Офисные документы Microsoft широко используются злоумышленниками для отправки вредоносного файла, а затем убеждают пользователя открыть файл с помощью методов социальной инженерии.
В Microsoft существует несколько способов обмена данными между приложениями, а самый популярный – DDE, который известен как Dynamic Data Exchange, который отправляет сообщения между приложениями и использует общую память для обмена данными между приложениями.
Он может использоваться для одноразового использования или для непрерывного обмена.
Здесь вы можете увидеть видео-учебник для DDE Exploit, сделанный gbhackers:
Хакеры используют этот метод в природе для выполнения вредоносных скриптов и для компрометации жертв.
Корпорация Майкрософт выпустила лучшие методы обеспечения безопасности, чтобы безопасно открывать документы Office, содержащие Dynamic Data Exchange, и настоятельно рекомендует просмотреть функцию безопасности.
В сценарии атаки по электронной почте злоумышленник может использовать DDE-протокол, отправив пользователю специально созданный файл, а затем убедить пользователя открыть файл, как правило, путем соблазна в письме.
Злоумышленнику придется убедить пользователя отключить Защищенный режим и нажать одну или несколько дополнительных подсказок.
Поскольку вложения электронной почты являются основным методом, который злоумышленник может использовать для распространения вредоносного ПО, Microsoft настоятельно рекомендует клиентам проявлять осторожность при открытии подозрительных файловых вложений.
Недавняя уязвимость удаленных исполняемых файлов MS Office позволяет злоумышленнику полностью контролировать зараженную операционную систему Windows, и эта уязвимость затронута всей версией Microsoft Office.
Он был рассмотрен Microsoft с рекомендациями по безопасности CVE-2017-11826.
Смягчение для DDE-атаки – Microsoft
Microsoft Excel
Excel сильно зависит от DDE, чтобы открывать документы, Microsoft предлагает выключить автоматическое обновление ссылок на рабочую книгу, чтобы предотвратить автоматическое обновление из Excel, включая DDE, OLE.
Если вы отключите автоматическое обновление, данные не будут обновлены, поэтому пользователю необходимо вручную подать данные.
Применяется к Office 2007, 2010, 2013, 2014.
Чтобы отключить функцию DDE через пользовательский интерфейс:
Установите Файл-> Опции-> Центр доверия-> Настройки центра доверия … -> Внешний контент-> Параметры безопасности для ссылок на рабочую книгу = Отключить автоматическое обновление ссылок на рабочую книгу.
Чтобы отключить функцию DDE с помощью редактора реестра:
С обновлением Windows 10 после осени Windows Defender Exploit Guard может блокировать вредоносное ПО на базе DDE в соответствии с сокращением поверхности атаки.
Я просмотрел руководства VirtualBox, но ничего чрезвычайно технического не вышло (это был просто общий блеск по этой теме).
Как он назначает другой IP виртуальному копмьютеру, используя одну и ту же сетевую карту?
Почему этот другой IP (с ip addr под Linux) не отображается в разделе «подключенные устройства» моего маршрутизатора, но я могу перенаправить его на него?
Почему, если я подключаюсь к защищенной паролем сети WiFi, мне не требуется вводить мой пароль?
Это многопоточность?
В руководстве по VirtualBox, Глава 6 виртуальных сетей в разделе сетевой мост :
При использовании мостовой сети VirtualBox использует драйвер устройства в вашей хост-системе, фильтрующий данные от физического сетевого адаптера. Этот
поэтому драйвер называется «сетевым фильтром». Это позволяет
VirtualBox перехватывать данные из физической сети и вводить в нее данные, эффективно создавая новый сетевой интерфейс в программном обеспечении.
Когда Гость использует такой новый программный интерфейс, он смотрит на
хост-систему, как если бы Гость был физически подключен к
интерфейсу с помощью сетевого кабеля: хост может отправлять данные гостю
через этот интерфейс и получать данные от него. Это значит, что вы
можете настроить маршрутизацию или мосты между гостями и остальной частью вашей сети.
Сетевой мост — это сетевое устройство, которое соединяет более одного сегмента сети. В модели OSI, мосты действуют в первых двух слоях,
ниже уровня сети.
