S.E.Book

• Мало кто вспомнит, но в 2004 году произошла настоящая эпидемия сетевого червя Sasser. Этот вирус наделал немало шума и вреда в финансовом эквиваленте, хотя изначально не имел такой цели. • Червь распространялся, используя уязвимость в службе LSASS Microsoft Windows, при этом не требовал никаких действий со стороны жертвы для активации. • Вирус создавал FTP сервер на порту 5554 для своего распространения. На диске С червь создавал файл под рутом с именем win.log, который содержал IP адрес компьютера, который червь пытался заразить в последнее время. Также червь использовал Windows API для проверки IP адреса системы, чтобы в дальнейшем на его основе сгенерировать новый адрес. в 25% случаев первые 2 цифры сгенерированного адреса совпадают с хостом, когда последние 2 случайны. Есть вероятность в 23%, что только первая цифра будет совпадать, и вероятность в 52%, что сгенерированный IP будет абсолютно случаен. Процесс выбора случайного адреса использует 128 потоков, что может значительно ухудшить производительность зараженной машины. • Также малварь создает скрипт (cmd.ftp) в системе машины-жертвы, который «заставляет» ее скачивать червя из инфицированного ftp-сервера. После того, как скачивание завершено, скрипт удаляется. • В результате своего распространения Sasser парализовал работу миллионов компьютеров по всему миру, от него пострадали тысячи крупных и мелких компаний, университеты, государственные учреждения. Некоторые авиакомпании отложили или даже отменили рейсы (British Airways, Delta Air Lines), прекратили работу несколько банков (Goldman Sachs и Westpac Bank), а финский банк Samp закрыл все 130 своих отделений в качестве профилактической меры. На Тайване червь парализовал работу технической выставки Computex и трети почтовых отделений, в Гонконге оставил без компьютеров государственные больницы, остановил железную дорогу Австралии. • Исходом работы червя была постоянная перезагрузка компьютера с выводом на экран ошибок процесса lsass.exe. Однако этого хватило, чтобы многие компании понесли огромные потери. В общей сложности ущерб от вируса составил примерно 18 миллиардов долларов. Всего заражено было около 250 000 машин. • Автором этого червя оказался 17-летний немецкий хакер Свен Яшан. Он был вычислен и задержан в мае 2004 года с помощью информаторов. За его поимку компания Microsoft объявила материальное вознаграждение в размере 250 тысяч долларов. В июле 2005 года суд города Фердена признал Яшана виновным в манипулировании данными, компьютерном саботаже и проникновении в корпоративные сети. Хакера приговорили к 1 году и 9 месяцам лишения свободы условно с испытательным сроком 3 года, включая 30 часов общественных работ на время испытательного срока. Несмотря на огромный экономический ущерб от распространения червя, факт корыстной заинтересованности Свена доказан не был; судьи посчитали, что он действовал лишь в целях самовыражения. #Разное

👩‍💻 Не совсем по теме, но будет полезно: еще в начале 2025 года в блоге у Oracle появилась статья, которая описывает ряд инструментов, скриптов и конфигураций, предназначенных для анализа производительности и работы Linux. Думаю, что эта подборка окажется весьма полезной, если вы используете Linux в работе и решаете определенные задачи в части администрирования: ➡️ https://blogs.oracle.com/oracle-linux • Помимо общей статьи в блоге, где присутствует только краткое описание, на сайте oracle есть отдельные мануалы для каждого инструмента: ➡memstate – анализирует использование памяти в системе. Весьма полезно для выявления возможных утечек памяти. ➡kstack – тулза для диагностики зависших процессов в системе. ➡scripts – набор скриптов, предназначенных для отладки специфических проблем. К примеру, диагностики сетевых соединений. ➡syswatch – выполняет пользовательские команды при достижении определённого уровня загрузки CPU. Отличная тулза для диагностики скачков потребления CPU в системе. ➡scanfs – проверяет образы дисков KVM на предмет повреждений файловых систем без необходимости останавливать виртуальные машины. ➡️ https://github.com/oracle/oled-tools • Нужно отметить, что этот софт был предназначен для внутренних нужд Oracle, но их решили сделать доступными для сообщества! #Tools #Linux

