Најди сличен содржај

Субботний день 24 октября 2020 года выдался дождливым, ветреным и довольно прохладным — впрочем, такую погоду можно назвать типичной для осеннего Хельсинки. Люди прятались от промозглой сырости в уютных кафе и ресторанах, пили горячий чай и глинтвейн, стараясь отдохнуть за выходные от насущных дел. Внезапно их мобильные телефоны — практически одновременно, с разницей в секунды — начали оживать, сигнализируя о пришедших по электронной почте сообщениях. Студенты, политики, учителя, врачи, водители, и даже безработные вглядывались в экраны с тревогой и ужасом. Эти люди никогда раньше не встречались и никогда не увидятся в реальности. У них не было ничего общего — кроме одного: несколько лет назад каждый из них зашёл в кабинет психотерапевта известной сети центров психологической помощи Vastaamo и закрыл за собой дверь. То, что они говорили за той дверью, должно было навсегда остаться там же. Но теперь неизвестный хакер утверждал: он располагает всеми записями этих сессий, включая имена, даты и самое главное — подробные признания пациентов. Двести евро в биткоинах — и похищенная информация не будет опубликована в общем доступе. На раздумья — двадцать четыре часа. Время пошло. • Финские журналисты назвали этот взлом самым громким киберпреступлением в истории страны. Молодому парню, которого несколько лет разыскивал Интерпол, удалось взломать финскую терапевтическую компанию! Хакер разослал жертвам более 33 тыс. писем и потребовал выкуп за нераспространение информации. В итоге 24 тысячи пострадавших обратились в полицию, хакер залил всю информацию в дакнет на всеобщее обозрение, но в конечном итоге был пойман из-за собственной невнимательности и неосторожности. Подробности этой истории по ссылке ниже. Рекомендую к прочтению: ➡️https://habr.com/ru/post/1023772 #ИБ

• Нашел хорошую заметку с всевозможными ресурсами (курсами, CTF, карьерными треками, документацией и всего прочего) для старта карьеры в ИБ. • Заметка будет крайне полезна не только студентам, но и уже практикующим специалистам. Забирайте по ссылке ниже и добавляйте в закладки: ➡️https://www.notion.so/ib #ИБ

🍎 Блокировка iPhone через iCloud. • В группе у Вилсаком была опубликована история про девушку, которая оказалась жертвой скамеров и лишилась аккаунта Apple, а её iPhone превратился в кирпич. Схема не совсем стандартная, но ничего особенного тут нет. Цитирую дословно: Моя девушка была в поиске работы и сидела на hh.ru всем нам знаменитый сайт для поиска работы. Все было как всегда, отклик, далее созвон, переписка с будущим работаюодателем, далее игнор. Прошло пара месяцев и они появились на горизонте, извинились за игнор, сказали, что предыдущий смм-менеджер не оправдал надежд, поэтому вспомнили про мою девушку, она выполнила тестовое задание, ее взяли на работу, договорились создать общий чат с работодателем и еще одной девочкой на стажировке, сказали, что выбирать будут между ними. В этот чат работодатель скинул ссылку на CRM, чтобы подключить в общую систему организации, это выглядело довольно обычной процедурой, во многих организациях так, НО в данном случае нужно было авторизовываться через свой Эплайди, компания была про гаджеты эпл, поэтому это тоже не сильно смутило, ссылка и содержимое ссылки была знаменитая amoCRM, ничего мою девушку здесь не смутило и меня бы на ее месте тоже. Далее после авторизации сайт начал выдавать ошибку, якобы пароль и логин неверный, и не пускал в систему. Она не могла зайти, а вторая девушка в чате, писала якобы у нее все получается и уже приступила к выполнению работ. Моя девушка начала паниковать, что ее соперница уже выполняет задания и в выигрышном положении. Работодатель моей девушке посоветовал сбросить код и пароль, якобы это могло помочь. Как только в панике моя девушка это сделала, ее телефон превратился в кирпич, как и у ребят с дайвинчика. Та же самая надпись украденного телефона. Но в нашем случае был украден сам аккаунт эпла. Начали требовать 14к, я запретил своей девушке даже думать о том, чтобы скинуть хоть рубль, мы столкнулись с этим впервые, поэтому начали смотреть ремонтников и сервисы, никто ничего не смог сделать. Кирпич сдали на запчасти. Купили новый. Повезло что неделю назад сломался макбук, и он лежал в этот момент в сервисе без эплайди, иначе мак тоже бы превратился в кирпич. Так что ребят всегда будьте начеку, даже с работодателями на Хх.ру особенно с работой на удаленке. Очень грамотный прогрев длиной в два месяца и далее работа над психологией с подставным соперником, у которого все получается. Теперь не просто блочат телефон, а крадут аккаунты, слава богу что им досталась только галлерея, где не было ничего интересного или того, чем можно было бы шантажировать. • Забавно, что данная схема существовала еще 12 лет назад и остается актуальной по сей день. Но что делать в такой ситуации? Недавно у PT вышел огромный лонгрид на хабре, в котором описаны возможные варианты решения проблемы и приведена шпаргалка (на фото), описывающая основные шаги по восстановлению работоспособности устройства. ➡️https://habr.com/ru/post/921382 #ИБ

