Запретить прямой доступ в интернет это отличный вариант. Главное помнить про наличие хорошо работающих техник DNS/ICMP туннелирования. Видел варианты, когда доступа в интернет как бы нет, но он есть...
Прокси может и не спасти, поскольку есть варианты минимальный дроппер притащить в теле документа, после чего он выгружается на диск, запускается и остальное уже докачивает оттуда, вычитывая из системных настроек настройки прокси. Да, это сильно триггерит антивирусы/EDR. Но всё это при желании обходится.
Знаю такие места, увы... Просто в ситуации с вирусами на VBA решений по сути всего 2. 1. Отключить возможность использования VBA. 2. Надеяться, что разработчики разных защитных решений чуть впереди людей, зарабатывающих этим деньги, и для которых обход защитных решений одна из основных целей для стабильного получения дохода.
Ну есть еще третий пункт, перейти на что-то, для чего пока нет такого количества атак. Раньше это был Linux и MacOS, но теперь ситуация с ними заметно изменилась, поскольку спрос рождает предложение.
Всё остальное, это попытка обогнать опытных злоумышленников в гонке "Снаряд-броня".
Статья абсолютно точно не перевод, но при написании статьи было проделано очень много аналитической работы с различными материалами, которые в основном доступны исключительно на английском. Это накладывает определённый отпечаток на стиль повествования.
«Как проверить? Посмотрите мое 4-х минутное видео и обязательно подпишитесь на мой канал! Иначе никак!
Что, это не ютьюб? Да и всё равно… А, ну вот вам бессмысленный список команд чтоб отстали»
Простите, но статья принесла бы хоть немного пользы расскажи вы как устроен Pegasus и сделав действительно туториал, а не ссылку на свои соцсети и ютьюб вместо статьи…
Не совсем. Флаг запуска +x прекрасно ставится и без рут прав. Более того, в линуксе тот же скрипт можно запустить как ./evil-script.sh, тогда он потребует прав на исполнение, но можно и как «bash evil-script.sh». Тогда права у файла могут быть только read.
Без прав рута системе навредить сложнее, но тут в дело вступают инфостилеры, им не нужны рутовые права, ваши данные STEAM или пароли в браузере они утащат и так и с радостью подключат вас к скрытому майнингу + если вдруг не обновляли систему давно, то тот же polkit предоставит им рутовые права.
Под Linux системы сейчас выходит достаточно много малвари, попробую сделать разбор интересной в ближайшее время)
В телеграмм канале «SecAtor» (чтобы соблюсти авторские права на текст)
было гораздо более понятное объяснение произошедшего.
Разработчик Стивен Лейси обнаружил [1, 2] широко распространенную атаку вредоносного ПО на GitHub, затронувшую около 35 000 репозиториев программного обеспечения.
Речь идет о клонировании тысяч репозиториев GitHub в рамках нацеливания на ничего не подозревающих разработчиков. Тысячи проектов являются форками известных проектов, таких как crypto, golang, python, js, bash, docker, k8s и др., правда с начинкой в виде бэкдоров.
В анализа одного из них с открытым исходным кодом инженер заметил следующий URL-адрес в коде hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru.
При поиске GitHub по этому URL-адресу было найдено более 35 000 результатов, отображающих файлы с вредоносным URL-адресом. При этом более 13 000 результатов поиска соответствовали одному репозиторию под названием redhat-operator-ecosystem, который был оперативно удален с GitHub.
Разработчик Джеймс Такер указал, что клонированные репозитории, содержащие вредоносный URL-адрес, не только извлекают переменные среды пользователя, но и дополнительно содержат однострочный бэкдор.
Эксфильтрация переменных среды сама по себе может предоставить злоумышленникам ключи API, токены, учетные данные Amazon AWS и криптографические ключи, где это применимо.
Подавляющее большинство клонированных репозиториев были изменены с помощью вредоносного кода в течение последнего месяца. Тем не менее, были и репозитории с вредоносными коммитами, датированными еще 2015 годом.
GitHub удалил вредоносные клоны со своей платформы после получения отчета инженера. Тем не менее ресерчер Флориан Рот предоставил правила Sigma для обнаружения вредоносного кода в среде.
Разработчикам следует не забывать использовать ПО исключительно из официальных репозиториев и внимательно отслеживать потенциальные опечатки или разветвления репозитория, которые могут казаться идентичными исходному проекту, но скрывать вредоносное ПО.
Кстати насчет «MAU всегда должен быть одним числом» хотелось бы поспорить.
В результате вашего запроса получается та самая «средняя температура по больнице».
В случае столбца Месяц — MAU видна динамика продукта, например,
Январь — 5000
Февраль — 7000
Март — 2000
Апрель — 13000
Май — 15000
По этой динамике можно увидеть дыру в марте, связанную, например, с неудачным продуктовым решением в виде монетизации. А так же виден рост количества активных пользователей.
Если же брать MAU как среднее за месяцы, то будет 8400. При этом абсолютно не видна динамика, может это уже остатки от прежних 5000 или наоборот, была 1000, а стало 8400 и это хорошо! Как абсолютное число смысл имеет, но небольшой.
