Архив метки: Безопасность

💉 Что такое инъекция кода в Windows

Вставка кода в виде инъекции распространена в Windows.

Приложения «вводят» фрагменты своего кода в другой процесс.

Этот метод может быть хорошим или плохим, но в любом случае это может вызвать проблемы.

Ввод кода часто называют инъекцией DLL, потому что введенный код часто представляет собой файл библиотеки DLL (dynamic link library).

Однако приложения могут внедрять другие типы кода, без связи библиотек DLL и процессов.

Какая инъекция кода используется для чего

Ввод кода используется для выполнения всех видов трюков и функциональных возможностей в Windows.

Хотя легитивные программы также используют его, он также используется вредоносными программами. Например:

  • Антивирусные программы часто вводят код в веб-браузеры. Они могут использовать его для мониторинга трафика и блокировки опасного веб-контента, например.
  • Вредоносные программы могут добавить код в ваш браузер, украсть защищенную информацию, такую как пароли и номера кредитных карт, изменить настройки браузера.
  • Stardock’s WindowBlinds, который предназначен для вашего рабочего стола, вводит код, чтобы изменить внешний вид темы оформления.
  • Stardock’s Fences меняют оформление рабочего стола Windows.
  • AutoHotkey, который позволяет создавать сценарии и назначать для них системные горячие клавиши, вводит код для этих целей.
  • Графический драйвер, такой как NVIDIA, вставляет DLL для выполнения различных задач, связанных с графикой.
  • Некоторые программы вводят библиотеки DLL для добавления дополнительных параметров меню в приложение.
  • Инструменты читов для игр для ПК часто вводят код в игры, чтобы изменить их поведение и получить несправедливое преимущество перед другими игроками.

Является ли инъекция кода плохой практикой?

Этот метод постоянно используется в самых разных приложениях в Windows.

Это единственный реальный способ выполнить множество задач. В отличии Apple iOS или Android от Google, рабочий стол Windows настолько мощный, что он предлагает такую гибкость для разработчиков.

Конечно, со всей этой мощностью возникает определенная опасность.

Ввод кода может вызвать проблемы и ошибки в приложениях.

Google говорит, что пользователи Windows, использующие браузер Chrome, на 15% чаще сталкиваются с сбоями Chrome, поэтому Google работает над блокировкой этого момента.

Microsoft отмечает, что инъекция кода может использоваться вредоносными приложениями для вмешательства в настройки браузера, которые уже заблокированы в Edge.

Сторонние библиотеки DLL загружаются в Microsoft Outlook, поэтому они вызывают так много сбоев Outlook.

Другими словами, инъекция кода – это своего рода грязный хак.

В идеальном мире существовал бы безопасный способ достижения определенных целей, без ввода кода, который не вызвал бы потенциальную нестабильность.

Тем не менее, инъекция кода сегодня является обычной частью платформы приложений Windows.

Это так или иначе происходит в фоновом режиме на вашем ПК с ОС Windows.

Мы могли бы назвать это необходимым злом. Мы оставляем эти риски за собой.

Как проверить внедренные DLL-файлы

Вы можете проверить внедрение кода в своей системе с помощью приложения Process Explorer от Microsoft.

Это в основном расширенная версия диспетчера задач, разработанная с некоторыми  дополнительными функциями.

Загрузите Process Explorer.

Нажмите View > Lower Pane View > DLLs или нажмите Ctrl + D.

Выберите процесс в верхней панели и посмотрите внизу загруженные DLL.

Столбец «Company name» предоставляет полезный способ фильтрации этого списка.

Например, это совершенно нормально видеть множество DLL, созданных корпорацией Microsoft,поскольку они являются частью Windows.

Также нормально видеть библиотеки DLL, сделанные той же компанией, что и рассматриваемый процесс, – «Google Inc.» в случае Chrome на скриншоте ниже.

Поэтому мы можем найти несколько DLL-файлов, сделанных «AVAST Software».

Это антивирусное программное обеспечение avast в нашей системе вводит в Chrome код, для работы библиотеки фильтров блокировки Avast Script.

Теперь вы можете произвести анализ своих процессов.

К примеру, если ваш браузер Chrome иногда выдает сбои, вы можете проверить его на внедренные сомнительные DLL и удалить их.

