В 2014 году компания Байкал Электроникс приобрела лицензию на самое передовое на тот момент процессорное ядро. После череды инцидентов, повлиявших на дальнейший исход событий, в октябре 2019-го года компания официально представила широкой общественности первый российский процессор общего назначения, реализованный на архитектуре ARM. Создатели решают назвать своё уникальное отечественное детище «Baikal-М».
Если помните, недавно мы рассказывали о том, как специалисты нашего экспертного центра безопасности (PT Expert Security Center, PT ESC) обнаружили новую, ранее неизвестную APT-группировку, получившую название ChamelGang (ее профайл смотрите здесь). Это произошло, когда нашу команду по реагированию на инциденты ИБ пригласили расследовать множественные срабатывания антивирусных средств защиты с вердиктом Cobalt Strike Beacon в российской топливно-энергетической компании.
Уже после расследования первого инцидента, в рамках мониторинга угроз информационной безопасности (threat intelligence) и анализа только что выявленной группировки, специалисты PT ESC обнаружили еще одну ее успешную атаку, идентифицировали и оповестили новую жертву — предприятие авиапрома России — и помогли оперативно устранить угрозу. Как и в первом случае, преступники были нацелены на похищение информации, однако быстрое обнаружение APT-группы и противодействие ей позволили предотвратить кражу.
Сегодня мы поделимся главными моментами этого расследования. Полный отчет с техническими подробностями обоих инцидентов читайте по ссылке.
Заключительная часть статьи, посвященной средствам автоматизации анализа вредоносных программ. В этой части рассматриваются способы деобфускации вызовов функций API на примере программ-вымогателей REvil и BlackMatter.
После написания поста Zigbee роутер с WiFi или прокачиваем модуль управления Триколор GS SMH-ZW-I1 меня стали терзать смутные сомнения, что многое осталось недосказанным, недопаянным и недопрошитым.
На самом деле прошить чип CC2351 в координатор или роутер Zigbee довольно тривиальная задача, и гораздо интереснее сделать на его основе END-Device. Большинство читателей Хабра знакомы с Arduino или ESP8266, и знают, что каждый новичок, изучающий основы программирования микроконтроллеров и схемотехники на этих платах для разработки первым делом учится мигать светодиодом. Поэтому предлагаю рассмотреть модуль управления Триколор GS SMH-ZW-I1 в качестве своеобразной платы для разработки и тоже помигать имеющимся на ней светодиодом. Сделать это можно не написав ни единой строчки кода, с помощью конфигуратора замечательной прошивки от ptvo , специально предназначенной для создания своих Zigbee устройств на чипах CC2530, CC2531, да еще и с поддержкой усилителей сигнала CC2590, CC2591, CC2592, RFX2401.
Тем, кому стало интересно - добро пожаловать под кат!
На киберарене появился новый участник: специалисты PT Expert Security Center обнаружили ранее неизвестную преступную группировку. В России она пока нацелена на организации топливно-энергетического комплекса и авиационной промышленности. Злоумышленники используют на сегодняшний день достаточно редкий — в силу сложности исполнения — тип атак trusted relationship (атаки через доверительные отношения) и активно эксплуатируют цепочку уязвимостей ProxyShell, о которой впервые стало известно в августе этого года. Вдобавок хакеры стараются максимально маскировать свою активность под легитимную — для этого они используют особенности ОС и правдоподобные фишинговые домены, например таких компаний, как Microsoft, TrendMicro, McAfee, IBM и Google.
Интерес новой APT-группы направлен на хищение данных из скомпрометированных сетей жертв. После получения доступа в сеть целевого предприятия хакеры могут несколько месяцев оставаться незамеченными — изучать сеть компании для захвата контроля над критически важными серверами и узлами в разных сегментах.
В новой статье рассказываем, как расследовали атаку на топливно-энергетическую компанию и ее дочернюю организацию, выявили активность новой группировки, а также разбираем методы и инструменты, которые она применяла.
По ссылке представлен полный отчет о расследовании. В нем приведен детальный анализ вредоносного ПО, в том числе не встречавшихся ранее бэкдоров, и индикаторы компрометации, которые могут быть использованы для выявления следов атаки.
