S.E.Book

• Нашел очень полезный сервис, благодаря которому можно создать зашифрованные HTML странички, расшифровка которых происходит с помощью ввода пароля в браузере на стороне клиента. • Обычно парольная защита производится через веб-сервер, который проверяет пароль и выдаёт контент. Но что делать, если нужно выложить зашифрованную веб-страницу и файлы на публичном хостинге, где у нас нет контроля над сервером? Эту проблему решает тулза StatiCrypt. • StatiCrypt генерирует статическую страницу, которую можно безопасно заливать на любой хостинг. Страница будет расшифрована в браузере пользователя, когда тот введёт известный ему пароль. В принципе, эту систему можно использовать для шифрования личных заметок, если вы хотите выложить их на общедоступный сервер, чтобы всегда иметь к ним доступ, но при этом надёжно защитить от посторонних глаз. • Расшифровка происходит на обычном JavaScript, то есть со стороны клиента не требуется скачивание и установка дополнительных инструментов, кроме стандартного браузера. Ни хостинг-провайдер, ни интернет-провайдер не получают доступ к этой информации в процессе расшифровки её расшировки в браузере. • Консольная утилита StatiCrypt доступна для скачивания на Github и в виде пакета NPM. А еще существует готовый шаблон для создания и хостинга одностраничного зашифрованного сайта на GitHub Pages. • Страница шифруется с помощью AES-256 в режиме CBC, который в контексте StatiCrypt лишён характерных для него уязвимостей. Пароль хешируется с помощью функции PBKDF2: 599 тыс. операций хеширования SHA-256 и 1000 операций SHA-1 (для легаси). По сути, генерируется новая веб-страница (зашифрованная), которая вмещает содержимое старой. • Утилита также умеет генерировать ссылку, которая уже содержит хешированный пароль, для доступа к странице без ввода пароля непосредственно в веб-форме браузера. Такую ссылку можно передавать доверенным лицам или использовать самому, а контент при этом хранится на сервере в зашифрованном виде, недоступном для просмотра ни хостером, ни третьим лицам. ➡️ https://github.com/robinmoisson/staticrypt #Tools

#Юмор

Исследователи Лаборатории Касперского предупреждают, что программное обеспечение DAEMON Tools заражено в результате широкомасштабной атаки на цепочку поставок. Как отмечают исследователи, основываясь на многолетнем опыте анализа атак через цепочку поставок, злоумышленники организовали взлом DAEMON Tools весьма искусно. В начале мая 2026 года в ЛК обнаружили, что установщики DAEMON Tools (в версиях с 12.5.0.2421 до 12.5.0.2434) для монтирования образов дисков заражены вредоносным кодом. Анализ показал, что троянизированные версии распространяются с 8 апреля 2026 года. С разработчиками DAEMON Tools из компании AVB Disc Soft оперативно связались для принятия дальнейших мер по устранению последствий атаки. Однако выявленная атака на цепочку поставок все еще продолжается. В обнаруженных вредоносных имплантах нашлись артефакты, указывающие на то, что злоумышленник, стоящий за этой атакой, говорит по-китайски. Согласно телеметрии ЛК, с начала апреля произошло несколько тысяч попыток заражения через DAEMON Tools, затронувших частных лиц и организации более чем в 100 странах: большинство - в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае. Однако дальнейшее развертывание вредоносной нагрузки наблюдалось лишь на десятке зараженных машин, принадлежащих организациям из сферы торговли, науки, госуправления и производства, что указывает на целенаправленный характер атаки. Злоумышленникам удалось скомпрометировать DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe, которые находятся в каталоге, где установлено ПО DAEMON Tools. Примечательно, что все они имеют цифровую подпись AVB Disc Soft. Бинарные файлы запускаются при старте компьютера и каждый раз активируется бэкдор, который встроен в код автозапуска, отвечающий за инициализацию среды CRT. Бэкдор работает в отдельном потоке, который используется для отправки GET-запросов на сервер злоумышленника. Вредоносный сервер использует адрес, созданный 27 марта за неделю до начала атаки при помощи тайпсквоттинга легитимного доменного имени daemon-tools[.]cc, используемого для загрузки DAEMON Tools. В ответ на отправленные запросы сервер может возвращать команду оболочки для выполнения через процесс cmd.exe. Данные shell-команды используются для загрузки и запуска исполняемой вредоносной нагрузки. В целом, обнаружено несколько типов таких нагрузок. Первая нагрузка, которую развертывают злоумышленники, - это сборщик информации (Information collector), представляющий собой исполняемый файл .NET, используемый для сбора расширенной системной информации и профилирования зараженных машин. Злоумышленники пытались также доставить другую вредоносную нагрузку на небольшое количество машин (около десятка) - минималистичный бэкдор. Его функциональность включает возможность загрузки файлов, выполнения shell-команд и запуска шеллкод-модулей в памяти. Изучив способы использования минималистичного бэкдора злоумышленниками, в ЛК выяснили, что он применялся для развертывания более сложного импланта, который исследователи назвали QUIC RAT.  Он написан на C++, обфусцирован с помощью техники control flow flattening и статически линкован с библиотекой WolfSSL. Также в его секции data содержится тело легитимной библиотеки msquic.dll. Поддерживает множество протоколов коммуникации с C2, включая HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3. Его анализ всё ещё продолжается, однако в ЛК установили, что QUIC RAT способен внедрять вредоносные нагрузки в процессы notepad.exe и conhost.exe. Все дополнительные подробности - в отчете.

