TheNote
RSS SANS Internet Storm Center... Notiz
GooglePlay AppStore

RSS SANS Internet Storm Center, InfoCON: grün

Die Webseite 'isc.sans.edu' ist Teil des SANS Institute, einer der meistvertrauenswürdigen Institutionen für Cybersecurity-Ausbildung und -Zertifizierung. Sie ist vor allem informationsorientiert und bietet diverse Ressourcen im Bereich der Cybersecurity. Die Startseite von 'isc.sans.edu' bietet Echtzeit-Updates zu Cyber-Bedrohungen und Schwachstellen vom SANS Internet Storm Center. Dies wird in Form eines Dashboards mit den neuesten Updates, einem Bedrohungslevel-Diagramm und einem Box-Score dargestellt. Sie bieten ein Diagnose-Projekt an, das Malware-Signaturen, Bedrohungs-Feeds und Regelsätze für eine umfassende Cybersecurity-Analyse enthält. Darüber hinaus bietet die 'isc.sans.edu'-Seite auch Ausbildung und Training für Cybersecurity-Professionals, sowie ein Forum für Diskussionen zu Cybersecurity-Themen. Die Hauptbereiche der Seite sind: 1. InfoStorms: Es verfolgt und berichtet über Stürme und bietet Schritte zum Abmildern sofortiger Bedrohungen. 2. Bedrohungen: Diese Kategorie enthält aktuelle globale Cyber-Bedrohungen. 3. Kostenlose Tools: Es gibt eine Reihe kostenloser Tools auf der Webseite, um Systeme gegen Cyber-Bedrohungen zu testen und zu evaluieren. 4. Ausbildung: Sie haben eine Vielzahl von Cybersecurity-Schulungskursen zur Auswahl. 5. Schwachstellen: Dieser Bereich enthält Informationen über vergangene Schwachstellen und Anleitungen zum Abmildern.
RSS isc.sans.edu
SANS Internet Storm Center, InfoCON: green isc.sans.edu
RSS Hunter RSS Hunter 22. Aug. 2024

Notizfaden

Ausspähen von Zwischenablagebildern in Python-Infostealer, (Mi, 15. Okt.)

Eine Zeit lang wurde der Inhalt der Zwischenablage von vielen Infostealern überwacht. Die Zwecke können vielfältig sein, wie z. B. das einfache Suchen und Exfiltrieren von interessanten Daten oder die Änderung im laufenden Betrieb, wie z. B. der Austausch von Krypto-Wallets&#;x26;#;x5b;1&#;x26;#;x5d;. Beachten Sie, dass die Zwischenablage ein großes Risiko darstellt, wenn Sie die Freigabe der Zwischenablage zwischen Ihren virtuellen Maschinen und Hosts nicht deaktivieren. Eine Malware, die in einer Sandbox ausgeführt wird, greift problemlos auf Ihre (Host-)Zwischenablage zu!
Clipboard Pictures Exfiltration in Python Infostealer, (Wed, Oct 15th) isc.sans.edu
CdXz5zHNQW_8zoklDzWUv.png
RSS Hunter RSS Hunter 15. Okt. 2025

Microsoft Patch Tuesday Oktober 2025, (Di, 14. Oktober)

Ich experimentiere heute mit einem etwas aufgeräumten Patch-Überblick. Ich habe Schwachstellen entfernt, die Microsofts Cloud-Systeme betreffen (bedanke mich aber bei Microsoft, dass sie diese überhaupt auflisten), sowie Schwachstellen in Software von Drittanbietern wie Open-Source-Bibliotheken. Dies sollte uns Microsoft-spezifische On-Premises-Schwachstellen hinterlassen. In diesem Monat sind das 157 verschiedene Schwachstellen. Acht der Schwachstellen werden als kritisch eingestuft.
Microsoft Patch Tuesday October 2025, (Tue, Oct 14th) isc.sans.edu
RSS Hunter RSS Hunter 14. Okt. 2025

Achtung: Scans für ESAFENET CDG V5, (Mo, 13. Okt)

