Darknet Methods

2023-04-01 16:01:48 Девайс-невидимка. Встраиваемся в локальную сеть с помощью «невидимого» хакерского устройства

По­лучить несан­кци­они­рован­ный дос­туп к чужому устрой­ству мож­но не толь­ко с исполь­зовани­ем USB-пор­тов, но и через Ethernet-соеди­нение, которых в сов­ремен­ных офи­сах пре­дос­таточ­но. В этой статье мы под­робно рас­ска­жем, как зло­умыш­ленни­ки могут проб­рать­ся в локаль­ную сеть с помощью спе­циаль­ного «невиди­мого» девай­са и как этот девайс устро­ен.

Сколь­ко раз ты замечал, что где‑то в пуб­личном мес­те сто­ит прин­тер, IP-телефон или даже пол­ноцен­ный компь­ютер? Все эти устрой­ства объ­еди­няет то, что они, как пра­вило, под­клю­чены к мес­тной локаль­ной сети уже зна­комой нам витой парой.

Что, если потен­циаль­ный зло­умыш­ленник вос­поль­зует­ся оставлен­ным без вни­мания сетевым пор­том и под­клю­чит вмес­то легитим­ного устрой­ства некий спе­циаль­ный девайс, который пре­дос­тавит ему уда­лен­ный дос­туп из любого угол­ка мира? При­чем под­клю­чит это хакер­ское устрой­ство не отклю­чая основное, а вкли­нив его «посере­дине».

В качес­тве такого готово­го устрой­ства мож­но исполь­зовать Packet Squirrel. Его нет­рудно соб­рать на базе одноплат­ного компь­юте­ра Rock Pi E.

Пла­та иде­аль­но под­ходит под рас­смат­рива­емую задачу и не содер­жит ничего лиш­него: тут два Ethernet-пор­та, Wi-Fi и USB. Rock Pi E име­ет так­же опци­ональ­ную под­дер­жку PoE, что поз­волит исполь­зовать устрой­ство без питания по USB, которо­го может не ока­зать­ся в удоб­ном для под­клю­чения мес­те. Нам пот­ребу­ется прог­рам­мный хаб, который будет в точ­ности копиро­вать каж­дый при­нятый пакет с одно­го Ethernet-пор­та на дру­гой. Открыть/Комментировать

2023-03-30 16:01:23 В финале Pwn2Own эксперты взломали Windows, Ubuntu и VMWare Workstation

На конференции CanSecWest завершилось хакерское соревнование Pwn2Own, победителем которого в этом году стала французская команда Synacktiv. На состязании исследователи продемонстрировали шесть успешных эксплоитов, которые принесли им 530 000 долларов США и новенькую Tesla Model 3. Это самая крупная награда, когда-либо полученная участниками Pwn2Own.

На прошлой неделе мы уже рассказывали о результатах первых двух дней Pwn2Own Vancouver 2023 и о том, как ИБ-эксперты успешно использовали 0-day эксплоиты, скомпрометировав Tesla Model 3, Windows 11, macOS, Ubuntu и так далее.

Напомню, что бесспорным лидером первых двух дней была команда Synacktiv, в состав которой в этом году вошли Элой Бенуа-Вандербекен (Eloi Benoist-Vanderbeken), Дэвид Берар (David Berard), Винсент Деорс (Vincent Dehors), Танги Дуброка (Tanguy Dubroca), Томас Бузерар (Thomas Bouzerar) и Томас Имберт (Thomas Imbert). Открыть/Комментировать

2023-03-28 16:01:57 Уязвимость aCropalypse исправлена в Windows 11

Разработчики Microsoft уже тестируют обновленную версию инструмента Snipping Tool («Ножницы») для Windows 11, в которой исправлена недавно обнаруженная уязвимость, получившая название aCropalypse. Баг позволяет восстановить оригинал любого изображения, отредактированного с помощью Snipping Tool.

Напомню, что изначально проблему aCropalypse (CVE-2023-21036) обнаружили в устройствах Google Pixel и связали с редактором скриншотов Markup, который появился на смартфонах в 2018 году, с релизом Android 9.0 Pie.

Суть уязвимости заключается в том, как именно файл изображения открывается для редактирования и сохраняется: обрезанные или закрашенные при помощи Markup данные все равно остаются в новом сохраненном изображении, что позволяет восстановить примерно 80% исходной картинки.