• Немного занимательного оффтопа: я уже рассказывал вам про Рэймонда Чена, инженера из Microsoft, который более трёх десятилетий участвует в развитии Windows! В его блоге вышла интересная статья, в которой описано, почему WinHelp в Windows 3.0 называли «онлайн-справкой», хотя она работала офлайн. • Скажу честно, я иногда действительно задавался этим вопросом, особенно когда случайно нажимал на эту кнопку, но не до такой степени, чтобы гуглить ответ. Однако, несколько дней назад, в блоге Рэймонда появилась информация, которая как раз и раскрывает причину такого названия: • Дело в том, что «онлайн-справка» в Windows 3.0 появилась раньше, чем интернет стал общедоступным, и работала, даже если компьютер не был подключён к какой-либо другой сети. • Термин «онлайн» сперва означал «доступный на компьютере в данный момент». Таким образом, «онлайн»-файлами считались все, к которым можно получить доступ прямо сейчас, а «офлайн»-файлы — это те, которые были заархивированы на ленте, и для доступа к которым потребовалось бы некоторое время. Термин «онлайн-справка» означает, что файлы справки находятся в свободном доступе на компьютере пользователя. • Тем временем компьютер, к которому можно было подключиться через сеть или другое удалённое соединение, обычно называли «включённым» и «доступным в автономном режиме». Второй термин поначалу может показаться непонятным, но он описывает состояние компьютера по отношению к другим системам в сети и указывает на то, что он доступен для запросов на подключение от других ПК. Это объясняет парадокс фразы «онлайн-справка доступна офлайн» — термины «онлайн» и «офлайн» относятся к разным вещам. Во фразе «онлайн-справка» речь идёт о файлах, к которым легко получить доступ на компьютере, а фраза «доступно офлайн» относится к самому компьютеру. Буквально это означает «компьютер не подключен к сети (по отношению к другим компьютерам), а служба поддержки доступна (на компьютере пользователя)». • Теперь, когда многие системы перенесли файлы справки на веб-сайты, у пользователей есть онлайн-справка, которая недоступна в автономном режиме. Такие вот дела... ➡️ https://devblogs.microsoft.com/WinHelp #Оффтоп #Разное #Windows

• А вы знали, что домен .ai приносит небольшому карибскому острову Ангилья около 30 млн. баксов в год? Это примерно четверть годового дохода, что весьма круто. • Всё началось с Искусственного Интеллекта, когда число сайтов с доменом .ai выросло в 10 раз за последние 5 лет. Кстати, самым дорогим адресом является you.ai - его выкупили за 700 тыс. баксов. Да что уж там говорить, сотни крупных компаний (Google, Notion и д.р.) платят очень большие деньги острову за доменные имена. Поэтому со временем доход острова будет только расти. ➡️ Источник. #Разное