Тем не менее, они одни из авторов оригинального отчета, использовавшегося при написании данной статьи. Вполне возможно, что у них есть большая инфраструктура VMware, подвергшаяся данной атаке и они потому и подготовили совместный отчет. "The Cybersecurity and Infrastructure Security Agency (CISA) and United States Coast Guard Cyber Command (CGCYBER) are releasing this joint Cybersecurity Advisory (CSA) to warn network defenders that cyber threat actors, including state-sponsored advanced persistent threat (APT) actors, have continued to exploit CVE-2021-44228 (Log4Shell) in VMware Horizon® and Unified Access Gateway (UAG) servers to obtain initial access to organizations that did not apply available patches or workarounds"
Насколько я помню, такое было с закрытием «PrintNightmare». Правда в том случае был выбор в виде закрытой уязвимости, но неработающей в некоторых случаях печати или оставшейся уязвимости, но нормальной печати.
Я уже отошел от поддержки сети, сужу скорее по обсуждениям в профильных чатиках.
Есть негласное правило "Не работать по RU".
А в чем опасения? Файлы более чем достаточно устойчивы ко взлому, если вы храните в секрете парольную фразу и она сложная.
Passbolt. Отличное self-hosted решение, даже в бесплатном варианте.
Кстати всё хотел добавить, что в сообщении не только опечатка в слове "this". Word, как имя собственное продукта, тоже всегда пишется с большой буквы!
Ну и само построение фразы достаточно костыльное)
Многие мои предыдущие телефоны сразу же выключались при открытии лотка SIM.
Запретить прямой доступ в интернет это отличный вариант. Главное помнить про наличие хорошо работающих техник DNS/ICMP туннелирования. Видел варианты, когда доступа в интернет как бы нет, но он есть...
Прокси может и не спасти, поскольку есть варианты минимальный дроппер притащить в теле документа, после чего он выгружается на диск, запускается и остальное уже докачивает оттуда, вычитывая из системных настроек настройки прокси. Да, это сильно триггерит антивирусы/EDR. Но всё это при желании обходится.
Знаю такие места, увы...
Просто в ситуации с вирусами на VBA решений по сути всего 2.
1. Отключить возможность использования VBA.
2. Надеяться, что разработчики разных защитных решений чуть впереди людей, зарабатывающих этим деньги, и для которых обход защитных решений одна из основных целей для стабильного получения дохода.
Ну есть еще третий пункт, перейти на что-то, для чего пока нет такого количества атак. Раньше это был Linux и MacOS, но теперь ситуация с ними заметно изменилась, поскольку спрос рождает предложение.
Всё остальное, это попытка обогнать опытных злоумышленников в гонке "Снаряд-броня".
Если отбросить сарказм, когда вам в последний раз требовались VBA макросы при офисной работе?
Запретить групповой политикой макросы в документах.
«оказание медЕцинских услуг».
Хотя кого это нынче удивляет…
Похоже на опечатку. В запросе на аутентификацию действительно сессионного ключа нет.
Что, это не ютьюб? Да и всё равно… А, ну вот вам бессмысленный список команд чтоб отстали»
Простите, но статья принесла бы хоть немного пользы расскажи вы как устроен Pegasus и сделав действительно туториал, а не ссылку на свои соцсети и ютьюб вместо статьи…
portswigger.net/web-security/authentication/password-based
P.S. Скриншоты 7 летней давности особенно впечатляют, как уже выше указали)
Даже на оригинальной странице висит плашка «This page may be out of date»
Без прав рута системе навредить сложнее, но тут в дело вступают инфостилеры, им не нужны рутовые права, ваши данные STEAM или пароли в браузере они утащат и так и с радостью подключат вас к скрытому майнингу + если вдруг не обновляли систему давно, то тот же polkit предоставит им рутовые права.
Под Linux системы сейчас выходит достаточно много малвари, попробую сделать разбор интересной в ближайшее время)
было гораздо более понятное объяснение произошедшего.
В результате вашего запроса получается та самая «средняя температура по больнице».
В случае столбца Месяц — MAU видна динамика продукта, например,
Январь — 5000
Февраль — 7000
Март — 2000
Апрель — 13000
Май — 15000
По этой динамике можно увидеть дыру в марте, связанную, например, с неудачным продуктовым решением в виде монетизации. А так же виден рост количества активных пользователей.
Если же брать MAU как среднее за месяцы, то будет 8400. При этом абсолютно не видна динамика, может это уже остатки от прежних 5000 или наоборот, была 1000, а стало 8400 и это хорошо! Как абсолютное число смысл имеет, но небольшой.
Тем не менее, они одни из авторов оригинального отчета, использовавшегося при написании данной статьи. Вполне возможно, что у них есть большая инфраструктура VMware, подвергшаяся данной атаке и они потому и подготовили совместный отчет.
"The Cybersecurity and Infrastructure Security Agency (CISA) and United States Coast Guard Cyber Command (CGCYBER) are releasing this joint Cybersecurity Advisory (CSA) to warn network defenders that cyber threat actors, including state-sponsored advanced persistent threat (APT) actors, have continued to exploit CVE-2021-44228 (Log4Shell) in VMware Horizon® and Unified Access Gateway (UAG) servers to obtain initial access to organizations that did not apply available patches or workarounds"Я уже отошел от поддержки сети, сужу скорее по обсуждениям в профильных чатиках.