCD
🟧 Практика: настройка автоматического деплоя
Для кого?
🟧 Начинающие DevOps-инженеры
🟧 Разработчики, которые хотят глубже понять процессы доставки кода
🟧 Все, кто хочет автоматизировать рутинные задачи
Спикер: Алексей Рагузин — DevOps-инженер с 15+ годами опыта (Сбербанк, Транснефть, Россети). Преподаватель ведущих IT-школ.
Не пропустите! 😎 Регистрация здесь.
🚀 Трудности с регистрацией? Пишите @Codeby_Academy
📚 IPv6 book.
• Бесплатная книга об IPv6, которая содержит в себе более 130 страниц информации на данную тему. Книга на английском языке, но с учетом развития различных ИИ ресурсов у Вас не составит труда ее перевести (если не владеете английским языком): https://github.com/becarpenter/book6/
• К слову, добавил книгу в свой репо. Обязательно загляните, если изучаете сети, тут много полезной информации: https://github.com/SE-adm/Awesome-network/
#Сети
• Исследователи из компании Binarly рассказали об уязвимости в механизме безопасной загрузки (Secure Boot), которая позволяла атакующим отключать защиту и запускать вредоносный код до загрузки операционной системы.
• Проблема с идентификатором CVE-2025-3052 была связана с подписанным UEFI-модулем, используемым для обновления BIOS. Она затрагивала модуль, изначально разработанный для защищённых устройств DT Research, но подписанный доверенным сертификатом Microsoft UEFI CA 2011.
• Поскольку этот сертификат используется в большинстве современных систем, включая загрузчик Linux shim, то уязвимый код может выполняться на огромном количестве компьютеров.
• Проблема возникала из-за некорректной обработки переменной NVRAM с именем IhisiParamBuffer. Модуль использовал её содержимое как указатель памяти без проверки, а хакер мог получить контроль над памятью и полностью отключить протокол Secure Boot, чтобы внедрить вредоносные программы, модифицирующие загрузочный сектор. Буткиты работают на уровне прошивки и избегают обнаружения антивирусами и системами мониторинга.
• Уязвимость затронула как минимум 14 проблемных компонентов. Microsoft уже выпустила исправление в рамках июньского обновления Patch Tuesday. Оно включает обновлённый список отзыва (dbx), блокирующий выполнение опасных модулей.
➡️ https://www.binarly.io/blog/another-crack-in-the-chain-of-trust
#ИБ #Новости
🖥 Holborn 9100.
• Если вам интересно, как в конце 70-х большинство людей представляли себе «футуристичный» компьютер, то ответ кроется в этом малоизвестном нидерландском ПК. Модель Holborn 9100. появилась на рынке в 1981 году. Выпускала эти компьютеры небольшая компьютерная компания Holborn, расположенная в Нидерландах. Название бренда, фактически, представляло собой сокращение от “Born in Holland”.
• Система Holborn 9100 представляла собой единую консоль, состоявшую из монитора и клавиатуры, а также отдельный массивный модуль, в котором размещались два флоппи-дисковода (в качестве опции был доступен HDD 30Мб). Без сомнений можно сказать, что визитной карточкой 9100 явился интегрированный монитор 12”, выступавший из консоли, подобно перископу.
• Полностью «заряженная» версия в качестве дополнительного способа ввода включала фоточувствительное световое перо для ЭЛТ-экрана (мыши тогда еще не были широко доступны). В основе аппаратной части Holborn 9100 лежал ЦПУ Zilog Z80A и ОЗУ объемом 72Кб, который можно было расширить до 220Кб. Продавались эти компьютеры с двумя вариантами операционных систем: классической CP/M и собственной Holborn OS.
• Модель 9100, действительно, практически полностью изготавливалась из белого термически формованного пластика. Забавный факт. Многие находят сходство между формой корпуса 9100 и головой персонажа фильма «Инопланетянин» 1982 года. Конечно же, разработка Holborn происходила намного раньше, так что можно считать это чистым совпадением.