Подкатили новые подробности с атаками, нацеленными на недавно исправленную 0-day обхода аутентификации в cPanel & WebHost Manager (WHM), CVE-2026-41940, обеспечивающую административный доступ. По всей видимости, более 40 000 серверов были скомпрометированы в рамках масштабной кампании, как сообщает Shadowserver Foundation. Раскрытая 28 апреля уязвимость предоставляет неавторизованным злоумышленникам административный доступ к cPanel, позволяя захватить контроль над хост-системой и скомпрометировать все конфигурации, базы данных и сайты, которыми управляет платформа. Уязвимость может быть использована с помощью специальных символов в заголовках авторизации для записи параметров в файл сессии, а затем для запуска перезагрузки файла сессии с целью аутентификации с использованием внедренных административных учетных данных. Причем CVE-2026-41940, вероятно, использовалась злоумышленниками в качестве 0-day еще с конца февраля, при этом активность резко возросла после публичного раскрытия информации и того, как компания WatchTowr опубликовала технические подробности. На прошлой неделе Rapid7 предупредила, что в интернете доступно около 1,5 млн. экземпляров cPanel, а в пятницу Shadowserver Foundation выявила  десятки тысяч потенциально скомпрометированных систем. В частности, в ходе продолжающихся атак были скомпрометированы как минимум 44 000 IP, на которых работает cPanel. По данным Shadowserver Foundation, по состоянию на 3 мая это число значительно сократилось. Большинство затронутых систем находятся в США, а Франция и Нидерланды замыкают тройку лидеров. При этом сообщается, что хакеры используют уязвимость cPanel с четверга для взлома серверов и развертывания основанного на Go Linux шифратора для программы-вымогателя Sorry (VirusTotal). Зафиксировано множество сообщений от пострадавших, где одна из жертв поделилась образцами зашифрованных файлов и содержимым записки с требованием выкупа. Программа-вымогатель использует потоковый шифр ChaCha20 для шифрования файлов, при этом ключ шифрования защищен с помощью встроенного открытого ключа RSA-2048. В каждой папке создается записка с требованием выкупа под названием README.md, в которой жертве предлагается связаться с злоумышленником в Tox для обсуждения суммы выкупа. Поскольку все версии cPanel, начиная с 11.40, уязвимы, пользователям рекомендуется как можно скорее обновить систему до версии с исправлением и следовать инструкциям cPanel по выявлению и устранению потенциальных угроз. Согласно обновленному уведомлению cPanel, исправления содержатся в версиях cPanel & WHM 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.124.0.35, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 и 11.136.0.5, а также в версии WP Squared 136.1.7. Исследователи полагают, что в ближайшие дни и недели будет наблюдаться лишь усиление эксплуатации уязвимости. Но будем посмотреть.

• 43 года назад Ричард Столлман опубликовал первоначальное объявление о запуске проекта по созданию полностью свободной операционной системы GNU (GNU’s Not UNIX). С тех пор минуло ровно 42 года, проект GNU слился с Linux, а операционная система GNU/Linux победно шагает по планете, успешно развиваясь. • Если развернуть спойлер ниже, то там вы найдете текст оригинального сообщения Ричарда Столлмана, в переводе на русский язык:

Свободу Unix! Начиная с ближайшего Дня благодарения, я собираюсь написать полную совместимую с Unix программную систему под названием GNU, что значит «Gnu's Not Unix» (GNU — это не Unix), и выпустить её в свет свободной для каждого, кто может её использовать. Очень нужна помощь в виде рабочего времени, денег, программ и оборудования. Для начала GNU будет представлять собой ядро плюс все утилиты, нужные для написания и запуска программ на Си: редактор, командный интерпретатор, компилятор Си, редактор связей, ассемблер и кое-что ещё. После этого мы добавим программу форматирования текста, YACC, игру «Империя», табличный процессор и сотни других вещей. Мы надеемся выдать — со временем — всё то полезное, что обычно поставляется с системой семейства Unix, и всё прочее полезное, включая документацию в электронном виде и на бумаге. GNU сможет исполнять программы Unix, но не будет идентична Unix. Мы внесём все улучшения, какие только будут уместны, опираясь на наш опыт работы с другими операционными системами. В частности, мы планируем ввести более длинные имена файлов, номера версий файлов, устойчивую к сбоям файловую систему, поддержку терминально-независимых дисплеев, возможно, завершение имён файлов, а со временем — оконную систему на базе Лисп, в которой несколько программ на Лисп и обычных программ Unix могут разделять один экран. В качестве системных языков программирования будут доступны как Си, так и Лисп. У нас будут сетевые программы на основе chaosnet — протокола Массачусетского технологического института, значительно превосходящего протокол UUCP. Может быть, у нас будет также что-нибудь совместимое с UUCP. Кто я такой? Я — Ричард Столмен, изобретатель оригинального редактора EMACS, который много имитировали; я работаю в Лаборатории искусственного интеллекта в Массачусетском технологическом институте. У меня большой опыт работы над компиляторами, редакторами, отладчиками, командными интерпретаторами, Несовместимой системой разделения времени (НСРВ) и операционной системой на машине Лисп. Я впервые ввёл поддержку терминально-независимых дисплеев на НСРВ. Кроме того, я реализовал устойчивую к сбоям файловую систему и две оконных системы для машин Лисп. Почему я должен писать GNU Я принимаю во внимание, что золотое правило требует, что если мне нравится программа, я должен обмениваться ею с другими людьми, которым она нравится. Я не могу без стыда подписать лицензионное соглашение программы или договор о неразглашении. Так что, чтобы я мог продолжать пользоваться компьютерами без нарушения своих принципов, я решил сложить вместе достаточную массу свободных программ, чтобы я мог обойтись без любой несвободной программы. Чем вы можете помочь Я призываю производителей компьютеров приносить в дар машины и деньги. Я призываю частных лиц приносить в дар программы и труд. Отдельные программисты могут помочь, написав совместимую замену какой-нибудь из утилит Unix и передав её мне. Для большинства проектов такую распределённую работу по совместительству было бы очень трудно координировать; независимо написанные части не заработали бы вместе. Но конкретно для задачи замены Unix этой проблемы нет. Большинство спецификаций взаимодействия определяется совместимостью с Unix. Если каждый вклад будет работать с остальной Unix, он, вероятно, заработает с остальной GNU.

