S.E.Book

• У разработчика Miner Search (тулза для поиска и уничтожения скрытых майнеров), есть интересный список инструментов, с помощью которых можно ручным подходом осуществить поиск вредоносов. Список следующий: • Autoruns – бесплатный инструмент от Microsoft, чтобы выявить все возможные варианты автозапуска, что грузится вместе с виндой. Обязательно запускать от админа, чтобы видеть весь полный список. ➡В первую очередь обращаем внимание на строки с неподписаными файлами (выделены красным). ➡Если не знаем, что за софт и надо ли его отключать – гугл в помощь. ➡Всё что выделено жёлтым означает, что запись осталась, а конечного файла что запускать уже нет. Можно удалять (кроме раздела KnownDlls и Services). ➡Ну и пара слов про оптимизацию, отключаем всё несвязное с системой, что можно запускать самому (всякие стимы, дискорды, whatsapp, OneDrive и т.д.), обычно находится в разделе Run и Task Scheduler (Планировщик задач). • System Informer – Мощный опенсорсный инструмент для мониторинга процессов, потоков и модулей. Показывает дерево процессов, что от чего запускается. Кто-то может возразить, мол есть process explorer, но это кому как удобнее. • Everything – опенсорсный инструмент, мгновенный поиск по файловой системе, в разы быстрее штатного поиска, встроенного в проводник. Можно искать как по файлам, так и по содержимому для документов. Вообщем, вещь удобная. #Tools #Malware

Defiant предупреждает о начале массированных атак, нацеленных на критическую уязвимость в платном дополнении Ninja Forms File Uploads для WordPress, которая позволяет загружать произвольные файлы без аутентификации, что может привести к удаленному выполнению кода. По данным компании, ее межсетевой экран Wordfence заблокировал более 3600 атак на CVE-2026-0740 за последние 24 часа. Ninja Forms - популярный конструктор форм для WordPress с более чем 600 тыс. загрузками, который позволяет пользователям создавать формы без программирования, используя простой интерфейс перетаскивания. Расширение для загрузки файлов в том же пакете, обслуживает более 90 тыс. клиентов. CVE-2026-0740 имеет критическую оценку CVSS 9,8 из 10 и затрагивает все версии Ninja Forms File Upload до 3.3.26 включительно. По данным Wordfence, уязвимость вызвана отсутствием проверки типов/расширений файлов в целевом имени файла, что позволяет неавторизованному злоумышленнику загружать произвольные файлы, включая PHP-скрипты, а также манипулировать именами файлов для осуществления обхода пути. В уязвимой версии функция не включает в себя проверку типа файла или расширения имени целевого файла перед операцией перемещения, что позволяет загружать не только безопасные файлы, но и файлы с расширением .php. Поскольку проверка имен файлов не используется, вредоносный параметр также облегчает обход путей, позволяя переместить файл даже в корневой каталог веб-сервера. Все это позволяет неавторизованным злоумышленникам загружать произвольный вредоносный PHP-код, а затем получать доступ к файлу для запуска удаленного выполнения кода на сервере. Возможные последствия эксплуатации могут быть катастрофическими, включая развертывание веб-оболочек и полный захват сайта. Уязвимость была обнаружена исследователем Селимом Лануаром (whattheslime), который 8 января отправил по ней отчет в программу вознаграждения за обнаружение ошибок Wordfence. После проверки Wordfence в тот же день предоставила поставщику полную информацию и внедрила временные меры защиты с помощью правил брандмауэра для своих клиентов. После проверки патчей и частичного исправления 10 февраля, производитель выпустил полное исправление в версии 3.3.27, доступной с 19 марта. Учитывая, что Wordfence теперь ежедневно фиксирует тысячи попыток взлома, пользователям Ninja Forms File Upload настоятельно рекомендуется обновиться до последней версии.

🛡 Реальная ИБ: где теряются деньги и как закрыть риски уже сегодня. • 15 апреля у Контур.Эгиды и Staffcop пройдет бесплатный вебинар, который будет полезен всем ИБ и ИТ-специалистам. Поговорим о человеческом факторе и социальной инженерии. Сравним самостоятельную разработку ИБ и доверие вендорам: риски, преимущества, примеры инцидентов. Моделирование угроз как основа бюджетирования. Работа с персональными данными при аутсорсе/аутстаффе без рисков. ➡ Зарегистрироваться можно по ссылке. #ИБ #Вебинар

• Когда сказал начальнику, что тебе нужен специальный стол для работы стоя. #Юмор