Im Januar wurde eine mögliche XSS-Schwachstelle in dem elektronischen Dokumentensicherheitsmanagementsystem ESAFENET CDG gefunden. Dies war die jüngste (soweit ich das beurteilen kann) in einer langen Liste von Schwachstellen in dem Produkt. Frühere Schwachstellen umfassten SQL-Injection-Probleme und Schwächen in der Verschlüsselung, die zum Schutz von Dokumenten verwendet wurde. Mit anderen Worten: Ein typisches "sicheres" Dokumentenmanagementsystem. Das Produkt scheint auf den chinesischen Markt ausgerichtet zu sein, und mit einer Website, die komplett auf Chinesisch ist, bezweifle ich, dass es außerhalb Chinas viel, wenn überhaupt, verwendet wird.
Heads Up: Scans for ESAFENET CDG V5 , (Mon, Oct 13th) isc.sans.edu
RSS Hunter RSS Hunter 13. Okt. 2025

Polymorphe Python-Malware, (Mi, 8. Oktober)

Heute habe ich auf VirusTotal eine interessante Python-RAT entdeckt. Es gibt unzählige davon, aber diese hier hat meine Aufmerksamkeit erregt, basierend auf einigen Funktionsnamen, die im Code vorhanden sind: self_modifying_wrapper(), decrypt_and_execute() und polymorph_code(). Eine polymorphe Malware ist eine Art von Malware, die entwickelt wurde, um ihr Aussehen oder ihre Signaturdateien bei jeder Ausführung wiederholt zu verändern. Die Datei erhielt auf VT einen sehr niedrigen Wert von 2/64! (SHA256:7173e20e7ec217f6a1591f1fc9be6d0a4496d78615cc5ccdf7b9a3a37e3ecc3c).
Polymorphic Python Malware, (Wed, Oct 8th) isc.sans.edu
RSS Hunter RSS Hunter 8. Okt. 2025

Exploit gegen FreePBX (CVE-2025-57819) mit Codeausführung., (Di, 7. Okt.)

FreePBX ist ein beliebtes PBX-System, das auf dem Open-Source-VoIP-System Asterisk basiert. Um Asterisk einfacher verwalten zu können, bietet es eine leistungsfähige webbasierte Admin-Oberfläche. Leider hatte es, wie so viele Webanwendungen, in der Vergangenheit seinen Anteil an Schwachstellen. Zuletzt wurde eine SQL-Injection-Schwachstelle gefunden, die es Angreifern ermöglicht, die Datenbank zu manipulieren.
Exploit Against FreePBX (CVE-2025-57819) with code execution., (Tue, Oct 7th) isc.sans.edu
RSS Hunter RSS Hunter 7. Okt. 2025

Schnelle und grobe Analyse eines möglichen Oracle E-Business Suite Exploit-Skripts (CVE-2025-61882), (Mo, 6. Okt.)

Dieses Wochenende veröffentlichte Oracle ein überraschendes Sicherheitsbulletin, das eine ausgenutzte Schwachstelle in Oracle E-Business Suite ankündigte. Im Rahmen der Ankündigung, die auch einen Patch enthielt, veröffentlichte Oracle IoCs, die im Rahmen der Reaktion auf den Vorfall beobachtet wurden [1].
Quick and Dirty Analysis of Possible Oracle E-Business Suite Exploit Script (CVE-2025-61882), (Mon, Oct 6th) isc.sans.edu
RSS Hunter RSS Hunter 6. Okt. 2025

Mehr .well-known Scans, (Do, 2. Okt.)

Ich habe schon ein paar Mal über das ".well-known"-Verzeichnis geschrieben. Kürzlich über Angreifer, die Webshells verstecken [1], und davor über den Zweck des Verzeichnisses und warum Sie eine "/.well-known/security.txt"-Datei einrichten sollten. Aber als ich mir die heutigen Protokolle auf diesem Webserver angesehen habe, ist mir noch etwas anderes aufgefallen. Manchmal braucht man keinen Honeypot. Manche Angreifer sind laut genug, um auf einem belebten Webserver leicht sichtbar zu sein. Dieses Mal hat der Angreifer verschiedene URLs im ".well-known"-Verzeichnis angegriffen. Hier ist ein Beispiel für die > 100 angegriffenen URLs:
More .well-known Scans, (Thu, Oct 2nd) isc.sans.edu
CdXz5zHNQW_Vw7FldX3XN.png
RSS Hunter RSS Hunter 2. Okt. 2025

