Дайджест создан в соавторстве с Павлом Кривко.
00h > Интро
Привет! В предновогоднем выпуске мы расскажем о том, как прошел UA-CTF в Киеве, покажем материалы ZeroNights 2018, поговорим о взломах в Украине и мире, поделимся парочкой авторских статей и инфой по уязвимостям и сплойтам. Не пропустите самый жирный выпуск уходящего года!
01h > Горячее
Недавно опубликованная неизвестным автором статья«Особенности национального АПТ, или Как я изучал страшные кибератаки», посвященная мамкиным рисорчерам, всколыхнула профильное комьюнити. В свойственной автору манере изложения, поднимается проблематика высосанных из пальца исследований и домыслов без реального фактажа.
В Киеве состоялась ежегодная конференция по информационной и кибербезопасности UISGCON14. Качественное видео с докладами и презентациями разных потоков этого большого ивента уже доступнодля всех, на Youtube-канале Securit13 Podcast. Кстати, а разве вы еще не постоянный слушатель первого украинского подкаста по ИБ?
Хочется отметить офигенно атмосферный UA-CTF, который прошел в Киеве 16 ноября. Участники рубились за призы в режиме 24 non-stop, в клевой локации, над задачами, которые были максимально приближены к реальным кейсам и киберинцидентам 2018 года. Это первое мероприятие в Украине, проведенное именно в таком формате — впечатление можно составить по фоткам с ивента, который, к слову, был бесплатным. Основной контингент состоял из участников самого большого в Украине true 1337 h4×0r комьюнити — киевской Defcon группы DC8044, однако были ребята и из других городов. В итоге — абсолютно состоявшееся мероприятие высокого уровня, которое теперь будет проводиться на регулярной основе и с большим размахом!
Анонсированная летом статья увидела свет: «Атака NotPetya, больше года спустя. Ответы на стыдные вопросы о кибербезопасности страны». Автор намекает, что в контексте кибербеза у нас не все гладко, и проливает немного света на происходящее. Немножко инсайдов, немножко оценочных суждений и получился неплохой супец, сваренный на особенностях ИБ по-украински.
Все презентации, видео и слайды одной из топовых мировых конференций по кибербезу, Zeronights 2018, уже доступныи включают в себя два потока: основной и поток web village. Хотелось бы отметить неизменно высокий уровень контента и организации самого мероприятия.
Поликлинику № 2 Управления делами Президента РФ атаковала неизвестная хакерская группа, с использованием zero-day эксплоита под Flash. Исследование уже опубликованов разныхисточниках, а следы хакерской APT-группы ведут в Украину. Стоит отметить, что атака произошла практически сразу после инцидента в Керченском проливе.
Одному из авторов этого дайджеста удалось угнатьчужой ботнет, состоящий из многих сотен троллей ФБ, Инсты и ВК. Привет!
02h > Около секьюрити
Бангладешские школьники снова поимелинаш государственный сайт. На этот раз жертвой стала Государственная служба Украины по лекарственным средствам и контролю за наркотиками. Авторы дефейса оставилисвои контакты, предположительно чтобы им отсыпали какого-нибудь годного стаффа за проведенный баг хантинг.
Неизвестные, воспользовавшись недостатками в API-инструментарии площадки OLX.ua, спарсили базу объявлений этого украинского сервиса (за период, порядка, девяти дней). Получился массив из 55К записей, среди которых: ИД объявления, телефон продавца, город, дата, категория, имя продавца и ссылка на объявление Где-то на просторах гхостбина можно найти какую-то ссылку, актуальность которой под сомнением.
КБ «Южное» запустилосамый мощный в Украине суперкомпьютер, который ночью нашептал уборщице про XSS на сайтеКБ «Южное».
В Генштабе заявили, что «подразделения кибербезопасности ВСУ перешли в боевой режим работы». В каком режиме находились эти подразделения до сегодняшнего дня — загадка.
Разбросанные игрушки, трусы на батарее и помойное ведро. Киберполиция отчиталасьо задержании членов транснациональной хакерской группы с оборотом в 22 миллиона USD.
Лаборатория CISCO Talos опубликовала исследованиео TeleGrab: с помощью этой малвари можно красть пользовательские сообщения в сервисе Telegram.