➡ https://www.gnu.org/gnu/initial-announcement.en.html #GNU

• Нашел отличный и простой способ запустить ОС Android на обычном ноутбуке, ПК или ВМ: проект называется redroid (Remote-Android), благодаря которому мы можем запустить Android в Docker контейнере на базе Ubuntu. Есть поддержка 8.1 - 16 версии. ➡️ https://github.com/remote-android/redroid-doc • Помимо redroid есть еще несколько интересных проектов: waydroid, Bliss-OS и Memuplay. • Дополнительно: полезный список ресурсов с готовыми образами для виртуальных машин VirtualBox и VMWare. Очень удобно для быстрого развертывания в качестве стендов для экспериментов. ➡Коллекция ресурсов, которые помогут запустить различные версии ОС прямо в браузере. ➡Подборка различных образов для VirtualBox. ➡Free VirtualBox Images от разработчиков VirtualBox. ➡Коллекция готовых VM от Oracle. ➡Абсолютно любые конфигурации VM на базе Linux и Open Sources. ➡Подборка различных образов для VMware. ➡VM на iOS и MacOS: getutm и mac.getutm. ➡Образы для Mac: mac.getutm и utmapp. #Android #VM #VirtualBox #VMware

Исследователи раскрыли подробности LPE-уязвимости в Linux, которая позволяет непривилегированному локальному пользователю получить права root. Она отслеживается как CVE-2026-31431 (CVSS: 7,8 и была названа Xint.io и Theori - Copy Fail. Как отмечают исследователи, непривилегированный пользователь может записать четыре управляемых байта в кэш страниц любого читаемого файла в системе Linux для получения root. Фактически уязвимость связана с логической ошибкой в криптографической подсистеме ядра Linux, а именно в модуле algif_aead. Проблема была обнаружена в коммите исходного кода от августа 2017 года. Успешная эксплуатация позволяет простому скрипту на Python размером 732 байта редактировать исполняемый файл с флагом setuid и получать права root практически во всех дистрибутивах Linux, выпущенных с 2017 года, включая Amazon Linux, RHEL, SUSE и Ubuntu. Сам эксплойт на Python реализуется через сокет AF_ALG в связке с authencesn(hmac(sha256),cbc(aes)) путем запуска операции записи в кэшированной копии ядра /usr/bin/su и вызова execve("/usr/bin/su") для загрузки внедренного шеллкода и запуска его от имени root. Несмотря на то, что сама по себе эта уязвимость не может быть использована удаленно, локальный непривилегированный пользователь может получить root-права, просто повредив кэш страниц исполняемого файла с установленным флагом setuid. Эта же уязвимость также имеет последствия для других контейнеров, поскольку кэш страниц используется всеми процессами в системе. В свою очередь, в ответ на раскрытие разработчики различных дистрибутивов Linux выпустили собственные предупреждения (Amazon Linux, Debian, Red Hat Enterprise Linux, SUSE и Ubuntu) Примечсательно, что Copy Fail перекликается с Dirty Pipe (CVE-2022-0847), другой уязвимостью LPE в ядре Linux, которая позволяет непривилегированным пользователям внедрять данные в кэш страниц файлов, доступных только для чтения, и в конечном итоге перезаписывать конфиденциальные файлы в системе для выполнения кода. Как отметили в Bugcrowd, ошибка копирования - это примитив того же класса, но в другой подсистеме. Оптимизация на месте 2017 года в algif_aead позволяет странице кэша страниц попасть в список доступных для записи целевых файлов ядра для операции AEAD, отправленной через сокет AF_ALG. Непривилегированный процесс затем может запустить splice() в этом сокете и выполнить небольшую целевую запись в кэш страниц файла, которым он не владеет». Опасность этой уязвимости заключается в том, что она может быть четко активирована и не требует наличия состояний гонки или смещения ядра. Более того, один и тот же эксплойт работает во всех дистрибутивах. В целом, в Xint.io ее считают уникальной, поскольку она обладает четырьмя свойствами, которые почти никогда не встречаются вместе: портативна, миниатюрна, скрытна и совместима с различными контейнерами. Она позволяет любой учетной записи пользователя, независимо от уровня ее доступа, повысить свои привилегии до полного административного доступа. Она также позволяет обходить песочницу и работает во всех версиях и дистрибутивах Linux.