• В итоге весь модельный ряд составили четыре модели: 9100, 7100, 6500 и 6100. Причем порядок выпуска получился по убыванию номера модели, то есть сначала появился 9100, а за ним уже остальные модификации. Всего компания выпустила 200 машин, из которых на сегодня уцелело, по примерной оценке, около 20, что делает их одними из редчайших в своем роде.
• Эти продукты компании Holborn, имеющие эксклюзивный дизайн и хорошую техническую начинку, на то время можно было назвать достаточно амбициозными устройствами, которые ориентировались на малый и средний сегменты бизнеса.
• На деле же появление компьютеров IBM и сравнительно высокая розничная стоимость в $10 000 способствовали коммерческому провалу 9100 и последующих серий, что в конечном счете вынудило Holborn объявить в 1983 году о банкротстве...
➡️ https://www.inexhibit.com/case-studies/computer-design-holborn-9100-1981/
#Разное
🔎 Uscrapper. Собираем информацию с веб-сайтов.
• Uscrapper — open source инструмент командной строки, который поможет найти и получить данные с веб-сайтов:
- Адрес электронной почты;
- Ссылки на социальные сети;
- Имена людей;
- Геолокацию;
- Номера телефонов.
• Помимо парсинга различной информации, автор реализовал функционал выгрузки подробного отчета, который содержит найденную информацию. Кроме того, Uscrapper оснащен необходимыми модулями для обхода анти-парсинга и поддерживает технологии для извлечения информации из всех ссылок в пределах одного домена.
➡ Информация по установке, подробное описание инструменты и другая информация: https://github.com/z0m31en7/Uscrapper
#OSINT
👾 Изучаем малоизвестный вирус для MS-DOS.
• В начале 1990-х годов, два подростка из одного маленького городка на западе Германии, заинтересовались компьютерами, им было лет по 11, а компьютерные курсы были доступны только выпускникам средних школ.
• Поскольку в то время не было интернета, доступ к информации по определённым темам осуществлялся в основном через руководства к их домашним компьютерам, которые также обучали программированию на языке BASIC, через компьютерные журналы, относительно дорогие книги, которых не было в публичных библиотеках, разрозненную информацию из BBS, а также путём экспериментов.
• 19 апреля 1992 года ознаменовалось их прорывом в создании Proof of Concept (PoC) для компьютерного вируса. До этого ребята много спорили, по силам ли им создание вируса. Но в итоге им удалось заразить исполняемый файл, автоматически встроив туда свой код. Они смогли добиться, чтобы их фрагмент выполнялся до начала выполнения кода исходной программы.
• Интересно, что исходный код вируса сохранился и авторы даже готовы были поделиться им. Но поначалу получение исходного кода казалось сомнительным из‑за потери битов на старых устройствах хранения. Его восстановление превратилось в приключение, включающее реконструкцию старого оборудования для преодоления технологического разрыва, созданного отсутствием поддержки современных технологий устаревших стандартов жёстких дисков, фирменных ленточных накопителей и зашифрованных файловых устройств той эпохи.
• С помощью виртуализации, найденного старого оборудования и адаптеров для современных компьютеров автору этой публикации удалось успешно восстановить исходный код вируса, даже сохранив временные метки оригинальных файлов.
• Это перевод статьи, где подробно описан и проанализирован исходный код данного вируса. Очень интересный материал: https://habr.com/ru/post/836222/
#Разное
📘 История подростка, взломавшего Twitter и укравшего миллионы долларов.
• 15 июля 2020 года на аккаунте Илона Маска появился следующий твит:
«Отправьте мне биткоин на тысячу долларов, и я верну вам две тысячи. Это предложение действительно только в течение 30 минут".
Переведите бизнес в режим спокойствия
Киберпреступники не дремлют – ежедневно фиксируется более 2 инцидентов высокого уровня критичности. Чтобы противостоять современным киберугрозам, нужно использовать современную защиту.
Сейчас «Лаборатория Касперского» дарит возможность воспользоваться круглосуточной управляемой защитой бизнеса на 3 месяца бесплатно.
Оставьте заявку и получите все преимущества Kaspersky MDR: от непрерывного поиска угроз до оперативного реагирования на инциденты.