Исследователи предупреждали, что aCropalypse может раскрывать конфиденциальную информацию пользователей, если они когда-либо редактировали изображение с помощью Markup, а затем делились этим файлом с другими людьми или публиковали его в интернете. Из-за уязвимости «утечь» может самая разная информация, включая конфиденциальные данные из документов, данные о местоположении, конфиденциальные URL-адреса на скриншотах браузера, номера банковских карт, лица и другие нежелательные подробности на откровенных фото, и так далее. Словом, все то, что обычно обрезают и замазывают на фотографиях и скриншотах. Открыть/Комментировать

2023-03-26 16:01:00 Поддержка Microsoft «взламывает» Windows пользователей из-за проблем с активацией

СМИ пишут, что инженеры службы поддержки Microsoft иногда используют кряки для «взлома» Windows на машине клиента, если с активацией подлинной копии операционной системы возникли проблемы.

Об одном из таких случаев рассказал в Twitter инженер-фрилансер из Южной Африки Уэсли Пайберн (Wesley Pyburn). Его подлинная копия Windows 10, стоившая 200 долларов в Microsoft Store по какой-то причине не активировалась, и Пайберн обратился в поддержку.

Специалисты поддержки первого уровня не смогли решить проблему и передали ее «выше». На следующий день Пайберн был поражен, когда как инженер второго уровня поддержки Microsoft вошел в его систему с помощью Quick Assist и крякнул ОС, используя пиратские инструменты, которые обходят процесс активации Windows. Открыть/Комментировать

2023-03-24 16:01:29 Уязвимость aCropalypse, обнаруженная в устройствах Pixel, представляет угрозу и для Windows.

ИБ-эксперты обнаружили, что уязвимость aCropalypse, позволяющая восстановить оригинал изображения отредактированного на устройстве Google Pixel (при помощи инструмента Markup), превращается в 0-day для Windows. Оказалось, баг работает и для изображений, обрезанных при помощи Windows Snipping Tool («Ножницы»), то есть для этих картинок тоже можно восстановить ранее удаленный контент.

Мы уже рассказывали о проблеме aCropalypse (CVE-2023-21036) ранее на этой неделе. Уязвимость была обнаружена ИБ-экспертами Саймоном Ааронсом (Simon Aarons) и Дэвидом Бьюкененом (David Buchanan). Она позволяет восстановить любые изображения, измененные с помощью встроенного редактора скриншотов Markup, который появился на смартфонах Pixel в 2018 году, с релизом Android 9.0 Pie.

В случае Pixel суть проблемы заключается в том, как файл изображения открывается для редактирования: обрезанные данные все равно оставались в новом сохраненном изображении, что позволяло восстановить примерно 80% исходной картинки.

Исследователи предупреждали, что aCropalypse может раскрывать конфиденциальную информацию пользователей, если они когда-то отредактировали изображение с помощью Markup, а затем поделились этим файлом с другими людьми или вообще опубликовали его в интернете. Открыть/Комментировать

2023-03-22 16:02:13 Компания Nvidia выпустила патч для драйвера дисплея (GeForce Hotfix 531.26), устраняющий недавно обнаруженные проблемы, связанные с высокой загрузкой ЦП, а также появлением «синего экрана смерти» (BSOD) в Windows 10 и Windows 11.

Проблемы начались после 28 февраля и релиза драйвера GeForce Game Ready 531.18 WHQL, в котором появилась поддержка RTX Video Super Resolution. Вскоре после выхода этого драйвера пользователи начали жаловаться, что плагин Nvidia Game Session Telemetry Plugin (NvGSTPlugin.dll), загружаемый Nvidia Display Container, увеличивает загрузку ЦП на 10% и более в системах под управлением Windows после закрытия игр или приложений для рендеринга.

Кроме того, сообщалось, что после установки драйвера пользователи сталкиваются с постоянными BSOD, от которых помогает только откат к предыдущей версии.

На этой неделе разработчики Nvidia выпустили GeForce Hotfix 531.26 для Windows 10 x64 и Windows 11 x64, который исправляет перечисленные выше проблемы. В отличие от драйверов Game Ready, эти драйверы содержат быстрые исправления, не сертифицированы WHQL и не проходят обычный процесс тестирования.

Пока патч не включен в состав Game Ready, пострадавшие пользователи, которые не хотят устанавливать хотфикс, могут смягчить проблемы, остановив процесс NVIDIA Container через диспетчер задач Windows. Открыть/Комментировать

2023-03-20 16:03:13 Поставщик небезопасности. Как windows раскрывает пароль пользователя

Windows име­ет слож­ную сис­тему аутен­тифика­ции со мно­жес­твом ком­понен­тов. Фун­дамен­том этой сис­темы мож­но счи­тать LSA (Local Security Authority) и SSP.

LSA — огромная под­систе­ма, которая слу­жит для про­вер­ки под­линнос­ти поль­зовате­лей, их регис­тра­ции, сме­ны пароля и подоб­ных опе­раций. Еще в LSA хра­нит­ся информа­ция обо всех аспектах безопас­ности локаль­ного компь­юте­ра, нап­ример количес­тве неус­пешных вво­дов пароля для бло­киров­ки учет­ной записи. Пос­редс­твом LSA мож­но даже наз­начать при­виле­гии поль­зователь­ским учет­кам, для это­го раз­работан инс­тру­мент Privileger.

