Sys-Admin & InfoSec Channel
15.1K members
109 photos
2 videos
55 files
2.27K links
Посты с ИТ-ресурсов, новости информационной безопасности, информационных технологий, статьи по теме (утечки данных, хаки, тулзы, обучение)
* Our forum - https://forum.sys-adm.in
* Our chat - @sysadm_in
* Job - @sysadm_in_job
* All questions - @sysadminkz
Download Telegram
to view and join the conversation
PoC о новой программе-вымогателе Babuk

Для шифрования Бабук использует свою собственную реализацию хеширования SHA256. Как и многие другие программы-вымогатели, оно также может шифровать все что может быть доступно по сети

http://chuongdong.com/reverse%20engineering/2021/01/03/BabukRansomware/
Nissan source code leaked online after Git repo misconfiguration

Следить нужно не только за бэкапами, но и за настройками (настройками всего, не только git'а) по возможности:

https://www.zdnet.com/google-amp/article/nissan-source-code-leaked-online-after-git-repo-misconfiguration/
A malicious peer could have modified a COOKIE-ECHO chunk in a SCTP packet in a way that potentially resulted in a use-after-free. We presume that with enough effort it could have been exploited to run arbitrary code.

Статус critical. Аналогичные проблемы существуют в chrome, egde. Ставим патчи.

https://www.mozilla.org/en-US/security/advisories/mfsa2021-01/
После обновления до Windows 10 версии 20H2 появляются ошибки при доступе к параметрам входа или пользовательской оснастке MMC

В том числе это могут быть автоматические перезагрузки:

Windows 10, version 20H2, you might receive the error in LSASS.exe with the text "Your PC will automatically restart in one minute"

Workaround на оф. сайте:

https://support.microsoft.com/en-us/help/4592802/error-when-accessing-the-sign-in-options-or-users-mmc-snap-in
Технический осмотр бэкдоров Kazuar и Sunburst

Включая сравнение указанием факторов сходства между ними

https://securelist.com/sunburst-backdoor-kazuar/99981/

Примечание: эти два бэкдора использовались для взлома SolarWinds
Появился декриптор для Darkside

Darkside, это облачный ramsomware сервис который направлен на продажу “шифровальных” услуг по корпоративной бизнес-модели (детали можно прочитать здесь - https://www.digitalshadows.com/blog-and-research/darkside-the-new-ransomware-group-behind-highly-targeted-attacks/)

Детали в отношении декриптора:

https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/
Windows Process Herpaderping

Method of obscuring the intentions of a process by modifying the content on disk after the image has been mapped. This results in curious behavior by security products and the OS itself.

https://jxy-s.github.io/herpaderping/
Sysmon v13.00 - Новый релиз

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Основная фишка релиза - Process tampering detection (детектирование подложных процессов windows)
https://medium.com/falconforce/sysmon-13-process-tampering-detection-820366138a6c
Обход блокировок фильтрации при помощи AWS API

Многие компании используют черные или белые списки IP-адресов для фильтрации чего-либо...

Однако облачные сервисы могут быстро и легко помочь обойти эту защиту

https://medium.com/stage-2-security/aws-api-gateway-fronting-for-command-and-control-45d03dffb24e
SAP Security Patch Day – January 2021

Набор "саперных" январских патчей, включающих заплатки от внедрения стороннего кода, DoS уязвимостей

https://wiki.scn.sap.com/wiki/plugins/servlet/mobile?contentId=564760476#content/view/564760476
CISA - Злоумышленники нацелены на организации использующие облачные сервисы

Обходят MFA, используют различные техники в виде фишинга, правил перенаправления в почте и тп

В рекоммендациях даётся описание базовых превентивных шагов и описание используемых методов в атаках

https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a

Ранее на подробную тему было похожее по содержанию уведомление от ФБР:

https://beta.documentcloud.org/documents/20418317-fbi-pin-bc-cyber-criminals-exploit-email-rule-vulerability-11252020

Лишний раз это говорит о том, что:
- нужно быть внимательнее
- проводить awareness
- следовать общим/базовым рекоммендациям по безопасности