Архив метки: malware

Правка 9^2 и рациональность блокировок информации

Правка 9^2 и рациональность блокировок информации

Правка 9^2 и рациональность блокировок информации. Пытаться бороться с кибермошенничеством путём блокирования любой информации, которая потенциально может быть использована в кибератаках всё равно, что для борьбы с убийствами кухонными ножами (а доля таких убийств действительно очень высока) запрещать информацию в Интернет обо всём колюще-режущем, включая хирургические скальпели. Вреда от этого точно будет больше, чем пользы. 🤷‍♂️

Следует ли из этого, что никакую информацию блокировать не нужно? 🤔 Вовсе нет. Но для блокировок должна прослеживаться чёткая связь между совершёнными преступлениями и информацией, которую преступник получил в Интернет.

В контексте ножей это может быть специфическая информация о тактике применения холодного оружия и призывы "браться за ножи". 🔪 А в контексте кибербезопасности - информация о практическом применении однозначно вредоносного ПО (конкретные разновидности троянов, шифровальщиков, вирусов, и т.д.) с противозаконными целями. 🚔

Злоумышленники распространяют в соцсетках вредоносное приложение под видом эксплоита для regreSSHion (CVE-2024-6387)

Злоумышленники распространяют в соцсетках вредоносное приложение под видом эксплоита для regreSSHion (CVE-2024-6387)

Злоумышленники распространяют в соцсетках вредоносное приложение под видом эксплоита для regreSSHion (CVE-2024-6387). Как сообщают эксперты Kaspersky, атака рассчитана на специалистов по компьютерной безопасности. Злоумышленники предлагают жертвам исследовать архив, который якобы содержит рабочий эксплойт, список IP-адресов и некую полезную нагрузку.

🔻 Исходный код напоминает слегка отредактированную версию нефункционального proof-of-concept эксплоита для этой уязвимости, который уже был в паблике.

🔻 Один из Python-скриптов имитирует эксплуатацию уязвимости на IP-адресах из списка. На самом деле он запускает вредоносное ПО для закрепления в системе и скачивания дополнительной полезной нагрузки. Зловред модифицирует /etc/cron.hourly и запуск команды ls.

Если исследуете чужой код, делайте это в надёжно изолированной среде и имейте в виду, что вас могут попытаться таким образом нахрапом атаковать. 😉

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199). Напомню, что информация об уязвимости вышла на первой неделе марта вместе с подробным описанием от компании Rapid7. Благодаря этому описанию, скрипт для эксплуатации уязвимости появился на гитхабе всего через несколько часов. Скрипт очень простой и сводится к созданию аккаунта администратора одним запросом. Естественно после этого уязвимость начали активно эксплуатировать злоумышленники. 😈

Согласно Trend Micro, делают они это для:

🔻 Распространения программы-вымогателя Jasmin
🔻 Развертывания криптомайнера XMRig
🔻 Развертывания маяков Cobalt Strike
🔻 Развертывания бэкдора SparkRAT
🔻 Выполнения команд для закрепления в инфраструктуре (domain discovery and persistence)

Для каждой цели эксплуатации приводят описание как именно это происходит.

Когда CVE это инцидент: затрояненный 3CX DesktopApp (CVE-2023-29059)

Когда CVE это инцидент: затрояненный 3CX DesktopApp (CVE-2023-29059)

Когда CVE это инцидент: затрояненный 3CX DesktopApp (CVE-2023-29059). Это давнишняя мартовская история. Пример того, на что иногда могут выдать CVE идентификатор. 3CX DesktopApp это десктопное приложение-мессенджер с возможностью совершать телефонные звонки. 29 марта этого года выяснилось, что некоторые версии этого приложения под Windows и MacOS были затроянены на стороне вендора. Качаешь приложения с официального сайта - получаешь троян (infostealer). Классическая Supply Chain Attack. Ситуация достаточно распространенная. Можно хотя бы вспомнить Free Download Manager. Но вот то, что под неё CVE завели - редкость.

Когда я попытался определить тип такой внесённой "уязвимости", это вогнало меня в лёгкий ступор. В описании только про "has embedded malicious code" и перечень версий. NVD также умыли руки и выставили NVD-CWE-noinfo (Insufficient Information).

В итоге я решил, что раз злоумышленники получили эффект равный эксплуатации RCE, то пусть будет "как бы RCE". 🙂

Прожектор по ИБ, выпуск №4 (24.09.2023)

Прожектор по ИБ, выпуск №4 (24.09.2023). Записали вчера очередной эпизод, состав тот же:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

0:35 Как зашёл прошлый эпизод
2:08 Лев и Максим делятся впечатлениями от Kazan Digital Week
7:06 На какие мероприятия по ИБ мы ходим
11:06 Приостановка сертификата ФСТЭК на Dr.Web Enterprise Security Suite
19:04 Cisco покупает Splunk
25:59 Про RCE уязвимость BDU:2023-05857 в модулe landing CMS "1С-Битрикс: Управление сайтом".
30:02 Новые подробности инцидента с FDM и скрипт для детекта
32:21 Занятные моменты детектирования Linux уязвимостей на примере CVE-2022-1012, RPM-based дистрибутивы и импортозамещение
44:02 Прощание от Mr. X

Прожектор по ИБ, выпуск №3 (19.09.2023)

Прожектор по ИБ, выпуск №3 (19.09.2023). С небольшим опозданием записали вчера очередной эпизод. Состав тот же:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:40 Читаем комментарии к прошлому эпизоду
05:01 Сентябрьский Microsoft Patch Tuesday
5:42 Втихую исправленные уязвимости в Exchange
11:31 RCE в libwebp
16:39 ThemeBleed
21:28 В ИБ команде Тинькофф классно
24:27 Затрояненный Free Download Manager
32:31 Эмодзи как подпись
38:09 Очереди в МФЦ на удаление биометрии?
42:02 Прощание от Mr. X

Скачиваешь программу с официального сайта - получаешь малварь

Скачиваешь программу с официального сайта - получаешь малварь

Скачиваешь программу с официального сайта - получаешь малварь. Кейс огненный 🔥 и опять-таки про доверие вендорам ПО. Есть такая кроссплатформенная утилита для скачки файлов Free Download Manager. Так вот, Касперские пишут, что на официальном сайте этой утилиты три года раздавали затрояненный FDM. 😱 Причём

1. Это касалось только Linux-овой версии.
2. Затрояненное ПО скачивалось не всегда, а с некоторой вероятностью и видимо в зависимости от цифрового отпечатка жертвы.
3. Сам вендор был похоже не в курсе. 🤷‍♂️ Типа сайт подломили.

После заражения устройства злоумышленники собирали сведения о системе, историю просмотров, сохраненные пароли, файлы криптовалютного кошелька и учетные данные для облачных сервисов.

Что с этим делать непонятно. Я и сам частенько забираю актуальные версии софта с официальных сайтов в формате AppImage. 🙄 Например, Inkscape или OpenShot. Тоже мог бы попасться на подобную атаку. Видимо EDR в Linux становится вполне себе насущной необходимостью. 🧐