leo_sosnine: (Default)
Тут масса информации на эту тему, просто её всю переварить большой труд. Я уже давал емнип ссылки раньше на некоторые материалы, но со временем ресурс пополняется всё новыми подробностями. Респект чуваку, делающему это и собирающему данные в одном месте:

http://g-2.space/

Привет конспирологу ХублонДоббелену. Как там дела с wet works, хехе.
leo_sosnine: (Default)
http://www.hexacorn.com/blog/2015/09/12/beyond-good-ol-run-key-part-32/

ессесьно, ауторанс всего этого не покрывает

но любой динамический анализ ребута 100% покроет, поэтому сильно уж пытаться тащемта бесполезно, поэтому малефакторы редко пытаются
leo_sosnine: (Default)
Про нового Петю от польской девушки-реверсера Hasherezade:

https://blog.malwarebytes.com/threat-analysis/2017/06/eternalpetya-yet-another-stolen-piece-package/

Уважайу. При этом девочка ещё и открещивается от феминизма, хотя и перепащивает периодически либеральную прекрасную чушь.

Думаю вполне, что это кибероружие, а не рансомварь. Основной аргумент в том, что симметричный ключ шифрования уничтожается, вместо того, чтобы презервироваться в зашифрованном публичным ключом виде с целью последующей расшифровки диска после оплаты выкупа. Эррата Роб аргументирует что это может быть ошибкой -- имхо нереально, это тебе не выход за границы массива, это ошибка в базовой логике. Типа, ну а теперь, для того, чтобы пипл платил мне денежки, я грохну-ка ключ шифрования, чтобы восстановить было нереально. Мудрое решение, ггг!

Метод первоначального распространения -- украинская софтина, также добавляет.

Отсутствие типичнейшей для таких случаев малспам кампании также добавляет.

Маерск и жертвы в РФ, Европе и Америке это collateral damage, нехрен пользоваться украинским софтом, нехрен светить незафайерволленым СМБ в энторнеты, нужно сегментировать сеть.

И да, смотрите какие осторожные выводы и на основе какого эвиденса делаются в этом случае. НИХУЯ ПОДОБНОГО о "русских взломах" ДНЦ и прочего МЫ НЕ ИМЕЕМ. Ни бинарников, ни капч процмона, ни сетевых капч -- НИХУЯ НЕТ, кроме голословных утверждений КраудСтрайк. Отчёт фейковых 17 ведомств -- бессмысленное говно с айпишниками Йаху и нодами Тора. Заверенный Клаппером -- доказанным лжецом перед Конгрессом (утечки Сноудена).

PROOF OR DIDN'T HAPPEN.

Алсо, впервые ЕМНИП в бложеке инфосек смыкается с политикой, думаю, чем дальше, тем такого будет больше.
leo_sosnine: (Default)
Шнайер (и прекраснодушный идеалист-идиот Сноуден) последовательно пиарят disclosure подход к зиродеям.

Спесимен Брюс Шнайер нам здесь интересен как образец дилеммы, это добросовестно заблуждающийся кретин или лицемерный подонок, который всё понимает, но избирает тактику лжи по соображениям политического профита?

Здесь аргументация за кретинизм:

http://blog.erratasec.com/2017/06/some-non-lessons-from-wannacry.html

Т.е. Сноуден и Шнайер последовательно пиарят этот подход, который является лубочной идеалистической картинкой и в реальности не работает. Т.е. если заставить законом спецслужбы сразу же раскрывать зиродеи вендорам, то это приведёт к а) тому, что спецслужбы будут мухлевать с целью обхода этого закона, т.к. он им невыгоден б) к отказу (неполному, в связи с а) покупать зиродеи, т.к. какой им профит тратить бюджеты на зиродеи, которые они не смогут толком использовать согласно предлагаемого закона в) снижению конкурентоспособности спецслужбы оказавшейся под прицелом по сравнению с другими спецслужбами.