• Все же знают, что iOS не позволяет просто скачать и запустить любое приложение из сторонних источников, в отличии от Android? Так вот, это не совсем так, и способом описанным ниже активно пользуются злоумышленники для распространения вредоносного ПО на iOS. • Дело в том, что Apple предоставляет разработчикам, участвующим в программе Apple Developer, так называемые provisioning-профили. Они позволяют загружать на устройство пользователя сертификаты разработчика, которые iOS в дальнейшем использует для проверки цифровой подписи приложения и определения, можно ли его запускать. Помимо собственно сертификата, в provisioning-профилях содержится его срок годности, предоставляемые приложению разрешения и прочие данные о разработчике и программе. При установке профиля на устройство сертификат становится доверенным, а подписанное им приложение — доступным для запуска. • Provisioning-профили могут быть нескольких видов. Отладочные профили используются для тестирования приложений и распространяются только на заранее заданный набор устройств. Профили App Store Connect позволяют публиковать приложения в App Store. Enterprise-профили созданы для того, чтобы организации могли разрабатывать и устанавливать на устройства своих сотрудников приложения для внутреннего пользования без публикации в App Store и без ограничений по числу устройств. Хотя участие в программе Apple Developer платное и предполагает проверку разработчика со стороны Apple, нередко Enterprise-профили используются как разработчиками программ, не подходящих для распространения в App Store (например, кряков, читов или пиратских модификаций популярных программ), так и авторами вредоносного ПО. • Кстати, таким образом распространялась малварь SparkCat, которая была нацелена на получение доступа к криптокошелькам своих жертв. Если интересно, то подробный разбор распространения SparkCat есть вот тут. Ну а пример установки provisioning-профиля, устанавливаемого для запуска вредоносной модификации можете наблюдать на скриншоте выше. Такие вот дела... #ИБ

• Поговорим немного про фишинг, мошенничество и социальную инженерию. Всё чаще замечаю, что идёт большая волна мошенничеств с крупными ритейлерами, особенно теми, кто торгует электроникой. Скамеры копируют сайт с бытовой техникой до деталей и рассылают спам-письма с приглашением купить электронику по сниженным ценам. • Скажете, схема далеко не новая, но есть несколько важных деталей. Главное, сайты вешаются не на сами домены, а на поддомены. Смысл в том, что у крупняка есть подразделения brand protection и если вешать свой скам на домен, похожий на название целевого сайта, то его будет легко найти. А по поддоменам нормального массового поиска не существует. Я искал =)) • Остается только проверять сайты точечно. Для этого подойдёт инструмент subdomain finder от osint.sh, или же поиск поддоменов от Pentest Tools. Есть и другие варианты, но эти - одни из самых, популярных. • Есть ещё вариант. Называется Typesquatting Finder. Он сделает перебор всех вариаций вашего сайта и пропингует более 5 тысяч различных вариантов. И там да, есть поиск поддоменов. Работает не фонтан, но работает. Лучше, чем ничего. Так что пользуйтесь на здоровье! Всем безопасности! #ИБ

• Автор этой статьи описывает методы по поиску секретов в git-репозиториях. Дело в том, что если вы удаляете секреты из репо, данные все равно можно будет восстановить через .git/objects. Если верить автору, то он смог автоматизировать процесс поиска и найти различные токены, учетные данные и ключи API, что принесло ему около $64 тыс. ➡️https://medium.com/@sharon.brizinov/ [VPN]. • В дополнение ⬇️ • Инструменты grep.app и code-search — предназначены для поиска по тексту и коду, с удобным интерфейсом для поиска в публичных репо. Эти тулзы будут полезны не только разработчикам, но и помогут в защите от утечек данных!Основные возможности следующие: ➡Поиск по публичным репозиториям; ➡Поддержка регулярных выражений; ➡Фильтрация по языкам программирования; ➡Поиск с учетом регистра; ➡Оптимизация для быстрого поиска. ➡https://grep.app ➡https://github.com/features/code-search #ИБ