Альфа-Банк собирает хакеров на соревнования — среди лучших спецов разыгрывают 3 100 000 рублей. В этот раз участвовать могут и школьники — победителям этого трека банк оплатит поездку на научную конференцию. Такие турниры — хорошая строчка в резюме: участие поможет при трудоустройстве. Соревноваться можно из любой точки мира, нужно только зарегистрироваться до 25 апреля. Регистрация

Исследователи F6 и Positive Technologies выкатили отчеты по результатам отслеживания активности PhantomCore, которая является одной из наиболее активных групп на российском ландшафте угроз. Как отмечает в F6, впервые ее обнаружили её в 2024 году, а позднее выяснили, что самые ранние атаки группировка провела в 2022 году. Группа атакует государственные и частные организации широкого круга отраслей, специализируясь на кибершпионаже и краже конфиденциальных данных.  Одна из главных особенностей эволюции PhantomCore – её постоянная адаптивность: АРТ быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки вредоносного ПО до атакуемых организаций. В 2022 году главной целью злоумышленников были кража, повреждение и уничтожение данных. В 2024 году они переключились на шифрование инфраструктур атакованных компаний и получение финансовой выгоды. Отличительная черта PhantomCore – использование как общедоступных инструментов (Velociraptor, Memprocfs, Dokan, DumpIt), так и собственных разработок (MacTunnelRAT, PhantomSscp, PhantomProxyLite). Причём, судя по количеству самописных программ, а также по количеству атак на российские и белорусские компании, команда разработчиков этой киберпреступной группы постоянно ищет новые решения, совершенствует свои инструменты и внимательно следит за новыми уязвимостями. Одна из таких собственных разработок – KermitRAT, получивший название по причине использования аналогичных подстрок в именах файлов, используемых программой. Это новая малварь от PhantomCore, которая впервые задетектировалась специалистами F6 в начале апреля 2026 года. Функциональные возможности включают: - использование различных способов выполнения команд на зараженной системе (скрытый; выполнение PowerShell/cmd; с записью результата в файл и последующей его выгрузкой); - создание и эксфильтрация снимков экрана; - хищение файлов по полученному от сервера шаблону; - определение и перехват нажатия клавиш жертвой с дальнейшей их записью и эксфильтрации на сервер; - сбор подробной информации о зараженной системе, включая сетевую инфраструктуру, сведения о логических дисках, количество пользователей, информацию о процессах и сервисах, наличие антивирусного ПО, установленном ПО и так далее. В своем отчете F6 на примере новой атаки PhantomCore на российскую компанию исследователи рассказали про развитие инструментария и TTPs, внедрение нового ПО и расширение спектра используемых технологий, включая AI-решения, для повышения эффективности атак. В свою очередь, Позитивы в результате расследования выявили широкомасштабную кампанию кибершпионажа и возможный раскол APT‑группировки PhantomCore. При этом отметили, что в рассматриваемый период группа активно атаковала организации, использующие сервер видеоконференцсвязи TrueConf, и, помимо этого, продолжает использовать фишинг для получения первоначального доступа. Для перемещения внутри периметра злоумышленники преимущественно используют WinRM, а для закрепления - обратный SSH‑туннель, для этого они доставляют на Windows‑машины собственный установщик ssh.msi. В качестве имен серверов управления выбираются доменные имена из зоны space и online, мимикрируя под различное легитимное ПО. PhantomCore активно ищет уязвимости в отечественном ПО, разрабатывает эксплойты и тем самым получает возможность проникать в большое количество российских компаний. Подробности исследования сетевой инфраструктуры атакующих и атрибуции, TTPs и IOCs - в отчетах F6 и Positive Technologies (здесь и здесь соответственно).

• Когда пытаешься зайти в BIOS: #Юмор

Вы совершаете эту ошибку, если закупаете сервер и серверные комплектующие "по старинке". Наши инженеры разобрали реальные кейсы и показали, где именно сейчас теряются деньги в серверных проектах — ПРОЧИТАТЬ РАЗБОР Реклама. ООО "ИТЕЛОН". ИНН 7701527528. erid: 2W5zFGUg1uK