По Шнайеру надо подробнее отписаться кстати. Кретин за годы чтения его бложека насобирал достаточно, тут и поддержка клок боя Ахмеда Мохаммеда без малейшей задней мысли, участие в либеральной истерии по поводу отмены законодательства Обамы предоставляющего FCC право ущемлять провайдеров за нарушение прайваси и т.п.

Dridex v4

Apr. 27th, 2017 08:24 am
leo_sosnine: (Default)
Погонял в сэндбоксе, у них теперь всё по-другому, моя прошлогодняя статья для целей детекции щас вполне бесполезна.

Что-то они улучшили, а что-то ухудшили. Неохота описывать детально.

Но вцелом вполне качественная работа, уважайу, традиционные антивирусы вполне бесполезны. Некст джен типа краудстрайка и файрай должны ловить, но у нас их нет. Будет вскоре пилот Файрай ХэИкс, там посмотрим. Но общий уровень скрытности будет поменьше чем у ковтера и poweliks.

Напейсал скриптик и затолкал в СЦЦМ, жду отчёта. Грубо говоря, проверяю, если родитель svchost.exe не services.exe то non-compliant. Всё остальное compliant. Можно было ещё по много чему проверять: svchost.exe выполняетяся в консольной сессии (не должен), выполняется с уровнем интегрити медиум (должен хай) и т.п. мелочи.

Распространяется, судя по всему, только через малспам. Т.е. предотвращение -- не надо запускать непонятные файлы, но т.к. юзеры идиоты, то в достаточно большом их количестве цель эта недостижима

Полезные ссылки:

https://securityintelligence.com/dridexs-cold-war-enter-atombombing/
http://blogs.quickheal.com/report-the-dridex-trojan-is-back/
https://www.hybrid-analysis.com/sample/ffcd75cbd62ffef8cc199af4ccc57655c03083865323d0d69c5b8a6ae29c998d?environmentId=100

PS козлячий виндовс дефендер иногда запускает свцхост.ехе из под себя, что продуцирует фалс позитивы, переделываю скрипт на дополнительное условие проверки сессионид, если 0 то норм, а если 1 (юзерская консольная сессия) то драйдекс

Босе

Apr. 19th, 2017 07:17 pm
leo_sosnine: (Default)
Наушники Босе шпионили за юзерами через телефонный апп:

https://www.documentcloud.org/documents/3673706-Bose-lawsuit-17-cv-2928.html

Вкрации, без консента юзера и к-л предупреждения, прилага от наушников отправляла все данные о прослушиваемой музычке куда следует, утверждается, что Босе их дальше продавала всяким биг дата аналитикс.

В продолжение предыдущего поста, лосьют выдвигается в связи с нарушением Wiretap Act (ссылки в пред. посте) и локального закона штата Иллиной с примерно тем же содержанием, что и вайртап акт.

Вангую, что дело кончится полюбовно, Босе откупится от назойливого юзера парой миллионов. Шпиёнство придётся свернуть, по-крайней мере, в этом виде и на какое-то время.

Также точно всё происходило, происходит и будет происходить с провайдерами энторнета, если они будут пытаться шпионить контент и/или продавать налево уже собираемую ими метадату (которую собирать можно). Безо всяких либеральных завываний в прессе и вопреки безумным утверждениям что теперь-то уж точно будут всё продавать с потрохами.
leo_sosnine: (Default)

U.S. cybersecurity firm CrowdStrike has revised and retracted statements it used to buttress claims of Russian hacking during last year's American presidential election campaign. The shift followed a VOA report that the company misrepresented data published by an influential British think tank.

http://www.voanews.com/a/cyber-firm-rewrites-part-disputed-russian-hacking-report/3781411.html?utm_source=dlvr.it&utm_medium=twitter

Привет мудаку Алперовитчу

Кстате, у нас тут есть местная хакерская конференция thotcon, где кокойты сотрудник краудстрайка планирует сделать презентацию по русским хакерам влияющим на выборы, к сожалению, посмотреть воочию не удастся, иначе я бы ему задал тривиальные вопросы, где блядь бинарники, где бдядь сетевые капчи, где сырой эвиденс?

leo_sosnine: (Default)
В нормальных условиях аудит проводится всегда как минимум дважды: в первый заход находят "что не так", во второй заход контролируют, исправлены ли проблемы.

