PoC о новой программе-вымогателе Babuk
Для шифрования Бабук использует свою собственную реализацию хеширования SHA256. Как и многие другие программы-вымогатели, оно также может шифровать все что может быть доступно по сети
http://chuongdong.com/reverse%20engineering/2021/01/03/BabukRansomware/
Для шифрования Бабук использует свою собственную реализацию хеширования SHA256. Как и многие другие программы-вымогатели, оно также может шифровать все что может быть доступно по сети
http://chuongdong.com/reverse%20engineering/2021/01/03/BabukRansomware/
Chuong Dong
Babuk Ransomware
Malware Analysis Report - Babuk Ransomware
Рекомендации Zyxel по безопасности для уязвимости системной учетной записи CVE-2020-29583
https://support.zyxel.eu/hc/ru/articles/360018524720
FAQ по уязвимости от вендора:
http://support.zyxel.eu/hc/ru/articles/360018610460
https://support.zyxel.eu/hc/ru/articles/360018524720
FAQ по уязвимости от вендора:
http://support.zyxel.eu/hc/ru/articles/360018610460
Zyxel Support Campus EMEA
Рекомендации Zyxel по безопасности для уязвимости системной учетной записи CVE-2020-29583
CVE: CVE-2020-29583
Обновлено: 07.01 - 15:00 CET
Резюме
Zyxel выпустила исправление для уязвимости системной учетной записи затрагивающей шлюзы безопасности и контроллеры точек доступа о которой не...
Обновлено: 07.01 - 15:00 CET
Резюме
Zyxel выпустила исправление для уязвимости системной учетной записи затрагивающей шлюзы безопасности и контроллеры точек доступа о которой не...
Уязвимости в FortiWeb
Множественный набор
- https://www.fortiguard.com/psirt/FG-IR-20-123
- https://www.fortiguard.com/psirt/%20FG-IR-20-124
- https://www.fortiguard.com/psirt/FG-IR-20-125
- https://www.fortiguard.com/psirt/%20FG-IR-20-126
Множественный набор
- https://www.fortiguard.com/psirt/FG-IR-20-123
- https://www.fortiguard.com/psirt/%20FG-IR-20-124
- https://www.fortiguard.com/psirt/FG-IR-20-125
- https://www.fortiguard.com/psirt/%20FG-IR-20-126
FortiGuard
FortiWeb is vulnerable to a Format string vulnerability
Вредоносное ПО, использующее новый загрузчик памяти Ezuri
https://cybersecurity.att.com/blogs/labs-research/malware-using-new-ezuri-memory-loader
https://cybersecurity.att.com/blogs/labs-research/malware-using-new-ezuri-memory-loader
AT&T Cybersecurity
Malware using new Ezuri memory loader
This blog was written by Ofer Caspi and Fernando Martinez of AT&T Alien Labs
Multiple threat actors have recently started using a Go language (Golang) tool to act as a packer and avoid Antivirus detection. Additionally, the Ezuri memory loader tool acts…
Multiple threat actors have recently started using a Go language (Golang) tool to act as a packer and avoid Antivirus detection. Additionally, the Ezuri memory loader tool acts…
Nissan source code leaked online after Git repo misconfigurationСледить нужно не только за бэкапами, но и за настройками (настройками всего, не только git'а) по возможности:
https://www.zdnet.com/google-amp/article/nissan-source-code-leaked-online-after-git-repo-misconfiguration/
ZDNet
Nissan source code leaked online after Git repo misconfiguration
Nissan was allegedly running a Bitbucket Git server with the default credentials of admin/admin.
How to configure iptables on CentOS - Tutorialhttps://upcloud.com/community/tutorials/configure-iptables-centos/
UpCloud
How to configure iptables on CentOS
The user-space application program iptables allows configuring the tables provided by the Linux kernel firewall, as well as the chains and rules it stores. In this guide, we'll show you some helpful commands for using iptables to secure your CentOS server.
Hackers can clone Google Titan 2FA keys using a side channel in NXP chipshttps://arstechnica.com/information-technology/2021/01/hackers-can-clone-google-titan-2fa-keys-using-a-side-channel-in-nxp-chips
Ars Technica
Hackers can clone Google Titan 2FA keys using a side channel in NXP chips
Yubico and Feitian keys that use the same chip are likely susceptible, too.