VirtualBox и другие виртуальные менеджеры
используют системные драйверы для внедрения пакетов в сеть и
притворяются физическим адаптером.
Поскольку все пакеты отправляются по всей сети, каждое устройство, считывает только пакеты
которые отмечены его адресом, виртуальный драйвер просто вводит пакеты собственным виртуальным MAC-адресом и реагирует на пакеты, предназначенные для этого
MAC-адреса, хотя физически такого адаптера не существует.
Это делается на достаточно низком уровне сетевой модели, так что хост
не будет реагировать на эти сообщения на более высоких уровнях,
так как они имеют штамп с другим Mac-адресом, чем у хоста.
Это точно такая же техника, что используется хакерами для атак
Эта атака предполагает использование макросов и вредоносных документов.
В исследовании, которое было выполнено Trend Micro, стало ясно, что макрос, который скрыт в документе, будет искать ярлыки на рабочем столе, и он заменит ярлык вредоносными адресами.
Когда пользователь нажимает на одну из ярлыков, пользователь будет перенаправлен на загрузку дополнительных вредоносных программ на устройство.
Ярлыки, которые являются целями атаки:
Skype
Google Chrome
Mozilla Firefox
Opera
Internet Explorer
Решения и смягчение
Это вредоносное ПО, от использования его макроса до его установки, демонстрирует очень необычное поведение и, вероятно, все еще находится в разработке.
Мы считаем, что вредоносное ПО не широко распространено и до сих пор было всего несколько жертв.
Тем не менее, важно знать об этом вредоносном ПО и методе атаки, поскольку новые и улучшенные версии могут быть в работе.
Microsoft по умолчанию отключает макросы, так как они знают, как злоумышленники используют встроенные коды.
Получение знакомства с настройками макроса системы может помочь пользователям наилучшим образом использовать макрос при фильтрации атак с использованием кода, но обычно рекомендуется избегать загрузки и включения макроса для документов из новых или неизвестных источников.
Вы можете ознакомиться с этой атакой более детально : https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-macro-hijacks-desktop-shortcuts-to-deliver-backdoor/
Интернет протянул свои каналы практически в каждую квартиру. Поэтому ежедневно в магазинах продаётся большое количество роутеров: кто-то покупает новый, кто-то переходит на более производительную модель. Разнообразие торговых марок и разновидностей маршрутизаторов может поставить неискушённого пользователя в тупик. Если вспомнить старую поговорку «мы недостаточно богаты, чтобы покупать дешёвые вещи», становится ясно — следует приобретать продукцию брендов, проверенных временем. Одним из них является Zyxel — компания, которая производит коммуникационное оборудование уже больше четверти века.
A VLAN (Virtual LAN) is a group of computers, servers, network printers and other network devices that behave as if they were connected to a single network. VLAN is a logical topology that divides a single broadcast domain into multiple broadcast domains. VLAN is a layer 2 method. So, a manageable switch is required to manage VLAN in your network and a router is required to route and control your inter-VLAN.
VLAN increases network security and performance as well as improves IT efficiency. So, it will be a better plan to implement VLAN in your network. If you have or manage MikroTik Router and manageable switch, VLAN implementation in your network is not so difficult. In this article, I will show how to easily configure inter-VLAN routing with MikroTik Router and manageable switch.
Core Devices and IP Information
To configure a VLAN network and inter-VLAN routing, I am using a MikroTik RouterBoard 1100 AHX2 (RouterOSv6.38.1) and Level One (GEP-2450) manageable switch. IP information that I am using for VLAN network configuration are given below.
WAN IP 192.168.30.2/30 and Gateway IP 192.168.30.1
LAN networks: 10.10.20.0/24, 10.10.30.0/24 and 10.10.40.0/24
DNS IP: 8.8.8.8 and 8.8.4.4
This IP information is just for my R&D purpose. Change this information according to your network requirements.
Important VLAN Terms
There are two important VLAN terms that must keep under your knowledge otherwise you may face difficulty while configuring VLAN in your manage switch.
Access Link/Port: This type of link is only part of one VLAN and it is referred to as the native VLAN of the port. Any device attached to an access link/port is unaware of a VLAN membership – the device just assumes that it is a part of a broadcast domain but it has no understanding of the physical network.
