Още един Phishing адрес за CS:GO:

https://t.co/q7AlRYgiYb

И отново го засичат главно Kaspersky, Emsisoft и Fortinet от по-известните.

https://www.virustotal.com/gui/url/8fe4dc62afa35b833b02e2010a96b7fae59e1e960a2c0ef6c8b14b9081700b59/detection

По-добрата алтернатива на VPN от CATO SDP (Software-defined Perimeter)
https://thehackernews.com/2020/04/cato-sdp-cloud-scale.html

Рансъмуерът ProLock (известен още като PwndLocker) удари най-големия доставчик на ATM в САЩ Diebold Nixdorf
Източник: https://www.nsaneforums.com/topic/373498-ransomware-hit-atm-giant-diebold-nixdorf/

Открита е нова уязвимост в DNS протокола, позволяваща масирани DDoS атаки
Източник:https://thehackernews.com/2020/05/dns-server-ddos-attack.html

Нов ComRAT малуер използва Gmail за да получава команди и ексфилтрира данни:
Източник:https://thehackernews.com/2020/05/gmail-malware-hacker.html

Редактирано 28 май 20206 г. от DarkEdge (преглед на промените)

Да, и аз го мернах този ComRAT, който крадял логовете от антивирусните програми за да видят авторите му дали се засича дадения "sample" и дали да го препакетират за да остане незасечен:

https://www.zdnet.com/article/turla-hacker-group-steals-antivirus-logs-to-see-if-its-malware-was-detected/

и технически анализ от Eset:

https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/

 

 

А иначе преди няколко дни мернах и гадина, която използва нови loading points за стартиране със системата (добавени са и в инструмента, който използваме ние):

https://www.welivesecurity.com/2020/05/21/no-game-over-winnti-group/

Нова актуализация прави Trickbot още по-труден за засичане:

Цитат

A module called Mworm has been responsible for helping to spread Trickbot since September last year, but now it's been replaced with a new module – Nworm. Researchers noticed it when it appeared on an infected Windows 7 client and note that it greatly alters Trickbot's HTTP traffic.

https://www.zdnet.com/article/this-new-trickbot-malware-update-makes-it-even-harder-to-detect/

 

Списък със сайтове извършващи проверка на портовете на техните посетители за програми с отдалечен достъп, които макар и легитимни биха могли да се използват за нерегламентирани действия.

https://www.bleepingcomputer.com/news/security/list-of-well-known-web-sites-that-port-scan-their-visitors/
 

Юнският пач на Windows кърпи 129 уязвимости:
https://www.zdnet.com/article/microsoft-june-2020-patch-tuesday-fixes-129-vulnerabilities

Няколко интересни материали.

 

Кръстосан огън. Битката на ботнет мрежите Kaiten, Qbot, Mirai за теротория:

https://documents.trendmicro.com/assets/white_papers/wp-worm-war-the-botnet-battle-for-iot-territory.pdf

 

Заобикаляне на защитата на SEP 14:

https://cognosec.com/bypassing-symantec-endpoint-protection-for-fun-profit-defense-evasion/

 

Заобикаляне на засичащите механизми (машинното обучение) на Crowdstrike

https://medium.com/@viveik.chauhan/how-i-bypass-crowdstrike-restriction-1bc558abd464

на 21.07.2020 г. в 19:39, B-boy/StyLe/ написа:

Заобикаляне на защитата на SEP 14:
https://cognosec.com/bypassing-symantec-endpoint-protection-for-fun-profit-defense-evasion/

Заобикаляне на засичащите механизми (машинното обучение) на Crowdstrike

https://medium.com/@viveik.chauhan/how-i-bypass-crowdstrike-restriction-1bc558abd464

LOLBin's,Covenant C2,mimikatz...хъъ ти какво-red teamer ли си решил да ставаш?  

Living Off The Land Binaries and Scripts (and also Libraries)

 

преди 6 часа, морфин написа:

LOLBin's,Covenant C2,mimikatz...хъъ ти какво-red teamer ли си решил да ставаш?  

Living Off The Land Binaries and Scripts (and also Libraries)

О не, не...хич беля. Нямам уменията чак за red teamer

Иначе да, LOLBins са напаст от едно известно време особено при Fileless атаките.

Малуеърът за кражба на данни QSnatch инфектира над 62,000 QNAP NAS устройства
https://thehackernews.com/2020/07/qnap-nas-malware-attack.html

Windows Defender вече разпознава CCleaner като потенциално нежелано приложение(PUA😞
https://www.nsaneforums.com/topic/381688-windows-defender-now-labels-ccleaner-as-a-potentially-unwanted-application/

Редактирано 30 юли 20205 г. от DarkEdge (преглед на промените)

Открита е дупка в сигурността на зареждане (UEFI SecureBoot) на Windows/Linux
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/

Топ 10 заразите за месец ЮНИ:

https://www.cisecurity.org/blog/top-10-malware-june-2020/

 

Нови похвати за заобикаляне на UAC с използването на DLL похитители и създаването на фалшиви папки (имитация на папки):

https://www.bleepingcomputer.com/news/security/bypassing-windows-10-uac-with-mock-folders-and-dll-hijacking/

Решението тук е да се сложи UAC на последното ниво на сигурност (Always Notify - Винаги предупреждавай).