A malicious peer could have modified a COOKIE-ECHO chunk in a SCTP packet in a way that potentially resulted in a use-after-free. We presume that with enough effort it could have been exploited to run arbitrary code.Статус critical. Аналогичные проблемы существуют в chrome, egde. Ставим патчи.
https://www.mozilla.org/en-US/security/advisories/mfsa2021-01/
Mozilla
Security Vulnerabilities fixed in Firefox 84.0.2, Firefox for Android 84.1.3, and Firefox ESR 78.6.1
После обновления до Windows 10 версии 20H2 появляются ошибки при доступе к параметрам входа или пользовательской оснастке MMC
В том числе это могут быть автоматические перезагрузки:
Workaround на оф. сайте:
https://support.microsoft.com/en-us/help/4592802/error-when-accessing-the-sign-in-options-or-users-mmc-snap-in
В том числе это могут быть автоматические перезагрузки:
Windows 10, version 20H2, you might receive the error in LSASS.exe with the text "Your PC will automatically restart in one minute"Workaround на оф. сайте:
https://support.microsoft.com/en-us/help/4592802/error-when-accessing-the-sign-in-options-or-users-mmc-snap-in
Microsoft
error when accessing the sign-in options or users MMC snap-in
Learn about an error with LSASS when accessing dialogs with user accounts
Технический осмотр бэкдоров Kazuar и Sunburst
Включая сравнение указанием факторов сходства между ними
https://securelist.com/sunburst-backdoor-kazuar/99981/
Примечание: эти два бэкдора использовались для взлома SolarWinds
Включая сравнение указанием факторов сходства между ними
https://securelist.com/sunburst-backdoor-kazuar/99981/
Примечание: эти два бэкдора использовались для взлома SolarWinds
Securelist
Sunburst backdoor – code overlaps with Kazuar
While looking at the Sunburst backdoor, we discovered several features that overlap with a previously identified .NET backdoor known as Kazuar.
Появился декриптор для Darkside
Darkside, это облачный ramsomware сервис который направлен на продажу “шифровальных” услуг по корпоративной бизнес-модели (детали можно прочитать здесь - https://www.digitalshadows.com/blog-and-research/darkside-the-new-ransomware-group-behind-highly-targeted-attacks/)
Детали в отношении декриптора:
https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/
Darkside, это облачный ramsomware сервис который направлен на продажу “шифровальных” услуг по корпоративной бизнес-модели (детали можно прочитать здесь - https://www.digitalshadows.com/blog-and-research/darkside-the-new-ransomware-group-behind-highly-targeted-attacks/)
Детали в отношении декриптора:
https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/
Digital Shadows
DarkSide: The new ransomware group behind highly targeted attacks
We’ve recently observed the emergence of a new ransomware operation named DarkSide. The nuance of the operation includes corporate-like methods and customized ransomware executables, which have made headlines. When it comes to analyzing new ransomware campaigns…
Windows Process Herpaderping
https://jxy-s.github.io/herpaderping/
Method of obscuring the intentions of a process by modifying the content on disk after the image has been mapped. This results in curious behavior by security products and the OS itself.https://jxy-s.github.io/herpaderping/
herpaderping
Process Herpaderping
Detection Evasion Exploit
Sysmon v13.00 - Новый релиз
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Основная фишка релиза - Process tampering detection (детектирование подложных процессов windows)
https://medium.com/falconforce/sysmon-13-process-tampering-detection-820366138a6c
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Основная фишка релиза - Process tampering detection (детектирование подложных процессов windows)
https://medium.com/falconforce/sysmon-13-process-tampering-detection-820366138a6c
Docs
Sysmon - Windows Sysinternals
Monitors and reports key system activity via the Windows event log.
Microsoft Defender Remote Code Execution Vulnerability
Уязвимость активно эксплуатируется
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647
Уязвимость активно эксплуатируется
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647
Microsoft
Security Update Guide - Microsoft Security Response Center
The Microsoft Security Response Center (MSRC) investigates all reports of security vulnerabilities affecting Microsoft products and services, and provides the information here as part of the ongoing effort to help you manage security risks and help keep your…
Обход блокировок фильтрации при помощи AWS API
Многие компании используют черные или белые списки IP-адресов для фильтрации чего-либо...
