Information Security дайджест #12: NotPetya год спустя, атмосферный UA-CTF, АРТ и их домашние рисорчеры, ZeroNights 2018
Дайджест создан в соавторстве с Павлом Кривко.
00h > Интро
Привет! В предновогоднем выпуске мы расскажем о том, как прошел UA-CTF в Киеве, покажем материалы ZeroNights 2018, поговорим о взломах в Украине и мире, поделимся парочкой авторских статей и инфой по уязвимостям и сплойтам. Не пропустите самый жирный выпуск уходящего года!
01h > Горячее
Недавно опубликованная неизвестным автором статья «Особенности национального АПТ, или Как я изучал страшные кибератаки», посвященная мамкиным рисорчерам, всколыхнула профильное комьюнити. В свойственной автору манере изложения, поднимается проблематика высосанных из пальца исследований и домыслов без реального фактажа.
В Киеве состоялась ежегодная конференция по информационной и кибербезопасности UISGCON14. Качественное видео с докладами и презентациями разных потоков этого большого ивента уже доступно для всех, на Youtube-канале Securit13 Podcast. Кстати, а разве вы еще не постоянный слушатель первого украинского подкаста по ИБ?
Хочется отметить офигенно атмосферный UA-CTF, который прошел в Киеве 16 ноября. Участники рубились за призы в режиме 24 non-stop, в клевой локации, над задачами, которые были максимально приближены к реальным кейсам и киберинцидентам 2018 года. Это первое мероприятие в Украине, проведенное именно в таком формате — впечатление можно составить по фоткам с ивента, который, к слову, был бесплатным. Основной контингент состоял из участников самого большого в Украине true 1337 h4×0r комьюнити — киевской Defcon группы DC8044, однако были ребята и из других городов. В итоге — абсолютно состоявшееся мероприятие высокого уровня, которое теперь будет проводиться на регулярной основе и с большим размахом!
Анонсированная летом статья увидела свет: «Атака NotPetya, больше года спустя. Ответы на стыдные вопросы о кибербезопасности страны». Автор намекает, что в контексте кибербеза у нас не все гладко, и проливает немного света на происходящее. Немножко инсайдов, немножко оценочных суждений и получился неплохой супец, сваренный на особенностях ИБ по-украински.
Все презентации, видео и слайды одной из топовых мировых конференций по кибербезу, Zeronights 2018, уже доступны и включают в себя два потока: основной и поток web village. Хотелось бы отметить неизменно высокий уровень контента и организации самого мероприятия.
Поликлинику № 2 Управления делами Президента РФ атаковала неизвестная хакерская группа, с использованием zero-day эксплоита под Flash. Исследование уже опубликовано в разных источниках, а следы хакерской APT-группы ведут в Украину. Стоит отметить, что атака произошла практически сразу после инцидента в Керченском проливе.
Одному из авторов этого дайджеста удалось угнать чужой ботнет, состоящий из многих сотен троллей ФБ, Инсты и ВК. Привет!
02h > Около секьюрити
Бангладешские школьники снова поимели наш государственный сайт. На этот раз жертвой стала Государственная служба Украины по лекарственным средствам и контролю за наркотиками. Авторы дефейса оставили свои контакты, предположительно чтобы им отсыпали какого-нибудь годного стаффа за проведенный баг хантинг.
Неизвестные, воспользовавшись недостатками в API-инструментарии площадки OLX.ua, спарсили базу объявлений этого украинского сервиса (за период, порядка, девяти дней). Получился массив из 55К записей, среди которых: ИД объявления, телефон продавца, город, дата, категория, имя продавца и ссылка на объявление Где-то на просторах гхостбина можно найти какую-то ссылку, актуальность которой под сомнением.
КБ «Южное» запустило самый мощный в Украине суперкомпьютер, который ночью нашептал уборщице про XSS на сайте КБ «Южное».
В Генштабе заявили, что «подразделения кибербезопасности ВСУ перешли в боевой режим работы». В каком режиме находились эти подразделения до сегодняшнего дня — загадка.
Разбросанные игрушки, трусы на батарее и помойное ведро. Киберполиция отчиталась о задержании членов транснациональной хакерской группы с оборотом в 22 миллиона USD.
Лаборатория CISCO Talos опубликовала исследование о TeleGrab: с помощью этой малвари можно красть пользовательские сообщения в сервисе Telegram.
