Киберпиздец. Страница 8

Хотите покажу простой способ заставить жертву установить что угодно?

samperson.itch.io/desktop-goose

Признайтесь, самим захотелось?

История от ребят из Skyscanner о переезде на Kubernetes и внедрении Falco — бесплатного опенсорсного инструмента для мониторинга контейнеров на момент аномальной активности и угроз. Судя по тексту, несмотря на объемы (~2000 нод в ~30 кластерах), внедрение Falco никак не повлияло на производительность контейнерной инфраструктуры.

Для успешной интеграции дополнительно потребовалось:

- прикрутить Prometheus для мониторинга внезапных падений модулей Falco;
- включить по-умолчанию во все ноды модуль Falco;
- настроить систему хранения и визуализации событий с Falco (ELK, Splunk);
- организовать процесс инвентаризации контейнерной инфраструктуры, с информацией о владельце, ресурсах и ответственных, для каждого из сервисов, чтобы знать в случае чего к кому бежать;
- автоматизировать рассылку уведомлений безопасности до ответственных за тот или иной сервис (через Slack бота).

https://medium.com/@SkyscannerEng/kubernetes-security-monitoring-at-scale-with-sysdig-falco-a60cfdb0f67a

Вышел Kali Linux 2020.1

- Теперь без рута по-умолчанию.
- Убрали все инструменты, зависящие от Python2.
- При установки теперь используется единый образ, инструменты выбираются во время установки.
- Внешний вид стал еще ванильнее.

Кстати, для телефонов появился NetHunter Rootless, не требующий рута, но с некоторыми ограничениями по функциональности.

"Легким движением руки брюки превращаются... в элегантные шорты"

Подробнее: https://www.kali.org/releases/kali-linux-2020-1-release/

Говорят, есть пять стадий понимания SSRF.

1) Отрицание
Это не бага, а фича!

2) Злость
Импакта нет и не будет!

3) Торг
Ну может быть, в редких случаях.

4) Депрессия
Всякие чуваки показывают трюки SSRF => RCE

5) Принятие
Ты сам проверяешь и пытаешься эксплуатировать эту багу.


Написал заметку о том, что можно выжать из Blind SSRF.

Альтернативные способы узнать имена таблиц в MySQL или MariaDB, не обращаясь к information_schema.

Одним материалом рекомендую не ограничиваться, там у автора много полезной информации по ковырянию этих БД.

https://osandamalith.com/2020/01/27/alternatives-to-extract-tables-and-columns-from-mysql-and-mariadb/

​Список side-channel атак на процессоры Intel пополнился еще двумя новыми атаками, способными привести к раскрытию информации:

CVE-2020-0549, L1DES - L1D Eviction Sampling
CVE-2020-0548, VRS - Vector Register Sampling

История уже вам знакомая: новое исследование, все то же спекулятивное выполнение в Microarchitectural Data Sampling (MDS) и TSX Asynchronous Abort (TAA), много времени на эксплуатацию и низкий CVSS Score.

К слову L1DES представляет чуть большую опасность т.к позволяет получить даже удаленную информацию из кэша первого уровня L1. Intel заверяет, что за пределами лаборатории атаки замечены не были и уже работает над исправлениями.

Уникальный логотип и сайт прилагаются.

https://cacheoutattack.com/
https://www.opennet.ru/opennews/art.shtml?num=52260

Сегодня на хабре шеймят Hyundai и еще несколько автодилеров, данные которых лежат в открытом доступе, и которые пока никто не собирается убирать. А все из-за халатности и не выключенного debug режима в одном популярном php-фреймворке.

Shame on you!

https://habr.com/ru/post/485344/

Не все знают, но у Яндекса уже давно есть утилитка gixy для статического анализа мисконфигов в Nginx, позволяющая избежать множества проблем при конфигурировании любимого веб-сервера. И ребята ее постоянно обновляют вместе с документацией.

Так что при копировании очередных сниппетов с гитхаба, прогоните их хотя бы с помощью gixy :)

https://github.com/yandex/gixy

В мае стартует Positive Hack Days 10, но уже сейчас можно попытать удачу в Call For Papers и заявиться к организаторам с классным докладом.