🚀 INFRAX 1.0.0 — официальный выход из беты! INFRAX — это единая российская on-premise платформа (ситуационный центр ИТ-инфраструктуры). В одном интерфейсе: мониторинг (ITOM), Service Desk (ITSM), CMDB + ITAM, резервное копирование, удалённый доступ (RPAM), автоматизация, агентный ИИ-помощник и управление виртуализацией. Заменяет зоопарк из 12+ разрозненных систем — всё под рукой, данные не уходят наружу. ✨ Главное в версии 1.0.0 • SNMP-мониторинг • Резервное копирование • SLA • CMDB + ITAM • Поддержка из тикета • Инструменты инженера • Агентный ИИ-помощник INFRAX 1.0.0 — вся ИТ-инфраструктура теперь в одной удобной и мощной системе. Готовы закрыть все боли одним решением? infrax.ru 🔥 #реклама О рекламодателе

Исследователи VulnCheck сообщают об активной эксплуатации уязвимости с максимальным уровнем серьезности в Flowise, платформе ИИ с открытым исходным кодом, используемой рядом крупных корпораций. Речь идет об уязвимости CVE-2025-59528 (CVSS: 10.0), которая представляет собой уязвимость внедрения кода, которая может привести к удалённому выполнению кода. Узел CustomMCP позволяет пользователям вводить параметры конфигурации для подключения к внешнему серверу MCP, который анализирует предоставленную пользователем строку mcpServerConfig для построения конфигурации сервера. Однако в процессе этого он выполняет код JavaScript без какой-либо проверки безопасности. Flowise отметила, что успешная эксплуатация уязвимости может обеспечить доступ к опасным модулям, таким как child_process (выполнение команд) и fs (файловая система), поскольку он работает с полными привилегиями среды выполнения Node.js. Иными словами, злоумышленник, использующий эту уязвимость, может выполнить произвольный код JavaScript на сервере Flowise, что приведет к полной компрометации системы, доступу к файловой системе, выполнению команд и утечке конфиденциальных данных. Как отметили в Flowise, поскольку требуется только токен API, это представляет собой чрезвычайную угрозу для непрерывности бизнеса и данных клиентов. Компания выразила благодарность Ким Су Хён за уведомление об уязвимости. Проблема была устранена в версии 3.0.6 пакета npm. Согласно данным VulnCheck, эксплуатация осуществлялась с одного IP-адреса Starlink. CVE-2025-59528 - это уже третья уязвимость Flowise, эксплуатируемая в реальных условиях, после CVE-2025-8943 (CVSS: 9,8), позволяющей удаленно выполнять команды ОС, и CVE-2025-26319 (CVSS: 8,9), позволяющей произвольно загружать файлы. Уязвимость была известна более шести месяцев, а это значит, что у пользователей было достаточно много времени, чтобы определить приоритетность и устранить ее. К настоящему времени площадь уязвимой поверхности, доступной из интернета, составляет более 12 000 открытых экземпляров, что Flowise крайне востребованной целью для киберподполья, представители которого уже предпринимают попытки сканирования и эксплуатации.

🧬 Эволюция DDoS-защиты в 2026–2027 Атак стало в 2 р.аза больше, сценарии усложнились. Всё чаще они маскируются под легитимный трафик, из-за чего привычные методы защиты теряют эффективность. Приглашаем на вебинар, где разберем: – Трансформацию DDoS и что нас ждет в будущем – Почему классические методы защиты перестают работать – На какие метрики важно обращать внимание – Что должна уметь современная система защиты Вебинар будет полезен CISO, CIO, CTO, а также ИБ-специалистам и сетевым инженерам. Зарегистрироваться бесплатно ✅

