Перейти к содержимому
  • *** ПРИВЕТСТВУЕМ ВСЕХ! ***

    Если вы хотите задать какой-либо интересующий вас вопрос, но не знаете, где его разместить, - для этого создан Раздел на форуме Задай вопрос-получишь ответ

    Создан скрипт для восстановления удаленных хакерским инструментом АНБ логов

    DiW
    Автор: DiW,
      Эксперты компании Fox-IT представили написанный на Python скрипт, позволяющий восстановить записи в журнале событий, удаленные утилитой eventlogedit на скомпрометированных компьютерах. Eventlogedit является частью предполагаемого хакерского инструмента Агентства национальной безопасности (АНБ) США под названием DanderSpritz, который в числе других программ был выложен в открытый доступ кибергруппировкой The Shadow Brockers в минувшем году. Скрипт под названием danderspritz-evtx опубликован на портале GitHub.   На самом деле утилита не удаляет или изменяет записи в журнале, а только совмещает их, делая «удаленную» запись частью предыдущей. По умолчанию, DanderSpritz совмещает одну или две «компрометирующие» записи с «чистым» логом. Таким образом при чтении подделанного файла Журнал событий прочитает чистую запись, увидит конечный тег и проигнорирует весь «плохой» контент, пояснили исследователи. Этот ловкий трюк позволяет злоумышленникам скрыть свои действия на скомпрометированных устройствах.   По словам специалистов, разработанный ими скрипт позволит другим исследователям восстановить оригинальные записи и отследить «отпечатки» злоумышленников.   DanderSpritz представляет собой фреймворк, включающий ряд других утилит помимо возможности очистки журналов. Как правило, АНБ использует его совместно с другим фреймворком – FuzzBunch, предназначенным для загрузки и исполнения эксплоитов на целевых компьютерах.   «Представьте, что это государственная версия Metasploit Meterpreter, но с функцией автоматического обнаружения антивирусов и массой (ранее) не обнаруживаемых инструментов для извлечения паролей, сбора информации и продвижения по системе», - рассказал эксперт Kudelski Security Франсиско Донозо (Francisco Donoso).   securitylab.ru

    В даркнете обнаружена БД, содержащая 1,4 млрд похищенных учетных данных

    DiW
    Автор: DiW,
      Исследователи безопасности из компании 4iQ обнаружили в «Темной паутине» базу данных, состоящую из 1,4 млрд учетных данных. База включает 252 списка учетных данных, попавших в Сеть ранее.   По словам исследователей, находка представляет собой не просто список, а агрегированную интерактивную базу данных, позволяющую быстро (с задержкой до секунды) искать и импортировать дополнительную информацию. В последний раз база обновлялась 29 ноября 2017 года. Общее количество учетных данных (имена пользователей и незашифрованные пароли) составляет 1 400 553 869.   Исследователи обнаружили файл README с описанием инструментов для поиска и вставки новой информации. В другом файле imported.log перечислены источники утечек, например, / inputbreach / linkedin110M_1 865M. В общей сложности в файле указаны 252 источника.   Данные структурированы в виде алфавитного дерева каталогов, разделенного на 1 981 фрагмент для более быстрого поиска. Как отметили эксперты, поиск по словам admin, administrator и root в течение нескольких секунд дал 226 631 результат.   Большие базы данных, содержащие множество паролей как в зашифрованном, так и в текстовом виде, сильно облегчают злоумышленникам работу по поиску учетных данных для последующего взлома. Воспользоваться подобной базой может не только опытный хакер, но и скрипт-кидди, отметили специалисты.   Наиболее вероятным способом использования подобных баз является credential stuffing – метод автоматизированной проверки похищенных учетных данных на работоспособность.   В настоящее время неясно, откуда именно появилась эта база данных. Как отметили исследователи, значительное время и усилия были уделены ее дизайну и созданию простого в использовании интерфеса. Судя по всему, база никак не монетизирована напрямую, однако в ней присутствуют адреса криптовалютных кошельков для пожертвований. Эксперты полагают, что появление данной БД может быть связано с прекращением работы сервиса LeakBase ранее в этом месяце. Сервис предлагал доступ к более 2 млрд учетных данных, утекших в результате крупных взломов популярных сайтов наподобие linkedin.com, myspace.com и dropbox.com.   securitylab.ru