SSP тоже не так прост, как кажет­ся: мы рас­смот­рели его исполь­зование в кли­ент‑сер­верных про­цес­сах в прош­лой статье. Он не толь­ко помога­ет раз­работ­чикам шиф­ровать дан­ные, обес­печивать целос­тность переда­ваемой информа­ции, выс­тра­ивать кон­текст, но и может рас­ширить стан­дар­тную аутен­тифика­цию. Прав­да, для этой цели будет исполь­зовать­ся не прос­то SSP, а SSP/AP, о котором мы погово­рим поз­же.

Их мож­но счи­тать кир­пичика­ми, из которых стро­ится вся огромная сис­тема аутен­тифика­ции в Windows. Отме­чу, что теория из этой статьи будет рас­простра­нять­ся и на пос­леду­ющий матери­ал. Мы нач­нем с прос­тей­шего перех­вата пароля, а затем будем понем­ногу усложнять себе задачу. Открыть/Комментировать

2023-03-18 16:01:22 Опасный модем. Закрепляемся в атакованной системе при помощи USB-модема.

Ес­ли у зло­умыш­ленни­ка есть непос­редс­твен­ный дос­туп к компь­юте­ру потен­циаль­ной жер­твы, он может обес­печить себе пос­тоян­ный и бес­перебой­ный канал свя­зи. Про­ще все­го исполь­зовать для это­го обыч­ный USB-модем

Что, если кто‑нибудь вос­поль­зует­ся оставлен­ным без вни­мания компь­юте­ром и под­клю­чит к нему спе­циаль­ный девайс, по которо­му затем получит уда­лен­ный дос­туп из любого угол­ка мира? Вся опи­сан­ная мною ранее ма­гия с эму­ляци­ей устрой­ств через USB может ока­зать­ся в рас­поряже­нии зло­умыш­ленни­ка. Толь­ко теперь он нап­равит уси­лия не на ата­ку, а на под­держа­ние уда­лен­ного дос­тупа.

За­думы­вал­ся ли ты о том, что сов­ремен­ные 4G-модемы (HiLink) — это устрой­ства чуть боль­ше флеш­ки с нас­тоящим Linux внут­ри? Нап­ример, Android 2.3 / Linux 3.4.5 + VxWorks v6.8 для GSM. Это пол­ностью авто­ном­ные устрой­ства с питани­ем по USB. Сра­зу пос­ле под­клю­чения к компь­юте­ру ОС модема за нес­коль­ко секунд заг­ружа­ется и эму­лиру­ет свой USB как сетевую кар­ту.

Для опи­сыва­емой в этой статье ата­ки луч­шим аппа­рат­ным решени­ем будет непос­редс­твен­но сам HiLink-модем: он ком­пактен и име­ет 4G-модуль. Это может быть, нап­ример, популяр­ный Huawei E3372h-153, который поз­воля­ет сде­лать переп­рошив­ку, к тому же у него богатая под­дер­жка сооб­щес­твом энту­зиас­тов. Открыть/Комментировать

2023-03-16 16:02:11 В даркнете нанимают веб-разработчиков и пентестеров

Результаты интересного исследования опубликовали специалисты «Лаборатории Касперского». Аналитики изучили вакансии в даркнете, собрав данные со 155 русско- и англоязычных форумов и отобрав для анализа более 800 объявлений на тему поиска и предложения работы. Оказалось, что наиболее востребованы на черном рынке труда веб-разработчики и специалисты по проведению атак, то есть пентестеры.

По итогам исследования, сообщений от потенциальных кандидатов оказалось значительно меньше, чем объявлений с вакансиями: доля резюме составляла 17%. Вероятно, это связано с тем, что соискатели активнее откликаются на опубликованные вакансии, чем оставляют сведения о себе.

Как оказалось, больше всего объявлений было опубликовано в марте 2020 года, что вероятно связано с началом пандемии COVID-19 и последовавшими изменениями на рынке труда.

Основным «работодателем» в даркнете выступают команды хакеров и APT-группировки, которые ищут людей, способных заниматься разработкой вредоносного кода, его распространением, создавать и поддерживать IT-инфраструктуру и прочее Открыть/Комментировать

2023-03-15 17:02:03 Бесплатно (вместо 3622р) получаем программу для удаления вотермарок с фотографий — SoftOrbits Photo Stamp Remover

1. Переходим по ссылке и заполняем форму;
2. Скачиваем программу по ссылке и вводим полученный код. Открыть/Комментировать