Trunk Link/Port: Trunks can carry multiple VLANs. A trunk link is a point to point link between two switches or between a switch and router. These carry the traffic of multiple VLANs (from 1 to 1005 at a time). Trunking allows you to make a single port part of multiple VLANs at the same time.
Network Diagram
To configure a VLAN network with MikroTik Router and manageable switch, I am following a network diagram like below image.
MikroTik VLAN with Manageable Switch
In this network, MikroTik Router’s WAN (ether1) interface is connected to ISP having IP Address 192.168.30.2/30 and ether2 interface which is connected to a manageable switch is MikroTik’s LAN interface. We will create three VLAN (VLAN 20, VLAN 30 and VLAN 40) in LAN interface and its network will be 10.10.20.0/24, 10.10.30.0/24 and 10.10.40.0/24 respectively. We will configure inter-VLAN routing in our MikroTik Router and we will also configure VLAN in our manage switch (Level One GEP-2450) where 1-5 ports will keep under VLAN 20 (for Marketing Department), 6-10 ports will keep under VLAN 30 (for Sales Department), 11-15 ports will keep under VLAN 40 (for HR Department) and 16-23 ports will keep under default VLAN 1. Port 24 will be trunk port and other ports are access port.
MikroTik Inter VLAN Routing Configuration with Manageable Switch
We will now start inter-VLAN routing configuration. Complete VLAN configuration can be divided into two parts.
Inter VLAN Routing Configuration in MikroTik Router
VLAN Configuration in Manageable Switch
Part 1: Inter VLAN Routing Configuration in MikroTik Router
If multiple VLANs are implemented on a manageable switch, a router is required to provide communication between these VLANs. We know that switch is a layer 2 device. So, switch forwards only Ethernet header and cannot check IP header. For this reason, we must use a router that will work as a gateway for each VLAN. Without a router, a host is unable to communicate outside of its own VLAN. Routing process between VLANs is knows as inter-VLAN routing.
To configure inter-VLAN routing, we will create a trunk link between MikroTik Router and our manage switch that will carry traffic from three VLANs (VLAN 20 and VLAN 30 and VLAN 40). The following steps will show how to configure inter-VLAN routing as well as other basic configuration in our MikroTik Router.
Login to MikroTik Router using winbox with admin privilege credential.
Click on Interfaces menu item. Interface List window will appear. Click on VLAN tab and then click on PLUS SIGN (+). New Interface window will appear.
Put interface name (Marketing VLAN 20) in Name input box and put VLAN ID (20) in VLAN ID input box and choose your physical interface (ether2) that will be used as trunk link from Interface dropdown menu and then click on Apply and OK button. Similarly, create VLAN 30 (Sales VLAN 30) and VLAN 40 (HR VLAN 40) interfaces. Your VLAN interface list window looks like below image.
Go to IP > Addresses menu item and click on PLUS SIGN (+). In New Address window, put WAN IP address (192.168.30.2/30) in Address input field and choose WAN interface (ether1) from Interface dropdown menu and then click on Apply and OK button.
Click on PLUS SIGN (+) again and put VLAN 20 network’s gateway IP (10.10.20.1/24) in Address input box and choose VLAN 20 interface (Marketing VLAN 20) from Interface dropdown menu and then click on Apply and OK button. Similarly, put VLAN 30 gateway IP (10.10.30.1/24) on Sales VLAN 30 interface and VLAN 40 gateway IP (10.10.40.1/24) on HR VLAN 40 interface.
Go to IP > DNS and put DNS Server IP (8.8.8.8 or 8.8.4.4) in Servers input field and click on Apply and OK button.
Go to IP > Firewall and click on NAT tab and then click on PLUS SIGN (+). Under General tab, choose srcnatfrom Chain dropdown menu and click on Action tab and then choose masquerade from Action dropdown menu. Click on Apply and OK button.
Go to IP > Routes and click on PLUS SIGN (+). In New Route window, click on Gateway input field and put WAN Gateway address (192.168.30.1) in Gateway input field and click on Apply and OK button.