• В детстве песочница была местом отдыха реальных пацанов. Там строились и разрушались замки, а самые продвинутые юные надмозги создавали свои транспортные империи и запускали межконтинентальные ракеты. Но по долгу службы я был вынужден делать свою песочницу с блекджеком и дамами не очень высокой социальной ответственности. А если серьезно, то во взрослом мире, если ты тру-хардкорный осинтер, у тебя должен быть свой террариум для цифровых гадов ползучих: вирусов, троянов, бэкдоров и прочей нежити, которую ты сам же и притащил, «просто посмотреть, что внутри». Посмотреть, да. А потом перезаписывать образ системы, потому что «забыл отключить макросы». • Собственно, для чего это таки надо? Только в песочнице можно безопасно отследить, как файл лезет в реестр, с кем он разговаривает в интернете, какие процессы спавнит и какие бэкдоры себе открывает. Это как изолированное крыло психбольницы для особо опасных маньяков, только вместо прозрачной камеры с Ганнибалом Лектором у тебя — PowerShell-скрипты, которые делают curl в сторону китайского CDN. Без песочницы всё это ловится вслепую — как будто боксируешь с тенью, а она, зараза, бьёт в ответ и прямо по шарам. • Хочешь, чтобы всё было без седалищной боли по типу «нажал кнопку — получил отчет» - готовь деньги, милый. Без денег такой любви не бывает. Чтобы ты мог без геморроя получать качественные поведенческие отчеты — нужно пользоваться серьезными корпоративными продуктами. Но если на них нет денег — то есть неплохие альтернативы. • Например, ANY.RUN — живой интерфейс, богатая визуализация, прям хоть на конференции показывай. Intezer Analyze строит геном вредоноса и находит кодовое родство, как будто это сериал про семейные ценности. Threat.Zone — русифицированный, бодрый, с понятным UI, не требует перевода с маркетингового на человеческий. Но не стоит обманываться — хоть и работает на русском, это не значит, что разработан в России. Это, скорее, как бургер с майонезом из Пятерочки — вроде как бы уже своё, но что-то все-таки не так. • А ещё есть Falcon Sandbox, на котором работает Hybrid Analysis, Joe Sandbox (кстати, рекомендую), Tria.ge и многие другие. Короче, имя им легион. Все как один — функциональные, как швейцарский нож с лазером, но по цене — как хирургическая операция на жёппе в той-же вашей Швейцарии. И главное - за бесплатно - только публично. Короче, ваш подгруженный малварь, который шифранул ваших бухгалтеров, попадет в общую базу данных. Так что осторожнее. • Ну а если душа просит боли и приключений, добро пожаловать в ад опенсорса. Тут у нас CAPE — мощный форк старого доброго Cuckoo, с возможностью вытаскивать payload’ы, снимать снимки API и ловить даже сложные образцы. Звучит круто, пока не столкнёшься с древнейшими зависимостями на Python 3.7.2.4b и адищем БДСМ интеллектуальных совокуплений с libvirt. FLARE VM, Freki, Noriben — каждая как отдельная фракция в стратегии: свои плюсы, свои баги, свои моменты, когда ты смотришь в терминал и думаешь: «Где я, кто я, почему у меня 98% CPU и ничего не работает?». Собирать это — как чинить телепорт из Рика и Морти, будучи огурчиком. • Вывод прост. Хочешь работать быстро — плати. Хочешь бесплатно — становись раком монахом Debian и молись, чтобы XML-отчёты хотя бы открывались. И помни, как говорил великий король орков из Властелина Колец: «Время людей прошло. Наступает эпоха скриптов и песочниц». А ты всё ещё пытаешься запустить .doc в виртуалке без сети. #Песочница #Malware

