Эти материалы могут быть очень эффективными, если вы новичок в индустрии исследований вредоносных программ.
Эти материалы помогут вам понять, как на самом деле создается вредоносная программа.
Они также дают представление о наиболее часто используемых функциях вредоносных программ.
В этом посте мы перечислили лучшие способы создания вредоносных программ, которые вы можете найти в Интернете.
Предоставленные учебники, шаг за шагом, помогут вам создать вредоносное ПО.
Когда мы просматриваем Интернет, мы подвержены множеству уязвимостей, которые могут раскрыть наши данные злоумышленникам. Новые технологии также развивались, чтобы защитить нас от этих атак. И в то же время злоумышленники постоянно пытаются найти уязвимости и взломать наши системы.
Уязвимость, о которой мы говорим сегодня, заключается в CSS веб-страницы и называется CSS Exfil. Читать
Я уверен, что вы знаете об аппаратных уязвимостях Spectre и Meltdown, которые были обнаружены в прошлом году в январе.
Эти аппаратные уязвимости позволяют программам украсть данные, которые обрабатываются на компьютере.
Затем прибыл Spectre 2!
Хотя это было пофикшено, решение привело к более существенному снижению производительности.
Retpoline стал новым решением!
В этом руководстве мы увидим, как вы можете настроить Retpoline в Windows 10.
Интересно отметить, что Retpoline – это метод бинарной модификации, разработанный Google.
Он предназначен для защиты от «Branch target injection», также называемого «Spectre».
Это решение обеспечивает повышение производительности ЦП.
Microsoft разворачивает его поэтапно.
А из-за сложности его реализации, преимущество в производительности у Windows 10 v1809 и более поздних выпусков.
Чтобы вручную включить Rerpoline в Windows, убедитесь, что у вас есть обновление KB4482887.
Затем добавьте следующие обновления конфигурации реестра:
На клиентских SKU:
reg add "HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400
reg add "HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x400
Перезагрузитесь
На серверных SKU :
reg add "HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400
reg add "HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x401
Перезагрузитесь
Чтобы подтвердить, активен ли Retpoline, вы можете использовать командлет Get-SpeculationControlSettings PowerShell.
Этот скрипт PowerShell покажет состояние настраиваемых обновлений Windows для различных уязвимостей.
Включает в себя Spectre 2 и Meltdown.
Как только вы загрузите скрипт и выполните его, вот как это выглядит.
Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: True … BTIKernelRetpolineEnabled : True BTIKernelImportOptimizationEnabled : True ...
В будущих обновлениях эта функция будет включена по умолчанию.
На данный момент она будет разрешена через облачную конфигурацию.
Microsoft работает над решением, которое больше не требует Retpoline.
Следующее поколение оборудования должно быть способно это исправить, но до обновления они будут исправлять эту уязвимость.
Это 2019 год, и простое открытие невинного файла офисного документа в вашей системе может позволить хакерам взломать ваш компьютер.
Нет, я не говорю об еще одной уязвимости в Microsoft Office, а о двух других наиболее популярных альтернативах – LibreOffice и Apache OpenOffice – бесплатном офисном программном обеспечении с открытым исходным кодом, используемом миллионами пользователей Windows, MacOS и Linux.
Исследователь безопасности Алекс Инфюр обнаружил серьезную уязвимость в удаленном выполнении кода (RCE) в этих двух офисных пакетах с открытым исходным кодом, которая может быть вызвана простым открытием вредоносного файла ODT (OpenDocument Text).
Атака основывается на использовании уязвимости обхода каталога, идентифицированной как CVE-2018-16858, для автоматического запуска определенной библиотеки python, связанной с программным обеспечением, с использованием скрытого события onmouseover.
Чтобы воспользоваться этой уязвимостью, Inführ создал ODT-файл с гиперссылкой белого цвета (поэтому его не видно), в котором есть событие «onmouseover», чтобы обманным путем заставить жертву запускать локально доступный файл python в своей системе при размещении мыши в любом месте. на невидимую гиперссылку.
По словам исследователя, файл python с именем «pydoc.py», входящий в состав собственного интерпретатора Python LibreOffice, принимает произвольные команды в одном из своих параметров и выполняет их через командную строку или консоль системы.
Inführ предоставил видео-демонстрацию с проверкой концепции (PoC), показывающую, как он смог обмануть событие, вызвав определенную функцию в файле Python, который в конечном итоге выполнил полезную нагрузку исследователя через командную строку Windows (cmd), не показывая никакого диалогового окна с предупреждением. пользователю.
Некоторые системные администраторы могут заметить, что злоумышленники пытаются войти в систему с общими именами пользователей и паролями через SSH.