Заявки принимаются до 31 марта.

https://www.phdays.com/ru/press/news/stante-dokladchikom-positive-hack-days-10-nachalsya-call-for-papers/

Распространенные методы сокрытия .bash_history

https://secbytes.net/Hiding-Your-Tracks-Bash-History/

ФСТЭК опубликовала официальное письмо по поводу прекращения поддержки Windows 7.

Если коротко: ФСТЭК с 1 июня исключает все сертификаты, выданные для Microsoft Windows 7 и Microsoft Windows Server 2008/R2 и рекомендует обновиться на сертифицированные и обновляемые ОС.

Ну а до 1-го июня пристально следить за машинками, работающими на упомянутых ОС и оперативно мигрировать специфичное прикладное ПО под новые версии ОС.

Блог Лукацкого > https://lukatsky.blogspot.com/2020/01/windows-7.html
Письмо > https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2016-informatsionnoe-soobshchenie-fstek-rossii-ot-20-yanvarya-2020-g-n-240-24-250

Новости, которые вы заслужили:

Основатель и совладелец российской компании Group-IB Илья Сачков создал телеграм канал с добрыми мемами.

Думаете я шучу? Киберпиздец какой-то...

https://www.instagram.com/stories/sachkot/2226220071406756512/
https://t.me/memiskrepi

В Microsoft Internet Explorer с 9 по 11 версии обнаружен 0-day, позволяющий удаленно выполнить произвольный код.

Уязвимость затрагивает скриптовый движок JScript, обрабатывающий языки vb и js. Любое приложение, поддерживающее компоненты Internet Explorer или его скриптового движка, может быть использовано в качестве вектора атаки для данной уязвимости (CVE-2020-0674).

Проблема затрагивает Windows 7-10 (бедная семерка), а также серверные ОС c 2008 по 2016.

Официального патча на сегодняшний день нет. На неделе ждем заплатку, а пока только рекомендации от Microsoft по ограничению доступа к JScript.dll.

MSRC > https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200001

Больше информации > https://www.reddit.com/r/blueteamsec/comments/equ1hq/cve20200674_microsoft_internet_explorer_0day/

Открыта регистрация на Metasploit Community CTF
Игра начинается 30 января.

Регистрация > https://metasploitctf.com/
Подробнее > https://blog.rapid7.com/2020/01/15/announcing-the-2020-metasploit-community-ctf/

Вчера АНБ зарепортило в Microsoft серьезную криптографическую уязвимость, связанную с библиотекой Crypt32.dll, которая обеспечивает проверку подлинности сертификатов ECC Windows CryptoAPI. Уязвимость получила название NSACrypt (CVE-2020-0601) и затрагивает…

Вчера АНБ зарепортило в Microsoft серьезную криптографическую уязвимость, связанную с библиотекой Crypt32.dll, которая обеспечивает проверку подлинности сертификатов ECC Windows CryptoAPI.

Уязвимость получила название NSACrypt (CVE-2020-0601) и затрагивает Windows 10 и Windows Server 2016/19.

Суть заключается в том, что злоумышленник, воспользовавшись уязвимостью, может подделать цифровую подпись исполняемого файла на легитимную и понять, что файл вредоносный будет практически невозможно. Помимо этого можно делать MITM при использовании любого скомпроментированного ПО.

Уже выпущены обновления безопасности > https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
Репорт > https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
Подробнее > https://gist.github.com/SwitHak/62fa7f8df378cae3a459670e3a18742d

Сегодня последний день, когда вы можете получить на свою "семерочку" свежие обновления. Начиная с завтрашнего дня поддержка Windows 7 и Windows Server 2008/R2 официально прекращается.

Аминь.

⚰️ — покойся с миром.
👨🏻‍💻 — Чёрд, пора бы АДешку мигрировать...

​​Кстати о ханипотах, вот готовый под Shitrix появился. Определяет попытки сканирования и эксплуатации CVE-2019-19781.

> https://github.com/MalwareTech/CitrixHoneypot

А вообще, для любителей подобных штук, есть супер удобный инструмент T-Pot, позволяющий в считанные минуты развернуть свою Honeypot-лабораторию с кучей сервисов, интерфейсом управления и крутой визуализацией.

Для любителей похвастаться перед начальством будет самое то :)

> https://github.com/dtag-dev-sec/tpotce