Не ждите, пока угроза станет реальностью. Участвуйте в акции!
💻 Бесплатный мини-курс: MySQL для новичков.
• Еще один бесплатный курс от Selectel для новичков, который описывает установку и настройку базы данных MySQL и как ими управлять, Вы научитесь работать с таблицами и разными типами данных, создавать ключи и настраивать права доступа. В конце курса — подборка полезных книг, которые точно пригодятся в начале пути.
- Как установить MySQL на Windows;
- Как установить и настроить MySQL в Ubuntu 20.04;
- Создание базы данных в MySQL;
- Типы данных в MySQL;
- Как создавать таблицы в MySQL (Create Table);
- Создание нового пользователя и настройка прав в MySQL;
- Сброс пароля root в MySQL;
- ALTER TABLE — изменение таблицы в SQL;
- Insert в MySQL — добавление данных в таблицу;
- Работа с командой UPDATE — как обновить данные в таблице MySQL;
- Как установить и использовать MySQL Workbench;
- Как создать первичные и внешние ключи MySQL;
- Книги по MySQL: пособия для начинающих и продолжающих.
#MySQL
Высшее на новом уровне: онлайн-магистратура от Яндекса и НИЯУ МИФИ. Здесь фундаментальные знания и практика для карьерного роста, а ещё — учёба, которую можно совмещать с работой и жизнью.
IT‑специальность с экспертизой Яндекса + диплом магистра гособразца = новая ступень в карьере. Приёмная кампания уже идёт!
Все подробности — на дне открытых дверей:
— Разбор совместной программы с НИЯУ МИФИ.
— Всё о формате прикладной онлайн-магистратуры: что взяли от классического высшего, а что добавили из опыта специалистов Яндекса.
— Общение с экспертами из вуза и ответы на вопросы.
— Всё про поступление: сроки, экзамены, документы, оплата и образовательный кредит.
▷ Ждём вас 26 июня в 19:00 мск.
→ Зарегистрироваться на встречу
👾 Фишинг на официальных сайтах Apple, Netflix, Microsoft и т.д.
• Исследователи Malwarebytes выкатили интересное исследование, в рамках которого описали метод, когда хакеры внедряли фейковые номера технической поддержки на официальных сайтах Microsoft, Apple, HP, PayPal, Netflix и т.д.
• Если описывать схему простыми словами, то начинается все с покупки рекламы в Google по запросам "поддержка Apple" или "служба помощи PayPal". Указывается официальный домен Microsoft, Apple, HP, PayPal, Netflix и добавляются скрытые параметры, которые браузер передает на указанный сайт. Такие параметры отображают номера фишинговой технической поддержки прямо в страницу, которую видит пользователь. Что получается? Вы находитесь на официальном сайте Apple, но видите номер телефона злоумышленников (скриншот выше)...
• Вся соль в том, что эти параметры не отображаются в рекламе Google, поэтому у жертвы нет очевидных причин подозревать, что что-то не так. Метод работает в большинстве браузеров и на большинстве веб-ресурсов.
• При звонке по указанному номеру телефона жертва связывается с мошенником, выдающим себя за представителя компании. Тот может обманом заставить пользователя передать личные данные или данные платёжной карты, либо разрешить удалённый доступ к своему устройству. При этом мошенники, которые представляются работниками PayPal, пытаются получить доступ к финансовому счёту и вывести с него средства. Классика!
• Так что будьте внимательны. Исследование можно почитать по ссылке: https://www.malwarebytes.com
#Новости
🪟 Скрытые функции Windows: откуда взялись BEAR, BUNNY и PIGLET?
• Если покопаться в системных файлах Windows 95, там можно было обнаружить недокументированные функции с именами наподобие BEAR35, BUNNY73 и PIGLET12. Откуда взялись эти дурацкие имена? Оказывается, что у них занятная история:
• «Мишка» (Bear) был талисманом Windows 3.1. Это был плюшевый мишка, которого всюду таскал за собой Дэйв — один из самых главных программистов, занятых в проекте. Когда он приходил к кому-нибудь в офис, он запускал мишку в монитор, чтобы на него отвлеклись.