В системных журналах /var/log/secure можно увидеть записи, аналогичные приведенным ниже для многих распространенных имен пользователей (таких как «admin», «guest», «test» и «root»):
Oct 28 11:11:08 hostname sshd[13412]: Illegal user admin from 172.16.59.10 Oct 28 11:11:12 hostname sshd[13412]: Failed password for illegal user admin from 172.16.59.10 port 33762 ssh2
Повторные попытки могут свидетельствовать о том, что злоумышленник пытается угадать пароль для конкретной учетной записи, особенно для учетной записи root, брутфорсом.
Атака брутфорса – это та, в которой пароль неоднократно угадывается, пока не будет найден правильный.
Есть много способов сделать SSH более безопасным.
Здесь мы обсудим некоторые рекомендации.
Самый простой способ защитить демон SSH – это выборочно запретить доступ к нему с помощью функций из пакета tcp_wrappers-libs.
Этот пакет установлен по умолчанию.
tcpwrappers настраиваются через файлы /etc/hosts.allow и /etc/hosts.deny.
Чтобы полностью запретить доступ к демону SSH, добавьте следующий текст в /etc/hosts.deny:
# vi /etc/hosts.deny sshd: ALL
Это полностью отключит доступ к демону SSH с любого клиента.
Если есть несколько хостов, которым нужно разрешить подключение, добавьте следующие строки в /etc/hosts.allow:
# vi /etc/hosts.allow sshd: 192.168.0.1, trusted.one-domain.com, 192.168.23.0/24, *.trusted.net
Это позволит подключаться с IP-адреса 192.168.0.1, имени хоста trust.one-domain.com, сети 192.168.23.0/24 и домена * .trusted.net при запрете любых других подключений.
Помните, вам нужно запретить и разрешить хост / сети.
Когда у вас есть хост в локальной корпоративной сети, вероятно, достаточно использовать TCP Wrappers, так как большинство хостов находятся под вашим контролем, так что вы можете гарантировать низкий риск атаки.
Но что произойдет, если у вас есть служба SSHD, работающая через Интернет, или в неуправляемой (враждебной) сети, такой как site2site vpn с провайдером?
Вы можете получить больше контроля над доступом с iptables.
Также iptables может дать вам больше гибкости и надежности.
Вы можете перечислить свой набор правил с помощью команды «iptables -nL –line-numbers», чтобы увидеть, какие правила уже существуют, это правила по умолчанию, которые пришли с новой установкой CentOS / RHEL 6:
# iptables -nL --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) num target prot opt source destination
Затем вы можете добавить или удалить правила.
Следующие примеры в цепочке INPUT вставят правило в iptables.
Помните, что вам нужно поставить правило на определенную позицию, т.е. Строка 3, просто над правилами DROP по умолчанию, вы можете указать это следующим образом:
# iptables -I INPUT 3 -p TCP -i eth0 -s 192.168.1.39 --dport 22 -j ACCEPT
Выполнение следующей команды от имени root приведет к удалению всего доступа SSH к 192.168.1.22:
# iptables -I INPUT [line-number] -p tcp -i eth0 -s 192.168.1.22 --dport 22 -j DROP
Пожалуйста, обратитесь к man iptables для дополнительных опций и использования, или autohelp iptables –help для краткого резюме:
# man iptables # autohelp iptables
Если вы хотите включить определенный хост, вы можете запустить следующую команду, чтобы разрешить доступ:
# iptables -I INPUT [line-number] -p tcp -i eth0 -s 192.168.1.39 --dport 22 -j ACCEPT
Кроме того, одним из лучших вариантов использования брандмауэра в случае службы SSH в небезопасной сети является применение контроля скорости передачи по незащищенным источникам; чтобы сделать это, вам просто нужно использовать:
# iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH # iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 12 --rttl --name SSH -j LOG --log-prefix 'SSH-HIT-RATE: ' # iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 12 --rttl --name SSH -j DROP # iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -j ACCEPT # on the default fresh-install ruleset this rule is already in place, you can ignore
Эти 3 правила устанавливают скорость прохождения 12 новых попыток подключения в минуту, вам необходимо настроить эти значения в соответствии с вашими потребностями.
Все журналы этого правила появятся в файле /var/log/messages, префикс «SSH-HIT-RATE» используется для облегчения поиска связанных записей.
Пожалуйста, обратите особое внимание, когда вы проверяете свои новые правила.
Если вы допустили некритическую ошибку, вы можете вернуться к предыдущей сохраненной конфигурации, используя «service iptables force-reload».
Когда конфигурация была завершена, вы можете сохранить правила брандмауэра с помощью «service iptables save».
