Information Security дайджест #12: NotPetya рік потому, атмосферне UA-CTF, АРТ і їхні домашні рисорчеры, ZeroNights 2018

Дайджест створено у співавторстві з Павлом Кривко .

00h > Інтро

Привіт! У передноворічному випуску ми розповімо про те, як пройшов UA-CTF в Києві, покажемо матеріали ZeroNights 2018, поговоримо про злами в Україні та світі, поділимося парочкою авторських статей та інфою за вразливостей і сплойтам. Не пропустіть самий жирний випуск минає!

01h > Гаряче

Нещодавно опублікована невідомим автором стаття «Особливості національного АПТ, або Як я вивчав страшні кібератаки», присвячена мамкиным рисорчерам, сколихнула профільне ком'юніті. В властивою автору манері викладу, піднімається проблематика висмоктаних з пальця досліджень і домислів без реального фактажу.

У Києві відбулася щорічна конференція з інформаційної та кібербезпеки UISGCON14 . Якісне відео з доповідями та презентаціями різних потоків цього великого івенту вже доступно для всіх, на Youtube-каналі Securit13 Podcast. До речі, а хіба ви ще не постійний слухач першого українського подкасту по ІБ ?

Хочеться відзначити офігенно атмосферне UA-CTF , який пройшов у Києві 16 листопада. Учасники рубалися за призи в режимі 24 non-stop, в кльовою локації, над завданнями, які були максимально наближені до реальних кейсів киберинцидентам 2018 року. Це перший захід в Україні, проведений саме у такому форматі — враження можна скласти по фоткам з івенту , який, до речі, був безкоштовним. Основний контингент складався з учасників найбільшого в Україні true 1337 h4?0r ком'юніті — київської Defcon групи DC8044 , проте були хлопці і з інших міст. В підсумку — абсолютно подібний захід високого рівня, яке тепер буде проводитися на регулярній основі і з великим розмахом!

Анонсована влітку стаття побачила світ : «Атака NotPetya, більше року тому. Відповіді на соромітні питання про кібербезпеки країни». Автор натякає, що в контексті кибербеза у нас не все гладко, і проливає трохи світла на те, що відбувається. Трошки інсайдів, трошки оціночних суджень і вийшов непоганий супец, зварений на особливості ІБ по-українськи.

Всі презентації, відео та слайди однією з топових світових конференцій з кибербезу, Zeronights 2018, вже доступні і включають в себе два потоку: основний і потік web village. Хотілося б відзначити незмінно високий рівень вмісту та організації самого заходу.

Поліклініку № 2 Управління справами Президента РФ атакувала невідома хакерська група, з використанням zero-day експлоїта під Flash. Дослідження вже опубліковано в різних джерелах, а сліди хакерської APT-групи ведуть в Україну. Варто відзначити, що атака сталася практично відразу після інциденту в Керченській протоці.

Одному з авторів цього дайджесту вдалося викрасти чужий ботнет, що складається з багатьох сотень тролів ФБ, Инсты і ВК. Привіт!

02h > Близько сек'юріті

Бангладешські школярі знову мають наш державний сайт. На цей раз жертвою стала Державна служба України з лікарських засобів та контролю за наркотиками. Автори дефейса залишили свої контакти, імовірно щоб їм відсипали якого-небудь придатного стаффа за проведений баг хантінг.

Невідомі, скориставшись недоліками в API-інструментарії майданчики OLX.ua, спарсили базу оголошень цього українського сервісу (за період, порядку, дев'яти днів). Вийшов масив з 55 ДО записів, серед яких: ІД оголошення, телефон продавця, місто, дата, категорія, ім'я продавця і посилання на оголошення Десь на просторах гхостбина можна знайти якесь посилання , актуальність якої під сумнівом.

КБ «Південне» запустило найпотужніший в Україні суперкомп'ютер, який вночі нашептав прибиральниці про XSS на сайті КБ «Південне».

У Генштабі заявили , що «підрозділи кібербезпеки ВСУ перейшли в бойовий режим роботи». В якому режимі перебували ці підрозділи до сьогоднішнього дня — загадка.

Розкидані іграшки, труси на батареї і помийне відро. Киберполиция відзвітувала про затримання членів транснаціональної хакерської групи з оборотом в 22 мільйони USD.

Лабораторія CISCO Talos опублікувала дослідження про TeleGrab: з допомогою цієї малварі можна красти користувальницькі повідомлення в сервісі Telegram.

Хакери інфікують Linux-сервера рансомварью JungleSec через IPMI Remote консоль.

Сервіс Gazorp, розміщений в TOR, дозволяє самостійно зібрати собі бинарь з популярним стілером AzorUlt версії 3.0, вам потрібно тільки вказати адресу свого С2 сервера і отримати готовий білд. Зручно, комфортно, для людей.