• Кроме имён системных функций, Мишка засветился ещё в двух местах в Windows 3.1. В диалоге выбора шрифта для DOS-окна, если выбрать маленький шрифт, можно было увидеть в списке файлов несуществующий файл BEAR.EXE.
• Мишка перенёс немало издевательств. Однажды через его голову продели шнур питания, от уха до уха. В другой раз ему в зад запихали петарду. Ко времени Windows 95 состояние Мишки стало уже плачевным, так что его отставили с должности, и заменили розовым кроликом, получившим кличку Кролик (Bunny). Но Мишка-ветеран не отправился на помойку: дети одного из менеджеров сжалились над ним, и неплохо подлатали.
• Дэйв занимался в основном GUI, так что названия BEAR и BUNNY получали функции, относящиеся к интерфейсу с пользователем. Ядром занимался Майк, а у него был плюшевый диснеевский Пятачок. Так что когда нужно было назвать в ядре новую функцию для внутреннего использования, её называли PIGLET.
• Примечание: BEAR и BUNNY до сих пор живы в 32-битных версиях Windows. Раньше BEAR жил в \Windows\System32\user.exe, а BUNNY в \Windows\System32\krnl386.exe; но начиная с Windows 8, они переехали в каталог \Windows\WinSxS\x86_microsoft-windows-ntvdm-system32-payload_31bf3856ad364e35_<версия>_none_<хэш>\
➡️ https://devblogs.microsoft.com/oldnewthing/20030818-00/?p=42873
#Разное
📦 Malware Configuration And Payload Extraction.
• CAPE (Malware Configuration And Payload Extraction) — это автоматизированная система анализа вредоносного ПО с открытым исходным кодом.
• Песочница используется для автоматического запуска и анализа файлов, а также для сбора полной информации. Результаты анализа показывают, что делает вредоносное ПО во время работы внутри изолированной операционной системы (в основном ОС Windows).
• CAPE может получить следующие типы результатов:
- Следы вызовов Win32 API, которые выполнялись всеми процессами, порожденными вредоносным ПО;
- Файлы, которые были созданы, удалены и загружены вредоносной программой во время ее выполнения;
- Дампы памяти процессов вредоносного ПО;
- Трассировка сетевого трафика в формате PCAP;
- Снимки экрана рабочего стола Windows, сделанные во время работы вредоносной программы;
- Полные дампы памяти виртуальных машин.
• CAPE является "выходцем" из одной достаточно популярной песочницы Cuckoo Sandbox и предназначен для использования как в качестве автономного приложения, так и в качестве интегрированного решения в более крупные структуры благодаря своей модульной конструкции.
• Что можно анализировать:
- Общие исполняемые файлы Windows;
- DLL-файлы;
- PDF-документы;
- Документы Microsoft Office;
- URL-адреса и HTML-файлы;
- PHP-скрипты;
- CPL-файлы;
- Сценарии Visual Basic (VB);
- ZIP-файлы;
- Java-JAR-файл - Файлы Python;
- Почти все остальное.
• CAPE обладает мощными возможностями, которые благодаря модульности архитектуры позволяет создавать неограниченное количество различных сценариев.
➡ Документация есть вот тут: https://capev2.readthedocs.io/en/latest/
➡ Cтабильная и упакованная версия продукта: https://github.com/kevoreilly/CAPEv2
#Песочница #Malware
🖥 FTP. 1971.
• Именно в 1971 году родившийся в Индии студент магистратуры MIT Абхай Бхушнан впервые разработал File Transfer Protocol. FTP, появившийся спустя два года после telnet, стал одним из первых примеров работающего пакета приложений для системы, которая в дальнейшем стала известна как ARPANET. Он обогнал электронную почту, Usenet и даже стек TCP/IP. Как и telnet, FTP по-прежнему используется, хоть и ограниченно. Однако в современном Интернете он потерял значимость, в основном из-за проблем с безопасностью, а его место занимают альтернативные протоколы с шифрованием — в случае FTP это SFTP, протокол передачи файлов, работающий поверх протокола Secure Shell (SSH), по большей мере заменившего telnet.