„user=admin“. Manchmal muss man sich nicht einmal anmelden. (Di, 30. Sep)

Einer der gängigen Infosec-Witze besagt, dass man manchmal eine Anwendung nicht "knacken" muss, sondern sich nur anmelden muss. Dies ist oft bei schwachen Standardpasswörtern der Fall, die bei IoT-Geräten häufig vorkommen. Eine noch einfachere Methode ist jedoch, der Anwendung mitzuteilen, wer man ist. Dazu ist nicht einmal ein Passwort erforderlich! Eine der traurigen wiederkehrenden Schwachstellen ist ein HTTP-Cookie, der den Benutzernamen oder die Benutzer-ID des Benutzers enthält.
"user=admin". Sometimes you don't even need to log in., (Tue, Sep 30th) isc.sans.edu
RSS Hunter RSS Hunter 30. Sept. 2025

Apple schließt einzelne Schwachstelle CVE-2025-43400, (Mo, 29. Sep)

Es ist typisch für Apple, kurz nach der Veröffentlichung eines neuen Hauptbetriebssystems ein ".0.1"-Update herauszubringen. Diese Updates beheben in der Regel verschiedene funktionale Probleme, aber dieses Mal beheben sie auch eine Sicherheitslücke. Die Sicherheitslücke betrifft nicht nur die "26"-Versionen von iOS und macOS, sondern auch ältere Versionen. Apple hat Korrekturen für iOS 18 und 26 sowie für macOS bis Sonoma (14) veröffentlicht. Apple hat auch Updates für WatchOS und tvOS veröffentlicht, aber diese Updates befassen sich nicht mit Sicherheitsproblemen. Für visionOS wurden nur Updates für visionOS 26 veröffentlicht.
Apple Patches Single Vulnerability CVE-2025-43400, (Mon, Sep 29th) isc.sans.edu
RSS Hunter RSS Hunter 29. Sept. 2025

Anstieg der Scans für Palo Alto Global Protect Schwachstelle (CVE-2024-3400), (Mo, 29. Sep)

Uns allen ist der erbärmliche Zustand von Sicherheitsgeräten bewusst, unabhängig von ihrem Preis. Immer wieder sehen wir eine Zunahme von Angriffen auf einige dieser Schwachstellen, um Systeme zu bereinigen, die bei früheren Exploit-Wellen übersehen wurden. Derzeit versucht eine Quelle, insbesondere %%ip:141.98.82.26%%, Systeme auszunutzen, die für CVE-2024-3400 anfällig sind. Der Exploit ist ziemlich einfach. Palo Alto hielt es nie für notwendig, die Session-ID zu validieren. Stattdessen verwenden sie die Session-ID "wie sie ist", um eine Session-Datei zu erstellen. Der Exploit wird von watchTowr gut erklärt [1].
Increase in Scans for Palo Alto Global Protect Vulnerability (CVE-2024-3400), (Mon, Sep 29th) isc.sans.edu
RSS Hunter RSS Hunter 29. Sept. 2025

Neues Werkzeug: convert-ts-bash-history.py, (Fr, 26. Sep)

In SANS FOR577 [1] sprechen wir am Tag 5 über Zeitachsen, sowohl Dateisystem- als auch Super-Zeitachsen. Aber manchmal möchte ich etwas Schnelles und Dreckiges, und anstatt Plaso zu starten, nur um eine Zeitachse von .bash_history-Daten zu erstellen, ist es schön, sie einfach parsen zu können und, wenn Zeitstempel aktiviert sind, sie in menschenlesbarer Form zu sehen. Ich hatte einige Studenten im Kurs, die Skripte dafür geschrieben haben, und sogar einen, der versprach, es nach dem Kurs mit mir zu teilen, aber ich habe es nie bekommen, also beschloss ich, mein eigenes zu schreiben. Dieses Skript nimmt den Pfad zu einer oder mehreren .bash_history-Dateien und gibt eine PSV-Liste (Pipe-separierte Werte) (auf stdout) in der Form: || zurück, wobei das im ISO-8601-Format ist (das einzig wahre Datumszeitformat, aber nur mit einer Auflösung von 1 Sekunde, da dies das Beste ist, was die .bash_history-Datei uns geben wird). In einer zukünftigen Version werde ich wahrscheinlich eine Option anbieten, um von PSV zu CSV zu wechseln.
New tool: convert-ts-bash-history.py, (Fri, Sep 26th) isc.sans.edu
CdXz5zHNQW_8h279JHBZh.png
RSS Hunter RSS Hunter 26. Sept. 2025