    Хакеры распространяют RAT Orcus на волне интереса к криптовалюте

    DiW
    Автор: DiW,
      Киберпреступники решили воспользоваться ажиотажем вокруг стремительно растущей криптовалюты Bitcoin и запустили новую, ориентированную на трейдеров фишинговую кампанию. Злоумышленники распространяют рекламу бота Gunbot, предназначенного для торговли на бирже. На самом деле реклама является вредоносной и заражает компьютеры жертв трояном для удаленного доступа (RAT) Orcus.   В последнее время курс биткойна бьет все мыслимые и немыслимые рекорды, поэтому торги на биржах криптовалют проходят как никогда активно. Большой популярностью у трейдеров пользуются специальные боты, отслеживающие и сопоставляющие стоимость биткойна на различных платформах. При выгодной разнице курсов они автоматически покупают и продают биткойны в заранее установленных трейдером пределах.   Эксперты компании Fortinet предупредили о новой фишинговой кампании, распространяющей RAT Orcus через вредоносную рекламу. Реклама рассылается в спам-письмах и предлагает установить легитимный бот Gunbot от GuntherLab (Gunthy). В письмо вложен zip-файл под названием «sourcode.vbs», содержащий простой VB-скрипт. После выполнения скрипт загружает файл, внешне похожий на JPEG-изображение, но на самом деле являющийся PE-файлом.   По словам исследователей, судя по комментариям в скрипте, хакеры даже не пытаются скрыть свои намерения. Вероятно, они малоопытны и купили используемые в атаках компоненты где-то еще. Загружаемый исполняемый файл представляет собой троянизированную версию инструмента TTJ-Inventory System с открытым исходным кодом.   Portable Executable (PE) – формат исполняемых файлов, объектного кода и динамических библиотек, используемый в 32- и 64-разрядных версиях ОС Windows. Формат PE представляет собой структуру данных, содержащую всю информацию, необходимую PE-загрузчику для отображения файла в память. Исполняемый код включает в себя ссылки для связывания динамически загружаемых библиотек, таблицы экспорта и импорта API функций, данные для управления ресурсами и данные локальной памяти потока (TLS).   securitylab.ru

    ЦБ Бангладеш может подать в суд на банк Филиппин за причастность к хищению $81 млн

    DiW
    Автор: DiW,
      Центральный банк Бангладеш обратился к Федеральному резервному банку Нью-Йорка (Federal Reserve Bank of New York, ФРБ) с просьбой поддержать судебный иск, который кредитная организация планирует подать против банка Филиппин за его причастность к хищению $81 млн в 2016 году. Об этом сообщает информагентство Reuters со ссылкой на свои источники.   В феврале 2016 года неизвестные хакеры похитили $81 млн долларов со счета Центробанка Бангладеш в ФРБ Нью-Йорка, скомпрометировав программное обеспечение системы для передачи финансовой информации SWIFT. Деньги были отправлены на счета в банке Rizal Commercial Banking Corp (RCBC) в Маниле (Филиппины), а затем отмыты через филиппинские казино. Спустя почти два года причастных к преступлению так и не обнаружили. ЦБ Бангладеш удалось добиться возврата только $15 млн от RCBC.   По словам представителей ФРБ и ЦБ Бангладеш, последний намерен подать гражданский иск против RCBC, надеясь на полное возмещение похищенной суммы. Бангладешские чиновники указывают на внутренние документы RCBC, утверждая, что филиппинский банк проигнорировал подозрительную активность на счетах злоумышленников и слишком поздно заморозил средства.   Ранее представители RCBC заявили, что банк не будет выплачивать какую-либо компенсацию, поскольку средства были похищены из-за небрежности ЦБ Бангладеш.   Как сообщил агентству Reuters один из представителей Центробанка Бангладеш, ему неизвестно о планах регулятора подать судебный иск против RCBC, однако ЦБ "предпринимает действия по возвращению похищенных средств в полном объеме".   В прошлом году RCBC был оштрафован на 1 млрд филиппинских песо ($20 млн) за халатное отношение к преступным действиям мошенников, осуществленных с его помощью.   securitylab.ru