• Оказывается, что у ребят из Wiz есть актуальная и очень объемная база данных, которая содержит перечень уязвимостей с прицелом на облачные инфраструктуры. • Каждая запись содержит информацию по наличию эксплойтов, технические детали, риски, рекомендацию по исправлению и еще кучу другой информации: ➡️https://www.wiz.io/vulnerability-database • Однозначно добавляем ресурс в нашу коллекцию: ➡MITRE CVE — база данных, поисковик и классификатор уязвимостей. ➡opencve.io — поисковик CVE с функционалом оповещений о новых угрозах. ➡Vulnerability Database — ресурс для поиска информации об актуальных угрозах. ➡sploitus — поисковик по эксплойтам и необходимым инструментам. ➡CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени. ➡GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности. ➡Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения. ➡Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг. ➡osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации. ➡security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом. ➡Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit. ➡fedi sec feeds — агрегатор обсуждаемых уязвимостей, который является аналогом cvecrowd. Формирует информацию в красивый список и выдает подробное описание уязвимости (оценка CVSS, описание, обсуждения, ну и т.д.). #ИБ

• Нашел очень крутой агрегатор новостей для ИБ специалистов, который парсит соответствующие ресурсы и формирует список в зависимости от категорий: ➡Application Security; ➡Cloud Security; ➡Cryptography; ➡Exploit Development; ➡Computer Forensics; ➡Industrial Control Systems; ➡Network Security; ➡Reverse Engineering; ➡Social Engineering; ➡Operating System; ➡Malware Analysis. • Судя по описанию, сервис использует ИИ от OpenAI, имеет интеграцию с Shodan и базой NVD, а еще там есть открытое api. ➡️ Сервис доступен по этой ссылке: https://talkback.sh ➡️ Подробное описание можно найти тут: https://www.elttam.com/blog/talkback-intro #ИБ

👾 Разбор CVE-2025-24071. • Речь пойдет про уязвимость CVE-2025-24071, которая позволяет атакующим получить NetNTLMv2 - хеш суммы паролей в результате некорректной обработки файлов .library-ms в Windows Explorer. • Суть заключается в том, что при распаковке файла из RAR-/ZIP-архива Windows Explorer из-за доверия к файлам .library-msавтоматически анализирует их. Если в теге <url> указана ссылка на SMB-шару атакующего, то происходит автоматическая попытка NTLM-аутентификации с вытекающей из этого кражей NetNTLMv2-хешей учетной записи жертвы. Как было замечено исследователями, уязвимость также эксплуатируется при обычном сохранении вложения письма в файловую систему. Также было выявлено, что аутентификация на удаленной SMB-шаре будет необходима при любой работе с файлом .library-ms, включая его создание, удаление или перемещение по диску. • В данной статье автор продемонстрировал процесс эксплуатации CVE-2025-24071, описал суть уязвимости, генерируемые при активности события, а также предложения по детектированию. Стоит отметить, что, хотя, по версии Microsoft, уязвимость не будет популярна в публичной эксплуатации, она может быть крайне популярна в фишинговых кампаниях из-за широкой применимости в новейших ОС, а также из-за простоты эксплуатации. ➡Читать статью [7 min]. • К слову, данная уязвимость продавалась в даркнете до выхода патча от Microsoft. Цена начиналась от 200к баксов (на фото). #ИБ

• Мало кто знает, что у ОС Whonix есть очень крутой раздел с документацией (Wiki), которая содержит в себе ценные знания для изучения вопросов анонимности и безопасности в сети. Информации там гораздо больше, чем в большинстве ТОП'овых курсов. Рекомендую для изучения: ➡https://www.whonix.org/wiki/Documentation #ИБ

• Хакеры постоянно совершенствуют методы своих атак, используя определенные знания о принципах работы систем защиты. Например, уже давно появилось целое направление техник обхода песочниц: такие методы позволяют определять, что вредоносное ПО выполняется в контролируемой виртуальной среде, и, исходя из этого, менять его поведение или завершать работу. По ссылке ниже можно ознакомиться с такими методами и за одно проверить свой sandbox: ➡️https://github.com/ayoubfaouzi/al-khaser #ИБ

🔑 DefaultCreds. • Дефолтные пароли на сетевых устройствах встречаются чаще, чем может показаться на первый взгляд. В интернете открытыми портами наружу торчат сотни роутеров не только частных пользователей, но и корпоративных сетей. Держите ссылку на репозиторий, где собрано огромное количество стандартных комбинаций логин/пароль, используемых на множестве устройств и сервисов: ➡https://github.com/ihebski/DefaultCreds-cheat-sheet #ИБ