Профессиональные аудиторы подвержены профессиональной деформации и отталкиваются всегда от "anchor" в своих ожиданиях. Ещё до появления на объекте и сбора эвиденса типовой аудитор имеет представления о типовых проблемах и их типовом объёме основываясь на истории предыдущих аудитов в соотв. отрасли.

Нет смысла слишком отличаться от "типажа" в своей отрасли -- достоинства пропустят, а недостатки увидят обязательно, это ещё одна проблема психологии аудитора -- он настроен на то, чтобы находить недостатки, достоинства получают внимания непропорционально меньше. Поэтому важно быть середнячком и иметь всё "как у всех".

Для того, чтобы обыгрывать анкор, аудиторам нужно "бросить кость". Идеальных объектов нет, более того, нет никакого смысла доводить их до идеала -- любой риск имеет свою цену, которая должна а) качественно меньше цены защищаемого ассета б) как можно дешевле уменьшать риск до приемлемого значения, диктуемого 1) уровнем принятия риска менеджментом 2) регуляциями, т.е. PCI DSS, HITRUST, HIPAA & HITECH, ISO 27000 series and so on.

Для этого ответственный за встречу <s>ревизора</s> должен выявить среди имеющихся недостатков такие, которые а) типовые для индустрии, на них будут смотреть и ожидать их увидеть б) относительно легко устранимые, low hanging fruit. Такие недостатки не нужно исправлять до первого аудита, в разумных пределах. В этом случае их а) найдут и б) их будет просто исправить.

Если "кость" не "бросать", а черезчур идеалить, можно оказаться в ситуации, в которой, не найдя ожидаемого, аудиторы начнут копать глубже среднего. А нам не особо нужно выставлять напоказ своих скелетов в шкафу. Вдобавок, если устранить легкоустранимые недостатки до первого аудита, можно оказаться в ситуации, в которой внедрение рекомендованных контролов, соответствующих обнаруженным недостаткам, будет дорогостоящим, в конечном счёте в деньгах, но в основном во времени и их можно не успеть устранить до второго аудита, а это провал.

Всё это имеет пересечение с реальными проблемами инфобеза процентов на 35. Реальные проблемы это

1) эшелонированная оборона от малспама, включащая в себя сэндбоксинг, все типовые анти-спам техники, анти-фишинговые тренинги персонала, trusted execution решения особенно для executables запускаемых из %userprofile%, обученный персонал security operations для своевременного реагирования если всё это было обойдено.

2) микросегментация

3) проблема доступа к личным имэйлам с работы

4) мимикатз и общий харденинг ADDS

5) DLP хотя бы в небольшом проценте случаев способная предотвратить/детектировать эксфильтрацию

Аудиторов же интересует преимущественно чтобы пароли были комлексные, менялись не реже чем раз в 90 дней, да патчи применялись не позже чем 60 дней и чтобы это было "в основном" а не "тотально".

leo_sosnine: (Default)


Походу всё:

https://xakep.ru/2017/03/07/kris-kasperski-rip/

Жаль. Типичный русский непонятый гений, подковавший блоху.

Скайдайвинг это говно, и удивительно, но инфобезник, казалось бы, должен иметь хорошее представление о рисках вообще и, в частности, о том, как много вещей в этой жизни могут пойти не так, как было задумано. Туннельное видение какое-то -- здесь риски видны, а здесь не видны.

Много раз наблюдаемый феномен, вроде умнейший хакер, а дурак. Таких полно.

С другой стороны, семьи нет, а жизнь бессмысленна, если в Бога не верил, конечно, что крайне маловероятно, поэтому какая разница. Есть аргументы за то, чтобы подыхать молодым.