 

 



2018-08-28T14:05:57
Закрытие уязвимостей

Как защитить USB-порты в Linux

Как защитить USB-порты через BIOS, и мы также покажем вам, как использовать, устанавить USBguard в Linux.

Одним из компонентов аппаратного обеспечения, которые необходимы при выполнении нескольких задач в любой операционной системе, являются порты USB, поскольку в них мы можем подключить сотни устройств таки,х как USB-накопители, цифровые камеры, мобильные устройства и многие другие.

Как защитить BIOS в Linux

Первым шагом, который мы можем предпринять в качестве пользователей или системных администраторов, является защита запуска системы или загрузка с помощью пароля, таким образом, если машина может оставаться в бездействии  в течение определенного периода времени, мы предотвратим несанкционированное использование доступ к информации.

Если мы хотим установить пароль в начале операционной системы, мы должны перезапустить или запустить, если компьютер выключен, и нажмите клавиши «Esc», «F2», «Delete» или тот, который указан производителя для доступа к BIOS. Как только мы перейдем на вкладку «Security» и перейдем к строке «Password on Boot»:

Чтобы эта опция была активной, мы должны определить пароль в строке «Set user password».

Нажатие «Enter» в этой строке и система отобразит следующий параметр, в котором мы выберем опцию «Enabled».

После того, как пароль включен, нажмите клавишу «F10», чтобы сохранить изменения.

Таким образом, когда система запускается, мы увидим следующее:

Как использовать и устанавить USBGuard на Linux

На данный момент -это одно из лучших приложений для защиты среды Linux на уровне USB-портов, поскольку USBGuard был разработан для защиты компьютера от опасных USB-устройств, реализуя политику белых списков и функции черного списка на основе атрибутов USB-порта.

Эти вредоносные USB-устройства также известны как BadUSB.

Для установки USBGuard в Linux, как мы упоминали, мы будем использовать Ubuntu 17.04, и для этого мы выполним следующее:

sudo apt install usbguard

Чтобы запустить процесс авторизации USB-устройства через USBGuard, мы выполним следующие команды:

sudo usbguard generate-policy > rules.conf

sudo nano rules.conf

После открытия файла мы увидим следующее:

В этих строках будут добавлены и разрешены все устройства, которые в настоящее время подключены.

Мы можем исключить или закомментировать строки устройств, которые мы не хотим разрешать.

Чтобы авторизовать устройство, мы выполним следующие команды:

sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf

sudo systemctl restart usbguard

Как проверить USBGuard на Linux

В то время, как в системе будет обнаружено любое USB-устройство, которое мы подключаем к компьютеры, оно не будет работать.

Чтобы перечислить подключенные USB-устройства, мы выполним следующее:

lsusb

Там мы увидим USB-устройство, которое мы только что подключили – Kingston Digital.

Чтобы добавить это устройство в список разрешенных устройств, мы перейдем к редактированию следующего файла:

sudo nano /etc/usbguard/rules.conf

Там мы должны добавить идентификатор USB-устройства для авторизации в последней части файла:

Сохраните изменения, используя клавиши Ctrl + O и выйдите из редактора, используя клавиши Ctrl + X.

Мы должны перезапустить службу USBGuard, запустив:

sudo systemctl restart usbguard

Теперь просто отключите и снова подключите USB, и мы можем получить доступ к нему из проводника, как обычно.

Таким образом, Linux позволяет выполнять устройства, которые соответствуют добавленному идентификатору, иначе они будут отклонены.



2018-08-28T10:46:37
Закрытие уязвимостей

✗ Dark Tequila Añejo кража информации трояном из Мексики ✗

Исследователи из Касперского выпустили информацию о кампании «Черная текила», которая нацеливается на Мексику с основной функцией кражи финансовой информации.

Вредоносная программа также крадет учетные данные для входа на популярные веб-сайты, которые варьируются от репозиториев версий до учетных записей общего хранилища файлов и регистраторов доменов.

Существуют два известных метода заражения, фишинг и зараженные USB-устройства.