Хакеры инфицируют Linux-сервера рансомварью JungleSec через IPMI Remote консоль.
Сервис Gazorp, размещенныйв TOR, позволяет самостоятельно собрать себе бинарь с популярным стилером AzorUlt версии 3.0, вам нужно только указать адрес своего С2 сервера и получитьготовый билд. Удобно, комфортно, для людей.
03h > Интересное
Годная коллекция свежих семплов различной малвари находится тут. Образцы сгруппированы по названиям APT и регулярно обновляются. Вход пока только через TOR. На текущий момент это один из лучших репозиториев APT-семплов, который я видел.
Вы занимаетесь malware-анализом, а может быть, работаете в SOC/CSIRT? Тогда эта софтинадля вас: автоматическая идентификация и классификация малвари (сканирование сорц кода via Yara), получение дампа оригинального кода, интеграция с кучей полезных open source тулзовин и удобный интерфейс. Бесплатно. А демка вот тут.
По комьюнити гуляет ссылка на интервьюс разработчиком некой нашумевшей последнее время малвари, одним из известных амбассадоров хекерской сцены СНГ.
Основная масса новостей и информации о различных событиях в мире безопасности ICS/SCADA находятся на профильном каналев Telegram.
Небольшая, но удачная подборка тематической литературы доступнана Меге. Среди книжек есть такие хиты, как Practical Malware Analysis, Hacking — The Art of Exploitation, Serious Cryptography и ряд других.
Опенсорсная тулзадля реверса и анализа Android APK поможет ресерчерам и энтузиастам.
Прикольный сервисдля мониторинга радиостанций по всему миру еще и ликает географическое расположение пользователей, которые стримят аудио через FB и VK.
Хорошая и полезная подборка материалов по Active Directory Attack & Defense опубликована тут.
Видео докладов со встречи DEFCON MOSCOW 15 уже доступнок просмотру. DNS-туннелирование в нынешних реалиях, мифология о приватных мессенджерах, рекон веб-приложений и другие интересные темы!
Возможно, вам понравится очередная вариацияна тему NETworkManager-ов.
На днях PENTESTIT запустили свежую «Test lab» v.12 — лабораторию тестирования на проникновение, имитирующую работу реальной корпоративной сети. Попробовать свои силы можно тут. А гайд от разработчиков опубликовалина Хабре.
Степ бай степ: разбираемвредоносный .LNK файл от APT29, на пальцах.
Полезный сборникживых примеров по деобфускации PowerShell из различных malware семплов, с пояснениями от автора.
Вы до сих пор не отличаете результаты разных хеш функций друг от друга? Это не будет проблемой, если заучить на память табличкус примерами.
Bellingcat’s Online Investigation Toolkit будет интересен тем, кто занимается OSINT и прочей разведкой. Документ доступенна гугл-диске.
И в продолжение темы OSINT, статьяс описанием базового «must have» инструментария для разведки в 2019 году от гуру из команды SpiderFoot, — Steve Micallef.
04h > Уязвимости && Эксплоиты
Допиленный сплойтпод MS17-010, с расширенным функционалом и модифицированный, с учетом реализации реверс-шелла.
Readfile
Заинжектить вредоносный HTML/Javascript в документ Word 2016? Нет ничего проще с использованиемсоответствующей уязвимости и скрипта PowerShell.
Эксплоит под недавно патченную уязвимость CVE-2018-15982 во Flash, опубликованэнтузиастом на GitHub.
Уязвимости в ПО для планшетов патрульных Национальной полиции Украины? Noname-компания для тендеров и реализации специализированного софта? Что происходит? Подробности в этой статье.
05h > Фан
Украинский гидрометеорологический центр подвергся нападению highly sophisticated ROFL APT, недавно открытого класса APT нового поколения. Они похекали почтовый сервер Укргидромета, так как данные SMTP учетки были общедоступнына GitHub. Больше коммитов — больше атак!
Интересная и загадочная фигня. Попробуйте свои силы.
Известный тематический форум Античат поделилсяпредновогодним музыкальным треком, который придется по душе фанам этого сообщества.
Пошел в магазин и без приватного сплоента? Да вы вайтхет!
06h > Аутро
Happy Holidays 4all! XD
← Предыдущий выпуск: Information Security дайджест #11.
Следующий выпуск: Information Security дайджест #13→