RIP
leo_sosnine: (Default)
Добавил фиды на два бложека, Сами Лайхо и Пола Янушкевич. Оба виндовз интерналз и виндовз хацкинг.

sami_laiho_feed
paula_janus_feed

ЗЫ, в отличие от говножежешечки, RSS фиды тута бесплатные. Платный аккаунт сиравно нуна брать, чисто для поддержки хорошего дела
leo_sosnine: (Default)
https://www.bleepingcomputer.com/news/security/malware-used-to-attack-polish-banks-contained-false-flags-blaming-russian-hackers/

Фкрации, переменные в скриптах названы русскими словами в латинице. Это обычно используется для аттрибуции. Автор материала, однако, показывает, что латинский транслит это результат транслита в гугл транслейте, в то время как нативные русские так не пишут. Подозревается подстава.

В сухом остатке это не про то я пишу, что русских пытаются подставить. Это про то, что современная аттрибуция это говно, а люди её утверждающие (привет, мудак Алперовитч!) преследуют свои политические и экономические интересы.

В данном конкретном случае это может означать что угодно. Что это русские. Что это русских подставили. Что это русские сами себя подставили, чтобы выглядело так, что русских подставили, но на самом деле гугл транслейт, следовательно это не русские. Не следовательно, это просто почти нихуя не значит, доказательная сила где-то около нуля.

Помимо strings в скриптах и экзешниках обычно опираются на таймзону активности. Ну, типа, русские хакеры работают с 9 до 5 московского времени, как это хорошо известно всем специалистам по информационной безопасности. Поэтому если максимум активности совпадает с московской таймзоной, то всё сразу становится ясно.

Плюс русские праздники, конечно, которых в других странах нет. Русские хакеры праздники соблюдают железно, а если бы китайским хакерам захотелось русских хакеров подставить, делая вид что они не работают в русские праздники, то они не смогли бы -- потому что на службу в будний день нужно явиться, как штык. А раз будний день, то придётся хакать, так их и узнают, хехе.

Опять же, ремарка для идиотов, которые читали мой бложек в жежешечке, а потом писали, что я опровергаю генеральную партийную линию о влиянии русских хакеров на американские выборы. Надеюсь, они мой новый бложек не читают, да и всё равно я пишу сюда редко и частить не планирую, но тем не менее, идиоты, я согласен с тем, что вероятность высока того, что это русские (повторяю ещё раз, специально для дураков). Потому что кто исчо, это либо русские, либо кетайцы, либо израильтяне, которых мало, но они вумные. Но качество предъявляемых доказательств кратко может быть охарактеризовано как говно.

"И всё у них так", хехе
leo_sosnine: (Default)
И исламофобия, кстате.

По ссылке от Шнайера, у чела украли смартфон, чел купил ещё один и поставил туда спайварь и зарядил как живца. Телефон украли и чел далее делал скрины, видосы, майкрофон. Чад и угар:



Из интересного, бедная жизнь скубентов. Чел в принципе насобирал на айфон и потом на непоследний андроид, но живёт где-то в студенческой общаге, что ли. Нищая Европа. Два моника на компе, оба, похоже 15 дюймов.

Но есть сёрфейс!
leo_sosnine: (Default)


Я полагаю, в кач-ве резюме туда принимают лист эксплойтов с эксплойт-дб. Допустим, люди типа Луиджи Ауриемма.

На стороне инцидент респонса всё хуже примерно в два раза, не раз видел вакансии масштаба 130-175к для реверс инженеров, это даже хуже архитекторов.

А как же йа? Увы и ах, йа лох и неудачник. Жизнь просрана, хехе
leo_sosnine: (Default)
Интересное письмо о шпионстве за сотрудниками Клинтон Фаундэйшн (или кампании Клинтон или госдепа -- там всё смешалось так, что не разберёшь):

https://www.wikileaks.org/podesta-emails/emailid/12401

Т.е. есть выделенные сотрудники, которые ставят софт для слежения за сотрудниками на их компы, читают их почту и т.д. Прямо как в России, вспомнил прям свою работу в Москве, ггг.