Модули кампании вредоноса:

  • Модуль 1, который отвечает за связь с сервером управления. Он проверяет, выполняется ли проверка сети «MITM», путем проверки сертификатов с помощью нескольких очень популярных веб-сайтов.
  • Модуль 2 – CleanUp. Если служба обнаруживает какой-либо «подозрительный» вид деятельности в среде, например, тот факт, что она запущена на виртуальной машине или что инструменты отладки работает в фоновом режиме, она выполнит этот модуль, чтобы сделать полную очистку системы, удаления службы сохранения, а также любых файлов, созданных ранее в системе.
  • Модуль 3 – Keylogger и Windows Monitor. Он предназначен для кражи учетных данных из длинного списка сайтов онлайн-банкинга, а также общих Cpanels, Plesk, онлайн-систем резервирования рейсов, Microsoft Office365, клиентов Lotus Lotus Notes, электронной почты Zimbra, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox , Softlayer, Rackspace и других сервисов.
  • Модуль 4 – похититель информации, который предназначен для кражи сохраненных паролей в почтовых и FTP-клиентах, а также в браузерах.
  • Модуль 5 – USB-фильтр.Он копирует исполняемый файл на съемный диск для автоматического запуска. Это позволяет вредоносным программам перемещаться в автономном режиме через сеть жертвы, даже если только один компьютер был скомпрометирован с помощью фишинга. Когда к зараженному компьютеру подключен другой USB-порт, он автоматически заражается и готов к распространению вредоносного ПО на другую цель.
  • Модуль 6 – сторожевой таймер службы. Эта служба несет ответственность за правильную работу вредоносного ПО.

Эта кампания берет свое начало в2013 году в соответствии с данными Kaspersky и по-прежнему остается активной.

Справочные хеши:

  • 4f49a01e02e8c47d84480f6fb92700aa091133c894821fff83c7502c7af136d9
  • dce2d575bef073079c658edfa872a15546b422ad2b74267d33b386dc7cc85b47

Ссылки C2s:

  1. hxxps://46.17.97.12/website/
  2. hxxps://174.37.6.34/
  3. hxxps://75.126.60.251/store/

Рекомендации

  • Блокируйте все IOC на основе URL и IP на брандмауэре, IDS, веб-шлюзах, маршрутизаторах или других устройствах на основе периметра.
  • Используйте обновленный антивирус и убедитесь, что ваш текущий поставщик САВЗ имеет покрытие этого трояна
  • Осуществите поиск существующих признаков указанных IOC в вашей среде и почтовых системах.

 



2018-08-24T11:48:21
Закрытие уязвимостей

Запрет монтирования каталогов хоста в Docker контейнере

Пользователь может запустить контейнер docker с монтированием каталога хоста.

Как примонтировать каталог хоста в Docker контейнер

например нам необходим каталог /home/user/db Читать

Прекратите использовать Trello в качестве менеджера паролей (как получить пароль пользователей с помощью Google Dorks)

Просто используя Google dorks (inurl: https: //trello.com И intext: @ gmail.com И intext: password), мы можем получить все панели мониторинга Trello, где люди фактически размещают свой логин / пароль и делят их со своими членами команды.

это номер логина / пароля для адресов электронной почты, которые мы можем найти, ТОЛЬКО В Google.

пожалуйста, люди, обратите внимание и станьте параноиком при обращении с вашими личными данными

Google Дорки

inurl:https://trello.com и intext:@gmail.com и intext:password

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.



2018-08-02T10:54:40
Закрытие уязвимостей

Остановите криптоджекинг атаку на браузер s с бесплатным плагином браузера Coinblocker!

Что такое криптоджекинг?

Знаете ли вы, что ваш браузер можно использовать для майнинга криптовалюты?

Ну да , вы не ослышались, киберпреступники делают это, вернее вы за них, и они настраивают среды, которые завлекают незнающих пользователей.

Но все это можно остановить простым, но эффективным плагином, который вы можете использовать в своем браузере.

Плагин, о котором я говорю, это плагин Coinblocker от Qualys.

Загляните сюда и загрузите его, чтобы ваше устройство было защищено от криптоджекинговых атак.

Расширение Qualys CoinBlocker позволяет блокировать атаки на основе монетизации в вшем браузера. Наряду с «черным списком» и «белым списком доменов» он также поддерживает расширенное сканирование JavaScript для выявления и блокировки вредоносных функций javascript. Расширение также может идентифицировать и блокировать рекламные объявления с вредоносными майнерами, загруженные внутри iframe сторонними объявлениями.

Обычная текстовая ссылка для загрузки:

https://chrome.google.com/webstore/detail/qualys-browsercheck-coinb/jdocohkgkgpminecekdnkoljcffebkgc



2018-07-26T11:34:56
Закрытие уязвимостей