От статията:

Цитат

Gebert's straightforward mitigation advice to prevent UAC bypass attacks is setting UAC to "Always Notify." Doing so will always show the user UAC prompts before high-risk applications are executed.

 

преди 20 минути, B-boy/StyLe/ написа:

Решението тук е да се сложи UAC на последното ниво на сигурност (Always Notify - Винаги предупреждавай).

Не познавам потребител, който да се впечатлява от предупрежденията на UAC. Може би, даването на последната дума/действие на потребителя не е най-правилното решение...

преди 42 минути, Joss Bomon написа:

Не познавам потребител, който да се впечатлява от предупрежденията на UAC. Може би, даването на последната дума/действие на потребителя не е най-правилното решение...

UAC не дава последната дума на потребителя. Това прави акаунта с админ права и при спрян UAC. При UAC макар че има 4 степени на настройки, всъщност положението е следното. Или трябва да се изключи (ако толкова дразни, макар това да се отрази на сигурността, защото UAC върши работа в определени ситуации особено ако се внимава със съобщенията му и не се позволява всичко наред) или да се остави на последното ниво на защита (което пак не дава чак толкова много предупреждения), но поне не може да бъде заобиколен толкова лесно от Proof-of-Concept експлоити, защото използването на UAC с настройки по подразбиране е равносилно на използването на изключен UAC едва ли не (най-лошия възможен избор - хем ще предупреждава чат-пат, хем има редица експлоити, които заобикалят това ниво на защита). Средно положение няма. И това го казва един от програмистите в екипа на Emsisoft - Fabian Wosar и това не се отнася само за Windows 7, макар цитата му да е за 7:

Цитат

the current Windows 7 default settings UAC is useless for security now. In fact, if you use Windows 7 with UAC set to default, you may as well just disable it.

А вече ако някой ще го ползва без да чете, тогава да не го ползва. Това се отнася и за HIPS програмите.

Здравейте..! Скоро не бях наминавал насам ..! Как сте ..? Живи здрави..?

За всички които ползват Linux системи...: Беше открита сериозна уязвимост в Grub 2, който се използва в повечето Linux Дистра, което позволява вашата система да бъде компрометирана ...

https://www.bleepingcomputer.com/news/security/boothole-grub-bootloader-bug-lets-hackers-hide-malware-in-linux-windows/

 

..... вече има наличен кръпка за това от повечето основни  системи , така че актуализирайте възможно най-скоро, актуализацията обикновено ще изисква да рестартирате Linux.

на 30.07.2020 г. в 10:36, DarkEdge написа:

Открита е дупка в сигурността на зареждане (UEFI SecureBoot) на Windows/Linux
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/

Здрасти, @icotonev. И Grub2, и Windows системи ползващи Secure Boot:
 

на 30.07.2020 г. в 10:36, DarkEdge написа:

Открита е дупка в сигурността на зареждане (UEFI SecureBoot) на Windows/Linux
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/

Спокоен финал на уикенда!

Нащо гардже "Instakilla" арестувано в Пловдив.

Цитат

Хванаха Instakilla, хаквал сайтове срещу заплащане

https://www.24chasa.bg/novini/article/8887220

 

Обновяващия механизъм за Microsoft Teams може да се използва за сваляне на зловредни файлове:

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/microsoft-teams-updater-living-off-the-land/

 

NodeJS  с дупка, позволяваща на хакерите да инжектират код. Вече е поправена и това е информативно:

https://www.bleepingcomputer.com/news/security/nodejs-module-downloaded-7m-times-lets-hackers-inject-code/

https://krebsonsecurity.com/2020/08/microsoft-put-off-fixing-zero-day-for-2-years/

Явно ще има нови Microcode пачове за редица Intel процесори под Windows 10 обаче. Предполагам, че при другите ОС такива пачове може да се появят евентуално в новите БИОС версии на съответните дънни платки:

https://www.bleepingcomputer.com/news/microsoft/new-intel-microcode-updates-for-windows-10-fix-cpu-hardware-bugs/

Microsoft Defender иронично може да се използва за свалянето на зловредни файлове:

https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-can-ironically-be-used-to-download-malware/

преди 7 часа, B-boy/StyLe/ написа:

Microsoft Defender иронично може да се използва за свалянето на зловредни файлове:

https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-can-ironically-be-used-to-download-malware/

Само като видях LO... и медец ми покапа на сърцето