Думаю, почти все российские админы или участвовали в проектах по внедрению такого софта или, по-крайней мере, слышали. В российских компаниях это популярная тема -- следить за сотрудниками. Софт у всех на слуху тоже, например Spector 360, гибридные системы типа DeviceLock DLP и т.д. В корпоративной америке, для справки, это всё запрещено. Все ДЛП системы местного рынка расчитаны на автоматическую фильтрацию контента правилами, чтение чьей-то почты или даже запросы "дайте топ 100 сайтов посещаемых в месяц таким-то сотрудником" сначала должны одобряться юристами и HR и т.д. потому что считается, что у сотрудников имеется т.н. "reasonable expectation of privacy" в т.ч. и на их "workplace".

Но у этих -- вот так, от избытка демократии, надо полагать.
leo_sosnine: (Default)
Я уже тут оплёвывал многократно и всесторонне такое понятие как "security questions" которые пошла мода делать буквально на всех ресурсах в энторнете. Это типа вопросы типа девичьей фамилии матери, ответив на которые, юзер может заресеттить свой пассворд, в том случае, если он кретин и просрал свой пароль.

Что ещё хуже, владельцы этих ресурсов позиционируют эти вопросы как меру безопасности! Так и пишут, что для повышения секьюрити вам нужно на них ответить и всё чаще делают эту процедуру обязательной!

Но это кретинизм и security questions на самом деле понижают уровень безопасности и недавно в постинге мудака Кребса было тому наглядное подтверждение:



Как правильно поступать с этими вопросами? Примерно вот так:



А если Вы забыли свой пароль то это просто значит, что Вы балбес. Пароли нужно держать в локальном пассворд менеджере типа keepass со сложным мастер-паролем, который почти единственный из тех, которые необходимо запоминать. БД пассворд-менеджера хранить в разнесённых локациях.

Кстати, на ресурсах, которые действительно take security seriously, никогда не бывает опции восстановления пароля. Если пароль просран -- доступ к данным утерян навсегда. Так было на lavabit.com, которым пользовался Эдвард Сноуден.

DerbyCon

Oct. 25th, 2016 02:58 pm
leo_sosnine: (Default)
Видосы с последнего ДербиКона. Бесплатно и ездить никуда не надо.

http://www.irongeek.com/i.php?page=videos/derbycon6/mainlist

Вот тут помимо прочего новая техника внедрения макрокода и прочего выполняемого кода в файлы офеса через OLE-объекты, которая позволяет обходить запрет макросов в Trust Center:

https://youtu.be/nJSMJyRNvlM

Вроде как единственный надёжный способ спастись это правило в ЕМЕТ:

https://medium.com/@networksecurity/oleoutlook-bypass-almost-every-corporate-security-control-with-a-point-n-click-gui-37f4cbc107d0#.ca962tq0v
leo_sosnine: (Default)
После последних ддосов Кребса и французов овх Шнеер решил, что the line is crossed и нужно обязывать производителей делать свои устройства secure:

https://www.schneier.com/blog/archives/2016/10/security_econom_1.html

Не читал ещё камменты, интересно, натолкали ли ему там чего в панаму?
leo_sosnine: (Default)
Мудак Кребс цитирует сотрудника Оракла:

“All of the files and software that were on an employee’s computer were deleted, which was crippling to business operations,” my source recalled. “Project management lost all their schedules, deployment teams lost all the software that they use to install on customer sites. Oracle did not tell the employees in this email that they got hacked but just to re-image everything with no backups. It seems as if Oracle did a pretty good job sweeping this incident under the rug. Most employees don’t know about the hack and it hasn’t been a huge deal to the customers. However, it is estimated that this cost them billions, so it is a really major breach.”

О чём это говорит? О том, что во всей этой говнокомпании, не нашлось ни одного инженера хотя бы моего уровня, чтобы провести простенький анализ и зачистить малварь без масс реимаджинга. Ну и понятно они не воспользовались услугами Mandiant, которые берут примерно по тыще баксов за час работы, что в общем немного.

Надеюсь их засудят.

July 2017

S M T W T F S
      1
234 5 678
910 1112131415
16 171819 20 21 22
23 24 252627 2829
3031     

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 28th, 2017 06:55 pm
Powered by Dreamwidth Studios