03h > Цікаве

Придатна колекція свіжих семплів різної малварі знаходиться тут . Зразки згруповані за назвами APT і регулярно оновлюються. Вхід поки тільки через TOR. На поточний момент це один з кращих репозиторіїв APT-семплів, який я бачив.

Ви займаєтеся malware-аналізом, а може бути, працюєте в SOC/CSIRT? Тоді ця програма для вас: автоматична ідентифікація і класифікація малварі (сканування сорц коду via Yara), одержання дампа оригінального коду, інтеграція з купою корисних open source тулзовин і зручний інтерфейс. Безкоштовно. А демка ось тут .

За ком'юніті гуляє посилання на інтерв'ю з розробником якоїсь гучної останнім часом малварі, одним з відомих амбассадоров хекерской сцени СНД.

Основна маса новин та інформації про події в світі безпеки ICS/SCADA знаходяться на профільному каналі в Telegram.

Невелика, але вдала добірка тематичної літератури доступна на Мегей. Серед книжок є такі хіти, як Practical Malware Analysis, Hacking — The Art of Exploitation, Serious Cryptography і ряд інших.

Опенсорсная тулза для реверсу і аналізу Android APK допоможе ресерчерам і ентузіастам.

Прикольний сервіс для моніторингу радіостанцій по всьому світу ще і ликает географічне розташування користувачів, які стримят аудіо через FB і VK.

Хороша і корисна підбірка матеріалів по Active Directory Attack & Defense опублікована тут .

Відео доповідей із зустрічі DEFCON MOSCOW 15 вже доступно до перегляду. DNS-тунелювання в нинішніх реаліях, міфологія про приватних месенджерах, рекон веб-додатків і інші цікаві теми!

Можливо, вам сподобається чергова варіація на тему NETworkManager-ів.

Днями PENTESTIT запустили свіжу «Test lab» v.12 — лабораторію тестування на проникнення, що імітує роботу реальної корпоративної мережі. Спробувати свої сили можна тут . А гайд від розробників опублікували на Хабре.

Степ бай степ: розбираємо шкідливий .LNK файл від APT29, на пальцях.

Корисний збірник живих прикладів по деобфускации PowerShell з різних malware семплів, з поясненнями від автора.

Ви досі не відрізняєте результати різних хеш функцій один від одного? Це не буде проблемою, якщо завчити на пам'ять табличку з прикладами.

Bellingcat's Online Investigation Toolkit буде цікавий тим, хто займається OSINT та іншої розвідкою. Документ доступний на гугл-диску.

І в продовження теми OSINT, стаття з описом базового «must have» інструментарію для розвідки в 2019 році від гуру з команди SpiderFoot, — Steve Micallef.

04h > Уразливості && Експлоїти

Допиленный сплойт під MS17-010, з розширеним функціоналом і модифікований, з урахуванням реалізації реверс-шелла.

Readfile 0-day сплойт під Win недовго залишався приватним. Його можна було придбати за цілком підйомні гроші незабаром після появи, а потім він і зовсім був вилитий у паблік автором SandboxEscaper , який дисклозит свої 0day вже не перший раз. Актуальна на поточний момент посилання для завантаження РоС-сплойта тут (але все може змінитися в будь-який момент).

Заинжектить шкідливий HTML/Javascript в документ Word 2016? Немає нічого простіше з використанням відповідної уразливості і скриптів PowerShell.

Експлоїт під нещодавно патченную вразливість CVE-2018-15982 Flash, опублікований ентузіастом на GitHub.

Уразливості в ПЗ для планшетів патрульних Національної поліції України? Noname-компанія для тендерів та реалізації спеціалізованого софту? Що відбувається? Подробиці в цій статті .

05h > Фан

Український гідрометеорологічний центр зазнав нападу highly sophisticated ROFL APT, нещодавно відкритого класу APT нового покоління. Вони похекали поштовий сервер Укргидромета, так як дані SMTP учеткі на GitHub. Більше комітів — більше атак!

Цікава та загадкова фігня . Спробуйте свої сили.

Відомий тематичний форум Античат поділився передноворічним музичним треком, який припаде до душі прихильникам цієї спільноти.

Пішов у магазин і без ? Так ви вайтхет!

06h > Аутро

Happy Holidays 4all! XD


? Попередній випуск: Information Security дайджест #11 .
Наступний випуск: Information Security дайджест #13 ?

Опубліковано: 29/12/18 @ 08:00
Розділ Безпека

Рекомендуємо:

Підсумки 2018: досягнення людей та компаній в одному реченні
Як я працюю: Антон Бойко, Senior Solution Architect в Ciklum і засновник Microsoft-спільноти
Senior у пошуках роботи. Про питання на системний дизайн та фінальні співбесіди
Junior дайджест: курси, стажування, вакансії. Січень'19
Product Management дайджест #6: A/B тестування в Twitter, пріоритизація фіч за моделлю Кано