    Вьетнамский хакер взломал системы австралийского международного аэропорта

    DiW
    Автор: DiW,
      Вьетнамскому хакеру Ле Дюк Хоанг Хаю удалось взломать компьютерные системы Международного аэропорта в Перте (Австралия) и похитить большое количество важных документов, в том числе данные о системе безопасности и планы строительства. Злоумышленник использовал учетную запись стороннего подрядчика для получения несанкционированного доступа к системам аэропорта в марте прошлого года, сообщает издание West Australian.   По словам представителей австралийских властей, системы, связанные с радарами, самолетами и пассажирами в результате инцидента не пострадали.   Сотрудники аэропорта обнаружили взлом и уведомили Австралийский центр кибербезопасности в Канберре и Австралийскую федеральную полицию. В ходе расследования было установлено, что хакер является жителем Вьетнама. Правоохранительные органы проинформировали своих вьетнамских коллег и вскоре злоумышленник был арестован. Вьетнамский военный суд приговорил киберпреступника к четырем годам лишения свободы.   Как выяснило следствие, ранее хакер взломал ряд других объектов критической инфраструктуры, а также скомпрометировал многочисленные вьетнамские web-сайты, в том числе принадлежащие телекоммуникационным компаниям, банкам и одному вьетнамскому СМИ.   По словам генерального директора аэропорта Кевина Брауна (Kevin Brown), изначально злоумышленник надеялся похитить данные кредитных карт, однако не обнаружив последних, решил украсть ряд важных документов. Судя по всему, хакер работал на себя и не был членом крупной хакерской группировки. Похищенная информация не была продана или опубликована в открытом доступе.   Ранее в Великобритании мужчина нашел на улице USB-накопитель, содержавший незащищенные сведения о системе безопасности аэропорта Хитроу.   securitylab.ru

    Атака на NiceHash была осуществлена с неевропейского IP-адреса

    DiW
    Автор: DiW,
      Ставший на прошлой неделе жертвой хакеров словенский криптовалютный сервис NiceHash сообщил новую подробность об инциденте. По данным администрации NiceHash, атака была осуществлена с неевропейского IP-адреса, сообщает Reuters.   «Вероятнее всего, атака была осуществлена с IP-адреса за пределами ЕС», - сообщил директор по маркетингу NiceHash Андрей Скраба (Andrej Skraba).   По словам главы сервиса Марко Кобала (Marko Kobal), для взлома хакеры использовали учетные данные инженера NiceHash. Правоохранительные органы Словении отказались предоставить какую-либо информацию по данному делу ввиду проводящегося расследования.   Представители NiceHash подтвердили Reuters, что техническим директором сервиса является некий Матьяж Шкорьян (Matjaž Škorjanc). В Словении Шкорьян был приговорен к тюремному заключению за создание вредоносного ПО Mariposa, инфицировавшего миллионы компьютеров в 2010 году.   Напомним, на прошлой неделе сервис NiceHash сообщил о кибератаке, в результате которой злоумышленникам удалось похитить из его главного кошелька биткойны на сумму более $60 млн.   securitylab.ru