• FTP настолько стар, что появился раньше электронной почты, а в начале он сам играл роль email-клиента. Наверно, неудивительно, что среди множества программ прикладного уровня, созданных для раннего ARPANET именно FTP выделился и проложил себе дорогу в мир современных технологий.
• Причина этого сводится к его базовой функциональности. По сути, это утилита, упрощающая передачу данных между хостами, однако секрет его успеха заключается в том, что он в определённой степени сгладил различия между этими хостами. Как говорит Бхушан в своём рабочем предложении (RFC), самая большая сложность использования telnet в то время заключалась в том, что каждый хост немного отличался от другого.
• Придуманный им протокол FTP пытался обойти сложности непосредственного подключения к серверу при помощи способа, который он назвал «косвенным использованием»; этот способ позволял передавать данные или исполнять программы удалённо. «Первая сборка» протокола, которая десятки лет спустя по-прежнему используется, хотя и в видоизменённом виде, использовала структуру директорий для исследований различий между отдельными системами.
• Автор приступил к разработке протокола из-за очевидной потребности в приложениях для зарождающейся системы ARPANET, в том числе из-за потребности в электронной почте и FTP. Эти первые приложения стали фундаментальными строительными блоками современного Интернета и за последующие десятилетия сильно усовершенствовались.
• Бхушан рассказал, что из-за ограниченных возможностей компьютеров того времени сначала функции электронной почты были частью FTP и позволяли распространять письма и файлы по протоколу в более легковесной формате. И в течение четырёх лет FTP был своего рода электронной почтой.
• Разумеется, Бхушан был не единственным, кто принял участие в разработке этого фундаментального раннего протокола, ведь после выпуска из вуза он получил должность в Xerox. Созданный им протокол продолжил своё развитие без него, получив в 1970-х и 1980-х серию обновлений в виде RFC; в том числе примерно в 1980 году появилась его реализация, позволявшая обеспечивать поддержку спецификации TCP/IP...
• В отличие от ситуации с IRC (когда у протокола отобрали популярность коммерческие инструменты) и Gopher (рост которого погубил внезапный переход на коммерческую модель), FTP сейчас уходит из веб-браузеров потому, что его возраст подчёркивает отсутствие инфраструктуры безопасности.
• Самые распространённые способы его использования, например, для организации публично доступных анонимных FTP-серверов, по сути, потеряли свою популярность. А в своей основной нише он в конечном итоге был заменён более защищёнными и современными версиями, например SFTP.
• Уверен, что какой-нибудь технарь может заявить, что FTP никогда не умрёт, потому что для него всегда найдётся специализированная область применения. Да, это возможно. Но у подавляющего большинства людей после отключения FTP в браузере Chrome, вероятно, не будет причин искать способы подключиться к нему снова.
• Если уход FTP из веб-браузеров ускорит его окончательную гибель, то быть по сему. Однако в течение пятидесяти с лишним лет, меняя версии и вариации, он служил нам верой и правдой.
#Разное
👩💻 Как зарождался Linux?
• 25 августа 1991 года, ровно 33 года назад, в USENET-конференции comp.os.minix появилось сообщение от молодого человека по имени Линус Бенедикт Торвальдс о том, что он создал бесплатную операционную систему для 386 и 486-совместимых ПК, с отдельным примечанием: в качестве хобби, новинка не претендует на лавры серьезного профессионального проекта вроде GNU. Так началась история Linux.
• 1988 году Ларс Вирзениус (однокурсник Торвальдса) окончил среднюю школу и поступил в Хельсинкский университет на факультет информатики. В сентябре его пригласили в клуб для шведоговорящих студентов «Спектрум», где состояли ребята, интересующиеся информатикой, физикой, химией и другими точными науками. Там он и познакомился с Линусом Торвальдсом. По воспоминаниям Ларса, в университете было несколько компьютерных классов, в которых стояли «маки» и персоналки с MS-DOS, а также терминалы, подключенные к мейнфрейму VAX/VMS. Среди этого великолепия обнаружился один-единственный старенький компьютер от DEC с операционной системой Ultrix — одной из версий BSD Unix. MS-DOS не нравилась Ларсу своими ограниченными возможностями, графический интерфейс Mac OS показался ему неудобным, и он оккупировал машину с Ultrix. Однажды, работая в терминале, Вирзениус опечатался в команде rm, набрав вместо нее rn — и совершенно случайно открыл для себя мир конференций USENET, где общались тысячи IT-специалистов и компьютерных энтузиастов с разных уголков планеты. Своей необычной находкой Ларс поспешил поделиться с Линусом Торвальдсом.