📞 Телефонная сеть на колючей проволоке... • 1874 год, вся западная часть США представляет из себя множество фермерских хозяйств с огромными территориями, которые располагались друг от друга на расстоянии многих километров. • Крупный рогатый скот, который пасся на территориях этих хозяйств, постоянно пытался уйти за территорию и погулять по пастбищам ближайших соседей. В то время для ограждения использовали обыкновенную проволоку и животные, зачастую, преодолевали этот барьер. Все изменилось, когда Джозеф Глидден получил патент на изготовление колючей проволоки. • Новые технологии производства сделали колючую проволоку дешевой и доступной, что повлияло на ее стремительное распространение. Благодаря этому, уже к 1880 году на Старом Западе производилось и устанавливалось около миллиона километров ограждений из колючей проволоки в год. • Спустя два года после того, как американские фермеры начали окутывать собственные земли колючим забором, изобретатель Александр Грэм Белл патентует собственное революционное изобретение – телефонный аппарат. Устройство произвело настоящий фурор и полностью перевернуло возможности общения людей на расстоянии. Если что, в то время единственным вариантом удалённой связи был телеграф, требующий наличия квалифицированного оператора, и не позволявший передавать такой объём информации, как телефон! • Естественно, что телефонные сети стали расти бурными темпами. Но телефонные компании обращали свой взгляд лишь на крупные города, обходя вниманием малонаселенные районы американского Запада, поскольку не видели экономической выгоды в развёртывании сотен километров телефонного кабеля. В итоге, фермеры попросту не имели никакой возможности подключиться к современным, на тот момент, системам коммуникации. • Однако телефонные компании явно недооценивали новаторский дух этих мужчин и женщин. Неизвестный гений обнаружил, что если подключить два телефонных аппарата к верхнему проводу на заграждении с колючей проволокой, то можно разговаривать так же легко, как между двумя «городскими» телефонами. Огромные сети колючей проволоки, растянувшиеся на многие километры вдоль фермерских хозяйств, вмиг стали отличным подспорьем для создания собственной сети связи. Телефонные аппараты с помощью куска обычной гладкой проволоки начали подключать к колючим ограждениям, используя последние в качестве магистральных линий связи. • Технология была очень проста. Стальная проволока – неплохой проводник электрического тока, что позволяло проводить телефонный сигнал. Подключение к линии обходилось фермерам в 25 долларов. В комплект поставки входил телефонный аппарат с двумя сухими батареями, заземляющий стержень, фарфоровые набалдашники и трубки, плюс 3 метра провода для внутренней проводки и более 15 метров для соединения с линией за пределами помещения. • В этой локальной сети не было регулярной абонентской платы, хотя члены кооператива платили несколько долларов в год за текущее обслуживание и замену сухих батарей (вместо которых они иногда применяли старые автомобильные аккумуляторы). И разумеется, никто не оплачивал никаких телефонных счетов. • Телефонный аппарат обычной гладкой проволокой подключали к колючему ограждению и сигнал шел по всей длине колючей проволоки либо к коммутатору, либо к другим домам. В некоторых случаях в одну сеть объединялось до двадцати телефонов. При звонке одновременно срабатывали все телефонные аппараты, что создавало определенную путаницу. В итоге, фермерские общины согласовали между собой специальную систему кодов, чтобы распознавать для кого предназначен звонок. • С помощью колючей проволоки фермеры активно осваивали и использовали телефонную связь с начала 1900-х до 1920-х годов. В свой расцвет эти телефонные сети обслуживали примерно 3 миллиона человек, то есть больше чем официальная телефонная система Белла. К 20-м годам многие сельские районы получили официальную телефонную связь, но, не смотря на это, старые сети на базе колючей проволоки в некоторых районах сохранялись до сороковых годов 19 века. #Разное

• Ну, во-первых, это красиво... а во-вторых, обратите внимание на крепление! Лёгкое, дешёвое, и невероятно удобное при транспортировке. Так то... #Юмор

• А вы знали, что в 1999 году был обнаружен первый в мире макро-вирус для MS Word, который распространялся по электронной почте? Вирус был написал неким Kwyjibo (Дэвидом Смитом) и назывался "Melissa" (Дэвид назвал вирус в честь стриптизёрши). Сразу же после заражения системы вирус считывал адресную книгу почтовой программы MS Outlook и рассылал свои копии по первым 50 найденным адресам. За считаные часы вирус заразил более миллиона компьютеров по всему миру, парализовав их работу. • Для рассылки своих копий использовалась возможность Visual Basic активизировать другие приложения MS Windows и использовать их процедуры. Вирус вызывает MS Outlook, считывает из базы адресов Outlook адреса электронной почты и посылает по этим адресам сообщение. Это сообщение содержит:

Тема: "Important Message From [UserName]" (UserName берется из базы адресов) Тело письма: "Here is that document you asked for ... don't show anyone else ;-)"

• К сообщению также прилагался файл LIST.DOC, который якобы содержит пароли для доступа к 80 платным сайтам для взрослых, но на самом деле, в теле документа содержался макрос, который запускался при открытии файла. • Количество рассылаемых писем зависит от конфигурации адресной книги Outlook (базы адресов e-mail) на конкретном компьютере. Вирус открывает каждый список в адресной книге и отсылает зараженное сообщение по 50 первым адресам из каждого списка. • Кстати, вирус использует электронную почту для своего распространения только один раз - для этого проверяется специальная "метка" в системном реестре: HKEY_CURRENT_USERSoftwareMicrosoftOffice "Melissa?" = "... by Kwyjibo". Если этот ключ не найден, то вирус посылает сообщения электронной почты с приложенными зараженными документами и создает этот ключ в реестре. • Быстро распространившись, вирус Melissa нанес ущерб в размере $80 миллионов (около $155 млн. на данный момент). Такое не остается безнаказанным. • Д. Смита удалось обнаружить и арестовать из-за интересной особенности в формате документов MS Word. Тогда она была известна весьма небольшому числу специалистов. Речь идет о том, что MS Word сохраняет в документе данные пользователя, на компьютере которого он был создан. Д. Смит разместил первые копии червя в одной группе новостей и во всех этих копиях были его данные. ФБР не составило никакого труда найти его. По итогу он был осужден к 10 годам заключения и штрафу в размере 5000 баксов. #Разное