Gesucht: Was bedeuten diese seltsamen Anfragen?, (So, 21. Sep)

Beim Betrachten unserer Web-Honeypot-Daten stieß ich auf einen seltsamen neuen Request-Header, den ich noch nie zuvor gesehen hatte: "X-Forwarded-App". Meine erste Vermutung war, dass dies ein weiteres Problem mit einer Proxy-Server-Bucket-Brigade ist, die Geheimnisse preisgibt, wenn sich eine bestimmte "App" mit ihr verbindet. Also tauchte ich etwas tiefer ein und fand Anfragen wie diese:
Help Wanted: What are these odd reuqests about?, (Sun, Sep 21st) isc.sans.edu
RSS Hunter RSS Hunter 21. Sept. 2025

CTRL-Z DLL-Hooking, (Mi, 17. Sep.)

Wenn Sie eine Malware-Stichprobe debuggen, führen Sie sie wahrscheinlich in einem Debugger aus und definieren einige Breakpoints. Die Idee ist, die Programmkontrolle zu übernehmen, bevor sie "interessante" Aktionen ausführt. Normalerweise setzen wir Breakpoints auf Aufrufe von Speicherverwaltungs-APIs (wie VirtualAlloc()) oder Prozessaktivitäten (wie CreateProcess(), CreateRemoteThread(), ...).
Hacker & Security News on Bluesky @hacker.at.thenote.app bsky.app
RSS Hunter RSS Hunter 17. Sept. 2025

Warum Sie JETZT Phishing-resistente Authentifizierung benötigen. (Di, 16. Sep.)

Der kürzliche (und immer noch andauernde) Phishing-Angriff auf NPM-Entwicklerkonten hat erneut gezeigt, dass selbst technisch versierte und bewusste Benutzer auf Phishing-Köder hereinfallen. Jeder wird auf Phishing hereinfallen, wenn eine gut gezielte E-Mail verwendet wird.
Hacker & Security News on Bluesky @hacker.at.thenote.app bsky.app
RSS Hunter RSS Hunter 16. Sept. 2025

Apple aktualisiert alles – iOS/macOS 26. Ausgabe, (Mo, 15. September)

Heute hat Apple wie erwartet iOS/iPadOS/macOS/watchOS/tvOS 26 veröffentlicht. Zukünftig wird Apple die gleiche OS-Nummer für seine verschiedenen Angebote verwenden, was uns auf ein potenzielles Jahr-2100-Problem vorbereitet. Bemerkenswert ist, dass VisionOS nicht aktualisiert wurde.
Hacker & Security News on Bluesky @hacker.at.thenote.app bsky.app
RSS Hunter RSS Hunter 15. Sept. 2025

DShield SIEM Docker-Updates, (Mi, 10. Sep)

Seit dem letzten Update [5] habe ich in den letzten Monaten mehrere Verbesserungen an der DShield SIEM- und Webhoneypot-Sensorerfassung vorgenommen, darunter ein Update der Oberfläche zur Unterstützung der DShield-Sensoranalyse. Ich habe das Haupt-Dashboard aktualisiert, so dass alle wichtigen Analysewerkzeuge auf der linken Seite aufgelistet sind, um einen schnellen Zugriff auf alle Unter-Dashboards zu ermöglichen.
Hacker & Security News on Bluesky @hacker.at.thenote.app bsky.app
CdXz5zHNQW_Io4pZ5YBU9.png
RSS Hunter RSS Hunter 11. Sept. 2025

Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste oder das Klicken auf Ich stimme zu stimmen Sie unserer Verwendung von Cookies zu.