• Один из циклов в университете Хельсинки был посвящен программированию на С в Unix. К тому моменту Вирзениус неплохо знал С, Торвальдс тоже умел программировать на этом языке, при этом оба были постоянными участниками конференции comp.lang.c, сообщения которой они читали с университетского компьютера DEC. Поэтому содержание лекций казалось им не слишком интересным — значительная часть теории была им уже знакома. Ларс и Линус сдавали лабораторные работы экстерном, соревнуясь между собой, кто уложит очередную программу из учебного задания в меньшее количество строк кода.
• На рождество 1990 года Торвальдс решил сделать себе подарок: он взял льготный студенческий кредит и 5 января купил 386-й компьютер. На этот компьютер Торвальдс действительно установил MINIX, но основной проблемой, которая злила и бесила его, было отсутствие нормальной поддержки многозадачности. Больше всего Торвальдс хотел организовать модемный доступ со своего ПК на университетский компьютер DEC, чтобы комфортно читать из дома любимые конференции USENET, но ни одна из существовавших тогда терминальных программ его не устраивала — в каждой чего-нибудь, да не хватало. Перепробовав кучу вариантов, Торвальдс начал писать собственный терминал. Причем он пошел нестандартным путем: вместо того чтобы использовать довольно ограниченные возможности MINIX, он решил, что его программа будет работать с «железом» напрямую, не опираясь на ресурсы ОС.
• Спустя определенное время терминал стремительно разрастался, превращаясь в ядро новой ОС: вскоре он обзавелся собственным драйвером жесткого диска и драйверами файловой системы. Постепенно, день ото дня, MINIX на его компьютере мутировал в Linux. Правда, изначально проект назывался по-другому: Торвальдс придумал смешное словечко Freax — сборную солянку из слов «Free» «Freak» и «Unix», и попросил администратора сайта ftp.funet.fi Ари Леммке выложить на этот портал исходники его терминала. Но Леммке решил назвать папку на сервере по имени автора софта, добавив к нему окончание от «Unix» — получилось «Linux». Название прижилось, хотя строку «Freax» все еще можно найти в makefile ранних версий ядра Linux.
• Получается, Linux появился на свет не из-за амбиций разработчика, желавшего сделать «MINIX лучше самого MINIX», а как следствие скромного желания читать почту в любимых конференциях, не покидая пределы родного дома. Как говорится, великие вещи порой рождаются случайным образом, но для их появления на свет все равно нужны талант и упорство.
#Linux #Разное
👩💻 Бесплатный мини-курс: PostgreSQL для новичков.
• Достаточно хороший и бесплатный курс от Selectel, если хотите погрузиться в мир PostgreSQL. В этом курсе говориться про установку и настройку базы данных PostgreSQL, как ими управлять, организовать резервное копирование и репликацию. А главное — что делать, если администрировать самим БД не хочется.
- Подойдет ли PostgreSQL вообще всем проектам или нужны альтернативы;
- Установка и использование PostgreSQL в Ubuntu 22.04;
- Как настроить репликацию в PostgreSQL;
- Резервное копирование и восстановление PostgreSQL: pg_dump, pg_restore, wal-g;
- Установка и настройка PostgreSQL в Docker;
- Установка пулера соединений PgBouncer для PostgreSQL;
- Популярные расширения для PostgreSQL: как установить и для чего использовать;
- Как создать пользователя в PostgreSQL;
- Как узнать версию PostgreSQL;
- DBaaS: что такое облачные базы данных;
- Как работают облачные базы данных PostgreSQL;
- Как начать работу с облачной базой данных PostgreSQL;
- 8 книг по PostgreSQL для новичков и профессионалов;
- Морской бой на PostgreSQL.