Однако облачные сервисы могут быстро и легко помочь обойти эту защиту
https://medium.com/stage-2-security/aws-api-gateway-fronting-for-command-and-control-45d03dffb24e
Многие компании используют черные или белые списки IP-адресов для фильтрации чего-либо...
Однако облачные сервисы могут быстро и легко помочь обойти эту защиту
https://medium.com/stage-2-security/aws-api-gateway-fronting-for-command-and-control-45d03dffb24e
Medium
AWS API Gateway fronting for Command and Control
Often during pen-testing engagements we run into clients who utilize IP blacklists or IP whitelists to filter outbound communications…
Networking equipment manufacturer Ubiquiti sent out an email to warn users about a possible data breach.https://blog.malwarebytes.com/iot/2021/01/ubiquiti-breach-and-other-iot-security-problems/
Malwarebytes Labs
Ubiquiti breach, and other IoT security problems
Ubiquiti informed its customers about unauthorized access to its online customer portal. Here's what you need to know.
SAP Security Patch Day – January 2021
Набор "саперных" январских патчей, включающих заплатки от внедрения стороннего кода, DoS уязвимостей
https://wiki.scn.sap.com/wiki/plugins/servlet/mobile?contentId=564760476#content/view/564760476
Набор "саперных" январских патчей, включающих заплатки от внедрения стороннего кода, DoS уязвимостей
https://wiki.scn.sap.com/wiki/plugins/servlet/mobile?contentId=564760476#content/view/564760476
FADE DEAD | Adventures in Reversing Malicious Run-Only AppleScripts
macOS malware technical details:
https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applescripts/
macOS malware technical details:
https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applescripts/
SentinelLabs
FADE DEAD | Adventures in Reversing Malicious Run-Only AppleScripts - SentinelLabs
We show how to statically reverse run-only AppleScripts for the first time, and in the process reveal new IoCs of a long-running macOS Cryptominer campaign.
Symbolic link attack in SELinux-enabled sudoedit
https://www.sudo.ws/alerts/sudoedit_selinux.html
Fixed release: https://www.sudo.ws
Security fixes: https://www.openwall.com/lists/oss-security/2021/01/11/2
https://www.sudo.ws/alerts/sudoedit_selinux.html
Fixed release: https://www.sudo.ws
Security fixes: https://www.openwall.com/lists/oss-security/2021/01/11/2
www.sudo.ws
Symbolic link attack in SELinux-enabled sudoedit
CISA - Злоумышленники нацелены на организации использующие облачные сервисы
Обходят MFA, используют различные техники в виде фишинга, правил перенаправления в почте и тп
В рекоммендациях даётся описание базовых превентивных шагов и описание используемых методов в атаках
https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a
Ранее на подробную тему было похожее по содержанию уведомление от ФБР:
https://beta.documentcloud.org/documents/20418317-fbi-pin-bc-cyber-criminals-exploit-email-rule-vulerability-11252020
Лишний раз это говорит о том, что:
- нужно быть внимательнее
- проводить awareness
- следовать общим/базовым рекоммендациям по безопасности
Обходят MFA, используют различные техники в виде фишинга, правил перенаправления в почте и тп
В рекоммендациях даётся описание базовых превентивных шагов и описание используемых методов в атаках
https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a
Ранее на подробную тему было похожее по содержанию уведомление от ФБР:
https://beta.documentcloud.org/documents/20418317-fbi-pin-bc-cyber-criminals-exploit-email-rule-vulerability-11252020
Лишний раз это говорит о том, что:
- нужно быть внимательнее
- проводить awareness
- следовать общим/базовым рекоммендациям по безопасности
us-cert.cisa.gov
Strengthening Security Configurations to Defend Against Attackers Targeting Cloud Services | CISA
Background
These types of attacks frequently occurred when victim organizations’ employees worked remotely and used a mixture of corporate laptops and personal devices to access their respective cloud services. Despite the use of security tools, affected…
These types of attacks frequently occurred when victim organizations’ employees worked remotely and used a mixture of corporate laptops and personal devices to access their respective cloud services. Despite the use of security tools, affected…