VLAN Interface List
Inter VLAN routing and other basic configuration in MikroTik Router has been completed. Now MikroTik Router is ready to route VLAN 20, VLAN 30 and VLAN 40. In the next part, we will configure VLAN in our Level One manageable switch.
Part 2: VLAN Configuration in Manageable Switch
In this part, we will create our three VLANs (VLAN 20, VLAN 30 and VLAN 40) and configure access port and trunk port in our manage switch. Any manageable switch can be used for this purpose. As I have Level One (GEP-2450) switch available, I am doing VLAN configuration in this manage switch. If you have other manageable switch, find the manual in Google about how to configure VLAN in that specific manage switch.
Level One (GEP-2450) switch is a web smart manageable switch. So, we can manage this switch using web GUI. GEP-2450 switch has 24 Ethernet port. Among them, we will use 1-5 ports as VLAN 20 access port for Marketing Department, 6-10 ports as VLAN 30 access port for Sales Department, 11-15 ports as VLAN 40 access port for HR Department and 16-23 ports will keep under default VLAN 1. Port 24 will be used as trunk port and all other ports will be used as access port. The following steps will show you how to configure VLAN in Level One (GEP-2450) switch properly.
Connect port 24 with your MikroTik Router’s ether2 port with a RJ45 cable. This link will be used as trunk link.
Connect your PC and switch with a RJ45 cable. Use switch port one of 16-23 ports for this connection.
Default IP address of Level One (GEP-2450) switch is 192.168.1.1/24. So, assign an IP address of this block in your PC and then type https://192.168.1.1 in your favorite web browser. Now it will ask to provide password. Default password for Level One (GEP-2450) switch is So, put this password and hit enter. Now you will find configuration GUI for the switch.
Go to VLANs > VLAN Mode and ensure VLAN Mode is Tag-based.
Go to VLANs > VLAN Group. Tag-Based VLAN Configuration page will appear.
Put VLAN ID (20) in VLAN ID input box and click on Add button. VLAN Setup page will appear. Select port 1-5 and port 24 and then click on Apply button. Similarly, create VLAN 30 and VLAN 40 and select port 6-10 and port 11-15 respectively and port 24 for both VLAN. You will find your created VLAN in VLAN Configuration List area.
Select VLAN ID 1 and click on Modify button. VLAN Setup page for VLAN 1 will appear. Unselect port 1-15 and click on Apply button.
Now click on Port Config button under VLAN Port Configuration area. VLAN Per Port Configuration page will appear. Change PVID 0 to 20 from 1-5 ports, 0 to 30 from 6-10 ports and 0 to 40 from 11-15 ports. All ports Role will be Access except port 24. Choose Trunk role for port 24 from Role dropdown menu. Click on Apply button.
VLAN configuration in Level One (GEP-2450) switch has been completed. VLAN Group page now looks like below image.
VLAN Configuration in Level One (GEP-2450) Switch
Now connect your Marketing PC to 1-5 ports, Sales PC to 6-10 ports and HR PC to 11-15 ports. If everything is OK, your desired PC will be able to get internet connection through your manage switch and MikroTik Router.
Block Inter VLAN Communication
Sometimes it may be your requirements to block inter VLAN communication. For example, you may want that your Marketing Department cannot communicate with Sales Department. In this case, you have to apply firewall rule to block inter VLAN communication because by default MikroTik allow inter VLAN communication. The following steps will show how to create firewall rule to block inter-VLAN communication.
Login to MikroTik Router and go to IP > Firewall menu item and click on Filter Rules tab and click on PLUS SIGN (+). New Firewall Rule window will appear.
Choose forward from Chain dropdown menu.
Put Marketing Department’s IP block (10.10.20.0/24) in Src. Address input box and Sales Department’s IP block (10.10.30.0/24) in Dst. Address input box.
Choose tcp from Protocol dropdown menu.
Click on Action tab and choose drop from Action dropdown menu.
Click on Apply and OK button.
This firewall rule blocks all TCP connections coming from Marketing PC to Sales PC. Similarly, you can block all TCP connections or UDP connections coming from Sales PC to Marketing PC by creating another firewall rule and changing source address block, destination address block and protocol.