    NIST опубликовал проект новой версии руководства по защите от киберугроз

    DiW
    Автор: DiW,
      Национальный институт стандартов и технологий США (NIST) опубликовал вторую редакцию руководства по усилению кибербезопасности в критической инфраструктуре NIST Cybersecurity Framework.   Первый вариант рекомендаций, опубликованный в 2014 году, был призван помочь организациям, в частности в сфере критически важной инфраструктуры, лучше защищаться от киберугроз. Руководство было разработано по приказу бывшего президента США Барака Обамы. Все федеральные агентства и операторы критической инфраструктуры США обязаны придерживаться данных рекомендаций.   Спустя четыре года с момента выхода первого варианта Cybersecurity Framework, институт взялся за разработку обновленной версии. Первая редакция была опубликована в январе 2017 года, вторая - 5 декабря 2017 года.   Согласно заявлению NIST, вторая редакция версии 1.1 фокусируется на разъяснении, уточнении и расширении руководства, облегчая его использование, а также содержит обновленную «дорожную карту», в которой подробно описываются планы по дальнейшей разработке руководства.   Комментарии и отзывы по второй редакции могут быть отправлены в NIST до 19 января 2018 года. Изначально институт собирался опубликовать окончательный вариант руководства осенью текущего года, однако отстал от графика и теперь публикация запланирована на начало 2018 года.   Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) - подразделение Управления по технологиям, одного из агентств Министерства торговли США. Основной задачей института является продвижение инновационной и индустриальной конкурентоспособности США путем развития наук об измерениях, стандартизации и технологий с целью повышения экономической безопасности и улучшения качества жизни.   securitylab.ru

    Microsoft допустила утечку закрытого ключа TLS-сертификата для Dynamics 365

    DiW
    Автор: DiW,
      Компания Microsoft случайно допустила утечку TLS-сертификата, используемого для MS Dynamics 365, и соответствующего ему закрытого ключа, выяснил немецкий разработчик Маттиас Гливка (Matthias Gliwka) в процессе работы с облачной версией платформы.   Сертификат и ключ были доступны в так называемой «песочнице» Dynamics 365, предназначенной для тестирования приложений на уровне пользователя. В отличие от производственных серверов и серверов для разработки, «песочница» предоставляет администраторам возможность доступа по RDP. Получив доступ к «песочнице», (customername.sandbox.operations.dynamics.com) Гливка обнаружил, что встроенный диспетчер сертификатов содержит действительный TLS-сертификат для *.sandbox.operations.dynamics.com и соответствующий ему закрытый ключ. По его словам, данный сертификат действует для всех «песочниц», даже принадлежащих другим клиентам Microsoft. Сертификат используется для шифрования web-трафика между пользователями и сервером.   Имея доступ к сертификату (который может быть экспортирован при помощи обычных инструментов), злоумышленник получает возможность просматривать коммуникации в незашифрованном виде и скрыто модифицировать контент.   Сразу же после обнаружения уязвимости в августе нынешнего года Гливка предпринял несколько попыток проинформировать Microsoft о проблеме. После череды электронных писем и привлечения к процессу третьих лиц компания все же отреагировала на сообщения разработчика и устранила уязвимость в начале декабря нынешнего года – спустя почти четыре месяца после выявления проблемы.   Microsoft Dynamics 365 – единая платформа бизнес-приложений для планирования ресурсов предприятия (ERP) и управления взаимоотношениями с клиентами (CRM), состоящая из нескольких функциональных модулей.   securitylab.ru

  • Сейчас в сети (Полный список)

    Нет пользователей в сети в данный момент.

  • Темы

  • Статистика портала

    • Всего тем
      10 475
    • Всего сообщений
      29 013
    • Всего пользователей
      1 314
    • Рекорд онлайна
      777
      01.11.2017 16:26

    Новый пользователь
    niksinx
    Регистрация 13.12.2017 20:25
  • Заказ услуг

    Тема поддержки Заказать услугу
  • Поиск в Интернете

    Фраза: GO!
    MSDN RSDN
  • Онлайн Антивирус

    ПРОВЕРЬ ФАЙЛЫ



  • Помощь порталу

    Если Вы желаете поддержать портал:

    WMR - R124516874021
    WMR - Z710827566240
    ЯД - 410011732301196

    СПАСИБО!

    Вы также можете поддержать портал через кнопку Яндекс.Деньги

  • Счетчик посетителей




    Яндекс.Метрика
×

Важная информация

Используя этот сайт, вы соглашаетесь с нашими Условия использования.