Хакеры инфицируют Linux-сервера рансомварью JungleSec через IPMI Remote консоль.
Сервис Gazorp, размещенный в TOR, позволяет самостоятельно собрать себе бинарь с популярным стилером AzorUlt версии 3.0, вам нужно только указать адрес своего С2 сервера и получить готовый билд. Удобно, комфортно, для людей.
03h > Интересное
Годная коллекция свежих семплов различной малвари находится тут. Образцы сгруппированы по названиям APT и регулярно обновляются. Вход пока только через TOR. На текущий момент это один из лучших репозиториев APT-семплов, который я видел.
Вы занимаетесь malware-анализом, а может быть, работаете в SOC/CSIRT? Тогда эта софтина для вас: автоматическая идентификация и классификация малвари (сканирование сорц кода via Yara), получение дампа оригинального кода, интеграция с кучей полезных open source тулзовин и удобный интерфейс. Бесплатно. А демка вот тут.
По комьюнити гуляет ссылка на интервью с разработчиком некой нашумевшей последнее время малвари, одним из известных амбассадоров хекерской сцены СНГ.
Основная масса новостей и информации о различных событиях в мире безопасности ICS/SCADA находятся на профильном канале в Telegram.
Небольшая, но удачная подборка тематической литературы доступна на Меге. Среди книжек есть такие хиты, как Practical Malware Analysis, Hacking — The Art of Exploitation, Serious Cryptography и ряд других.
Опенсорсная тулза для реверса и анализа Android APK поможет ресерчерам и энтузиастам.
Прикольный сервис для мониторинга радиостанций по всему миру еще и ликает географическое расположение пользователей, которые стримят аудио через FB и VK.
Хорошая и полезная подборка материалов по Active Directory Attack & Defense опубликована тут.
Видео докладов со встречи DEFCON MOSCOW 15 уже доступно к просмотру. DNS-туннелирование в нынешних реалиях, мифология о приватных мессенджерах, рекон веб-приложений и другие интересные темы!
Возможно, вам понравится очередная вариация на тему NETworkManager-ов.
На днях PENTESTIT запустили свежую «Test lab» v.12 — лабораторию тестирования на проникновение, имитирующую работу реальной корпоративной сети. Попробовать свои силы можно тут. А гайд от разработчиков опубликовали на Хабре.
Степ бай степ: разбираем вредоносный .LNK файл от APT29, на пальцах.
Полезный сборник живых примеров по деобфускации PowerShell из различных malware семплов, с пояснениями от автора.
Вы до сих пор не отличаете результаты разных хеш функций друг от друга? Это не будет проблемой, если заучить на память табличку с примерами.
Bellingcat’s Online Investigation Toolkit будет интересен тем, кто занимается OSINT и прочей разведкой. Документ доступен на гугл-диске.
И в продолжение темы OSINT, статья с описанием базового «must have» инструментария для разведки в 2019 году от гуру из команды SpiderFoot, — Steve Micallef.
04h > Уязвимости && Эксплоиты
Допиленный сплойт под MS17-010, с расширенным функционалом и модифицированный, с учетом реализации реверс-шелла.
Readfile
Заинжектить вредоносный HTML/Javascript в документ Word 2016? Нет ничего проще с использованием соответствующей уязвимости и скрипта PowerShell.
Эксплоит под недавно патченную уязвимость CVE-2018-15982 во Flash, опубликован энтузиастом на GitHub.
Уязвимости в ПО для планшетов патрульных Национальной полиции Украины? Noname-компания для тендеров и реализации специализированного софта? Что происходит? Подробности в этой статье.
05h > Фан
Украинский гидрометеорологический центр подвергся нападению highly sophisticated ROFL APT, недавно открытого класса APT нового поколения. Они похекали почтовый сервер Укргидромета, так как данные SMTP учетки были общедоступны на GitHub. Больше коммитов — больше атак!
Интересная и загадочная фигня. Попробуйте свои силы.
Известный тематический форум Античат поделился предновогодним музыкальным треком, который придется по душе фанам этого сообщества.
Пошел в магазин и без приватного сплоента? Да вы вайтхет!
06h > Аутро
Happy Holidays 4all! XD
← Предыдущий выпуск: Information Security дайджест #11.