Существуют и другие шаги, которые можно предпринять, если ограничение доступа невозможно.
Вот некоторые из лучших практик конфигурации SSHD:
Наиболее рекомендуемое действие, особенно в качестве защиты от атак методом “брутфорса”, должно состоять в том, чтобы предотвратить вход root напрямую через SSH.
Для этого вам нужно изменить строку, которая гласит:
# vi /etc/ssh/sshd_config #PermitRootLogin yes
следующему виду:
# vi /etc/ssh/sshd_config PermitRootLogin no
Это изменение потребует, чтобы вы сконфигурировали sudo или использовали su для получения привилегий в качестве пользователя root в сеансе ssh пользователя без полномочий root.
Кроме того, вы можете настроить ssh-ключи для пользователя root и использовать опцию ниже, чтобы позволить пользователю root войти в систему только с ключами.
# vi /etc/ssh/sshd_config PermitRootLogin without-password
Измените определенный порт, отличный от порта по умолчанию.
Можно изменить его на любое случайное число от 1025 до 65535, так как злоумышленники предположат, что порт 22 будет использоваться для протокола ssh.
Найдите эту строку в /etc/sshd/sshd_config:
#Port 22
Измените это на что-то вроде этого:
Port 1101
Номер порта 1101 просто является примером.
Теперь вам нужно получить доступ к этому серверу через порт 1101 при подключении по ssh:
$ ssh someuser@ssh-server:1101
Убедитесь, что сервер принимает только протокол SSH версии 2:
# Protocol 2,1 ### hash this entry and make below entry to allo only ssh v2. Protocol 2
Измените время, которое пользователь может проводить с открытым приглашением для входа в систему (значение в секундах):
# Default value is 120 seconds. # Adjust this value according your needs. LoginGraceTime 30
Это сокращает некоторые DoS-атаки, которые можно выполнять, имитируя медленный вход в систему.
Чтобы заблокировать доступ к хостам, пытающимся атаковать систему методом брута, можно использовать следующие дополнительные сервисы сторонних пакетов:
Они работают на разных уровнях, обеспечивая разный подход к конкретному событию.
FreeBSD – бесплатная операционная система с открытым исходным кодом.
NFS (Network File System) – это серверное и клиентское приложение, которое превращает FreeBSD в сервер обмена файлами.
Пользователи могут загружать или обновлять файлы на удаленном сервере NFS.
NFS является стандартом для устройств NAS (подключенных к сети) или совместно использует данные для веб-серверов.
Новая ошибка, обнаруженная в коде сервера NFS, которая может позволить удаленному злоумышленнику свернуть сервер NFS, что приведет к атаке отказа в обслуживании (DoS).
Другая возможность – выполнить произвольный код на сервере.
Из списка рассылки:
Сетевая файловая система (NFS) позволяет хосту экспортировать некоторые или все его файловые системы, чтобы другие хосты могли обращаться к ним по сети и монтировать их, как если бы они были локальными. FreeBSD включает как серверные, так и клиентские реализации NFS.
Недостаточная и неправильная проверка кода сервера NFS может привести к отказу в обслуживании или, возможно, удаленному выполнению кода через специально созданный сетевой пакет.
Обходной путь недоступен, но системы, которые не предоставляют службы NFS, не уязвимы.
Кроме того, настоятельно рекомендуется, чтобы порт службы NFS (номер порта 2049 по умолчанию) был защищен с помощью брандмауэра на базе хоста или сети, чтобы предотвратить возможность подключения произвольных и ненадежных клиентов.
Можно исправить FreeBSD с помощью бинарного метода.
Все, что вам нужно сделать, это ввести следующие две команды в качестве пользователя root:
# uname -mrs # freebsd-update fetch
Установите обновления:
# freebsd-update install
Installing updates... done.
После исправления просто перезагрузите ваш FreeBSD:
# reboot
или
# shutdown -r now
После перезагрузки убедитесь, что у вас появилось новое ядро.
Вы можете узнать версию FreeBSD и номер патча, выполнив следующие команды:
# freebsd-version # uname -mrs
Обратите внимание: если вы используете настраиваемое ядро, вам необходимо скомпилировать ядро FreeBSD.
Бинарный метод, основанный на freebsd-update, работает только в том случае, если вы используете стоковое ядро FreeBSD.
# svn update /usr/src/ # more /usr/src/UPDATING # cp -v /usr/src/share/examples/jails/VIMAGE /usr/src/sys/amd64/conf/VIMAGE # cd /usr/src/ # make -j 16 KERNCONF=VIMAGE kernel # reboot # freebsd-verion