• Немного оффтопа: в 1914 году владельцы канадского банка Dominion Bank, занимавшиеся кредитованием строительства железных дорог и промышленности, заканчивали строительство двенадцатиэтажного здания в центре Торонто. Главной его особенностью было подземное хранилище. По задумке один его вид должен был внушать клиентам мысль о невероятной надежности банка. Ход, скорее, был маркетинговый, но делали все по-настоящему. • Визитной карточкой хранилища стала дверь (на фото) весом, по разным источникам, от 40 до 44 тонн, что ставит ее на первое место среди всех дверей для банковских хранилищ! • Изготовлением двери занимался известный инженер Фредерик Холмс, сотрудничавший с компаниями, специализировавшимися на строительстве именно таких объектов. • Вызывал любопытство процесс транспортировки двери до построенного хранилища. Сохранился ряд фотографий (выше) с улиц Торонто, где специально построенную телегу с дверной рамой тянут 19 лошадей. По всей видимости ее перевозили в частично разобранном виде и дособирали уже на месте. • Сама дверь имела круглую форму и толщину 1 метр 37 см. Ее 44 тонны веса крепились на двух петлях, снабженных несколькими мощными шариковыми и роликовыми подшипниками. • Вес двери одновременно использовался в качестве дополнительной защиты, поскольку в закрытом положении дверь переносила 15 тонн из своей общей нагрузки с петель на нижнюю часть рамы. • А еще там был окуляр кодового замка и небольшое колесо, управляющее выдвижением запорных засовов внутри двери. • Открытие и закрытие двери происходило по определенным алгоритмам. В первом случае нужно было дождаться разблокировки часового замка; затем сотрудники опускали пол перед дверью; правильно ввести комбинацию на кодовом замке и с помощью колеса задвинуть дверные засовы; колесом на двери снять давление, создаваемое дверью на раму; открыть дверь за рукоятки и пристегнуть ее к стене; поднять платформу с полом и опустить переходной мостик. • Закрытие шло в обратной последовательности, но первым пунктом добавлялась установка времени на часовом замке, а также задвижка в корпус двери штифтов управления засовами. Финальный аккорд – установка кодовой комбинации, которую в банке знали лишь два человека. • Банк проработал в этом здании до 2000 года, после чего было принято решение о его реконструкции и открытии большого люксового отеля. Хранилище переделали в один из ресторанных залов, который можно арендовать для частных вечеринок, а дверь стала оригинальным элементом декора. Такая вот история... #Оффтоп #Разное

• Нашел на GitHub крутой репозиторий, который содержит в себе очень ценный и полезный материала по изучению SQL (подсказки, советы, Mindmap, команды и т.д.). Всё разбито по темам и с возможностью скачать информацию в формате PDF. • Особое внимание следует обратить на сборник вопросов из собеседований. Там вы найдете 800 + вопросов и соответствующие задания для получения практического опыта. Однозначно в коллекцию: ➡️ https://github.com/gowthamrajk/SQL-Tutorials #SQL

Злоумышленники используют три недавно раскрытые уязвимости Windows для проведения атак, направленных на получение прав доступа к системе (SYSTEM) или повышенных прав администратора. С начала месяца исследователь Chaotic Eclipse (Nightmare-Eclipse) выкатил PoC для всех трех уязвимостей в знак протеста против того, как Центр реагирования на инциденты безопасности Microsoft (MSRC) обработал процесс раскрытия информации. Две из этих уязвимостей (получивших названия BlueHammer и RedSun) представляют собой LPE-уязвимости в Microsoft Defender, а третья (UnDefend) может быть использована обычным пользователем для блокировки обновлений определений Microsoft Defender. На момент раскрытия уязвимости безопасности, на которые были нацелены эти эксплойты, считались 0-day согласно определению Microsoft, поскольку для их устранения не существовало официальных исправлений или обновлений. В четверг исследователи из Huntress Labs сообщили об детектировании всех трех 0-day в реальных условиях, при этом уязвимость BlueHammer используется уже с 10 апреля. Они также обнаружили эксплойты UnDefend и RedSun на устройстве под управлением Windows, взломанном с использованием скомпрометированного пользователя SSLVPN, в атаках, демонстрирующих признаки «активности злоумышленников, непосредственно работающих с клавиатурой». В общем, как отметили в Центре оперативного управления Huntress, им удалось отследить признаки использования всех методов эксплуатации BlueHammer, RedSun и UnDefend, разработанных Nightmare-Eclipse. Microsoft в настоящее время отслеживает уязвимость BlueHammer как CVE-2026-33825 и устранила её в обновлениях за апрель 2026 года, две другие уязвимости остаются незакрытыми. Как сообщалось ранее, злоумышленники могут использовать RedSun для получения привилегий SYSTEM в системах Windows 10, Windows 11 и Windows Server 2019 и более поздних версиях при включенном Windows Defender, даже после установки апрельского Patch Tuesday. Когда Windows Defender обнаруживает, что вредоносный файл имеет метку «облако», по какой-то глупой и нелепой причине антивирус, который должен защищать, решает просто перезаписать найденный файл в его исходное местоположение. В вышедших PoC это поведение используется для перезаписи системных файлов и получения административных привилегий. Microsoft заверяет клиентов, что намерена расследовать все сообщения о проблемах и как можно скорее обновить затронутые устройства для защиты пользователей. Впрочем, зная микромягких, удивляться нечему - работа над ошибками начинается с хорошего пинка. Будем следить.