#PostgreSQL
📶 Первые программы для удаленного доступа.
• Удалённый доступ был одной из тем для разработки компьютерного ПО в течение десятков лет — ещё на заре компьютеров люди получали доступ к сетям мейнфреймов через терминалы.
• Важнейшим инструментом в истории ПО удалённого доступа стал Carbon Copy — программа, позволявшая пользователям получать доступ к удалённым компьютерам на расстоянии и управлять ими так, как будто они находятся рядом. Это ПО компании Meridian Technologies, впервые появившееся в середине 1980-х, оставалось резидентной программой в памяти DOS, позволяя удалённым пользователям созваниваться с компьютером и управлять им по телефонной линии.
• Для своего времени это был впечатляющий трюк, и к тому же довольно непонятный — в статье PC Magazine за 1986 год эта категория продуктов называется «достаточно новой, чтобы оставаться неизвестной для большинства пользователей PC».
• Carbon Copy, на следующий год получившая замечательный и глубокий отзыв в InfoWorld, стала считаться одним из первых лидеров рынка. Примерно в тот же период начали появляться и другие подобные инструменты, например, Norton pcANYWHERE. В то время, когда Интернет не был распространён повсеместно, такие платформы работали через стандартные модемы и требовали созваниваться с удалённой машиной по телефонной линии.
• Чрезвычайно привлекательной стала перспектива получения удалённого доступа к более мощным компьютерам, особенно после появления GUI. В статье в InfoWorld за 1988 год пользователям продавался инструмент удалённого доступа Timbuktu (на фото) для компьютеров Mac, работавший по локальным сетям и через модемы. Он позиционировался как способ использования мощных компьютеров на более скромном оборудовании. (Но, увы, без цвета.)
• Разумеется, эта технология со временем эволюционировала и не стояла на месте: вскоре инструменты наподобие pcANYWHERE совершили переход с DOS на Windows, и ПО для удалённого доступа начало становиться всё более платформонезависимым, упрощая задачу управления машинами за пределами офиса. В результате этого удалённый доступ стал важным элементом инструментария отделов ИТ по всему миру...
#Разное
👨💻 Анализ безопасности Wi-Fi.
• Подробное исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3: какие атаки и уязвимости существуют, и какой инструментарий применяется для их эксплуатации.
• Все эксперименты проводились на ноутбуке с #Kali Linux, при помощи адаптера TP-Link Archer T3U Plus, беспроводного роутера Keenetic-8990 и смартфона в качестве клиента.
• Содержание:
- Краткий экскурс в историю;
- Разбор атак на WPA2-PSK;
- Разбор атак на WPA2-Enterprise;
- Разбор атак на WPA3;
- Стратегии защиты;
- Полезные источники (книги, статьи, презентации).
➡ Читать статью [13 min].
#WiFi
🔐 10 способов обхода Windows Defender.
• В этой статье автор подробно рассказывает о 10 способах и техниках обхода Windows Defender с целью выполнения произвольного кода. Содержание статьи следующее:
- In-Memory AMSI/ETW patching;
- Обфускация кода;
- Обфускация во время компиляции;
- Обфускация бинарных файлов;
- Зашифрованная инъекция шеллкода;
- Загрузка шеллкода;
- Пользовательские инструменты;
- Инсценировка полезной нагрузки;
- Рефлексивная загрузка;
- Сборки P/Invoke C#.
#Windows #AV #Пентест
📶 SSH Honeypot.
• Автор этого материала в течении 30 дней автор собирал статистику со своего запущенного SSH-ханипота. Тема может и заезженная, но почитать будет полезно. Особенный интерес к командам, которые выполняются ботами после логина. Статься тут: https://blog.sofiane.cc/ssh_honeypot/
• А еще, у есть пошаговый мануал по настройке такого SSH-ханипота. Это на тот случай, если захотите повторить исследование и получить определенный опыт: https://blog.sofiane.cc/setup_ssh_honeypot/
#SSH #Honeypot