MikroTik inter-VLAN routing configuration with manageable switch has been discussed in this article. I hope, you will be able to create VLAN in your network with MikroTik Router and manageable switch. However, if you face any confusion while configuring VLAN, feel free to discuss in comment or contact with me from Contact page. I will try my best to stay with you.
Мы рады сообщить об этом крупном выпуске инструмента аудита Lynis.
Несколько существенных изменений были внесены в основные функции Lynis.
Эти изменения являются следующим улучшением, которое они сделали.
Существует риск нарушения существующей конфигурации.
Lynis – это инструмент аудита безопасности с открытым исходным кодом.
Используется системными администраторами, специалистами по безопасности и аудиторами для оценки защиты системы Linux и UNIX.
Он работает на самом хосте, поэтому он выполняет более обширные проверки безопасности, чем сканеры уязвимостей.
Поддерживаемые операционные системы
Инструмент практически не имеет зависимостей, поэтому он работает практически со всеми системами и версиями на базе Unix, в том числе:
AIX
FreeBSD
HP-UX
Linux
Mac OS
NetBSD
OpenBSD
Solaris
и другие
Он работает даже на таких системах, как Raspberry Pi и несколько устройств хранения данных!
Установка необязательна
Lynis легкий и простой в использовании.
Установка является необязательной: просто скопируйте ее в систему и используйте «./lynis audit system», чтобы запустить проверку безопасности.
Он написан в сценарии оболочки и выпущен как ПО с открытым исходным кодом (GPL).
Как он работает
Lynis выполняет сотни отдельных тестов, чтобы определить состояние безопасности системы.
Сама проверка безопасности состоит в выполнении набора шагов от инициализации программы до отчета.
Шаги
Определить операционную систему
Поиск доступных инструментов и утилит
Проверьте обновление Lynis
Запуск тестов из включенных плагинов
Запуск тестов безопасности для каждой категории
Состояние отчета проверки безопасности
Помимо данных, отображаемых на экране, все технические данные о сканировании хранятся в файле журнала.
Любые результаты (предупреждения, предложения, сбор данных) хранятся в файле отчета.
Оппортунистическое сканирование
Сканирование Lynis является оппортунистическим: оно использует то, что может найти.
Например, если он видит, что вы используете Apache, он выполнит начальный раунд тестов, связанных с Apache.
Когда во время сканирования Apache он также обнаруживает конфигурацию SSL / TLS, он будет выполнять дополнительные шаги аудита.
При этом он будет собирать обнаруженные сертификаты, чтобы впоследствии их можно было отсканировать.
Углубленное сканирование безопасности
Выполняя оппортунистическое сканирование, инструмент может работать практически без зависимостей.
Чем больше он найдет, тем глубже будет аудит.
Другими словами, Lynis всегда будет выполнять сканирование, настроенное для вашей системы. Никакой аудит не будет таким же!
Случаи использования
Поскольку Lynis является гибким, он используется для различных целей. Типичные варианты использования Lynis включают:
Аудит безопасности
Тестирование соответствия (например, PCI, HIPAA, SOx)
Обнаружение уязвимостей и сканирование
Улучшение системы
Ресурсы, используемые для тестирования
Многие другие инструменты используют одни и те же файлы данных для выполнения тестов.
Поскольку Lynis не ограничивается несколькими распространенными дистрибутивами Linux, он использует тесты из стандартов и многие пользовательские, которые не найдены ни в одном другом инструменте.
лучшие практики
CIS
NIST
NSA
OpenSCAP data
Руководства и рекомендации поставщиков (например, Debian Gentoo, Red Hat)
Плагины позволяют инструменту выполнять дополнительные тесты.
Их можно рассматривать как расширение (или дополнение) к Lynis, улучшая его функциональность.
Одним из примеров является плагин проверки соответствия, который выполняет конкретные тесты, применимые только к некоторому стандарту.
Изменения
## Lynis 2.6.6 ### Improvements * New format of changelog (https://keepachangelog.com/en/1.0.0/) * KRNL-5830 - improved log text about running kernel version ### Fixed * Under some condition no hostid2 value was reported * Solved 'extra operand' issue with tr command