Увлечение Умным домом постепенно захватывает все больше и больше людей, ведь на рынке появляются разнообразные решения, отличающиеся не только ценой, экосистемой и используемыми протоколами, но и возможностью интеграции в Opensource системы УД, такие как HomeAssistant, OpenHAB и так далее и тому подобное.
А те устройства, что не умеют или не хотят интегрироваться никуда кроме родной экосистемы, многочисленные энтузиасты шевелят палочкой дорабатывают с помощью паяльника, программатора и инопланетных технологий полученных из Ноосферы, и все равно интегрируют!
Предлагаю вам, уважаемые читатели Хабра, обратить внимание на модуль управления умным домом Триколор под кодовым названием GS SMH-ZW-I1, и сделать на его основе что нибуть полезное, необычное и практичное.
"Почему именно модуль управления GS SMH-ZW-I1 от компании Триколор?" - спросите вы, и будете правы. Причин, как оказалось, вполне достаточно. Тем, кому стало интересно, прошу проследовать под кат.
Все уязвимости имеют класс Information Disclosure, а именно получение чувствительной информации приложениями из App Store без запроса разрешений у пользователя, либо обход sandbox и получение такой информации, к которой у приложений в принципе не должно быть доступа. Я загрузил на GitHub код приложений, который я отправлял в Apple для демонстрации уязвимостей, его можно запустить на своих устройствах и посмотреть, приложения только получают данные и отображают их в UI.
Кому интересно почитать подробнее про данные уязвимости, а также про Apple Security Bounty Program, добро пожаловать под кат.
Прочитав новость о том, что Центризбирком РФ выложил результаты выборов на своем сайте в обфусцированном виде, многие начали публиковать в комментариях свои варианты деобфускаторов, как с использованием OCR, так и без него. Но я подумал, что есть более первостепенная задача — а именно выгрузка и сохранение данных с сайта ЦИК, так как они могут в любой момент измениться, и никто этого не заметит.
Кому интересны только сырые обфусцированные данные, архив с ними можно скачать здесь (внимание: в распакованном виде файлы занимают 11 ГБ). А кому интересно как я их получил, и какие методы обфускации в них применяются — добро пожаловать под кат.
Хотите быть в курсе всего интересного, что происходит в практической информационной безопасности? Знать, за чьими твитами стоит следить, где можно подружиться с коллегами по цеху, что в первую очередь читать и смотреть, чтобы почерпнуть фундаментальные штуки? На каких площадках можно прокачать скилы, например, в пентесте или обнаружении зловредов, да еще и бесплатно?
Сдаем все явки и пароли: делимся полезными ссылками на курсы и лабы, книги и подкасты, Telegram- и YouTube-каналы, форумы и блоги, которые наши крутые эксперты читают сами и рекомендуют тем, кто хочет держать руку на пульсе кибербеза и постоянно повышать свою ценность как профессионала. А может, наши подборки пригодятся вам при подготовке к собеседованию и помогут получить более высокую должность — кто знает 😉
Сегодня предлагаем погрузиться в тестирование на проникновение и проверку приложений на прочность, обнаружение и реверс вредоносных программ, киберразведку и расследование сложных инцидентов. Рассказываем, в какие методички заглядывают «белые шляпы», что помогает выйти на след APT-группировок и раскрутить цепочки хакерских атак, где первыми узнавать о новых подходах и техниках, используемых злоумышленниками. Добро пожаловать под кат!
Решил портировать одну старую давно забытую игрушку с DOS на современную платформу. Эта игра, в своё время, привлекала ураганным геймплеем, неплохой разрушаемостью, возможностью включить всё оружие одновременно и устроить настоящий бедлам. В 2021 году играть в такое всё ещё интересно, но делать это в родном разрешении 640х480, как-то не очень. Поэтому решил портировать игру и накатить хай-рез патч. Получилось!
После того, как удалось разобраться с датчиком Explore Scientific ST1004, меня заинтересовал его ближайший родственник - ST1005. При той же цене он показался более привлекательным - у него, в отличие от собрата, имеется дисплей.
Лондон, 21:00, уже темно и идет дождь. Влад с фонариком ищет что-то, но что? Час назад ему позвонила незнакомая девушка с американским акцентом и продиктовала координаты. Прохожие смотрят на него с подозрением, а в его голове крутится только одна мысль − “Как я в это влип?”
А влип он в это из-за меня.
Исходник КДПВ: Lena London, CC BY-SA 4.0
Количество блоков управления в современных автомобилях растет с каждым годом. Обычно каждый из них отвечает за отдельный набор датчиков и исполнительных механизмов. Но есть блок, появление которого частично связано... с растущим количеством блоков. Метаблок, если хотите.
Юридические основы реверс-инжиниринга закреплены в статье 1280 Гражданского кодекса России, коротко: пункт 1 – пользователь может вносить изменения в ПО исключительно в целях функционирования на технических средствах пользователя, исправления явных ошибок. Способы исследования не обозначены.
Немалое количество простых кнопочных телефонов, присутствующих в российских магазинах, содержат нежелательные недокументированные функции. Они могут совершать автоматическую отправку СМС-сообщений или выходить в интернет для передачи факта покупки и использования телефона (передавая IMEI телефона и IMSI SIM-карт). Встречаются модели со встроенным трояном, отправляющим платные СМС-сообщения на короткие номера, текст которого загружается с сервера, также бывают устройства с настоящим бэкдором, пересылающим входящие СМС-сообщения на сервер злоумышленников.
Статья описывает детали вредоносных функций и способы их обнаружения.
Компания Explore Scientific известна в России уже давно, правда в узких кругах. Начинала она в своё время с производства достаточно высококачественной астрономической оптики и продажи её по демпинговым ценам, чем и заслужила репутацию в среде любителей астрономии по всему миру. С годами компания выросла, укрепилась на рынке, цены стали уже не вполне вменяемые, а ассортимент стал расширяться.
Но как быстро, однако, меняется мир вокруг! Я был немало удивлён, увидев в магазине оптики погодные станции, продаваемые под этим брендом. Ещё большее удивление вызвал беспроводной метеодатчик к одной из этих станций, который по внешнему виду как две капли воды походил на не так давно появившийся в ассортименте Oregon Scientigic датчик THGR511.
В первой части этой статьи эксперт компании «Информзащиты» рассказал, как ему удалось отследить атаку группировки Winnti, «жертвами» которой становятся предприятия военно-промышленного комплекса, аэрокосмической отрасли, правительственные организации и разработчики ПО. Злоумышленники закрепляются в инфраструктуре организаций с целью вывода конфиденциальной информации. Анализ атаки помог автору обнаружить техники и тактики Winnti.
В этой части вы найдете описания утилит, используемых Winnti для «уклонения от защиты» и узнаете, как обезопасить данные.
Всем привет. Тут такое дело: ещё одна моя реверсерская мечта сбылась - я написал процессорный модуль для IDA Pro с нуля, за два дня! Если вы когда-то тоже хотели написать свой модуль, но боялись начать - думаю, моя статья сможет помочь.
В качестве кода, который требуется дизасемблировать, будет выступать код виртуальной машины из очень крутого хоррора, который выходил сначала на SNES, потом на PS1, PC и Wonderswan - "Clock Tower - The First Fear". В игре имеется 9 концовок (sic!), атмосфера гнетущая, а в качестве главного злодея выступает "Scissorman" (человек с руками-ножницами). Заинтересовал? Тогда добро пожаловать...
В APK находится функционал по генерации сигнатуры для ассоциативного массива. Постарайтесь получить подпись для следующего набора данных:
{
"user" : "LeetD3vM4st3R",
"password": "__s33cr$$tV4lu3__",
"hash": "34765983265937875692356935636464"
}
и отправить результат @****** в Telegram.
-----------------------------------------------------------------------
В случае, если вам не удается решить данное задание, но вы преодолели уже какой-то путь, то отправьте @****** список проделанных вами шагов: нам, в первую очередь, интересен ход ваших мыслей как исследователя ПО ;)
