TheNote
RSS SANS Internet Storm Center... Заметка
GooglePlay AppStore

RSS SANS Internet Storm Center, InfoCON: зеленый цвет

Сайт "isc.sans.edu" является частью Института SANS, одного из самых надежных учреждений по обучению и сертификации в области кибербезопасности. Он ориентирован преимущественно на информацию и предлагает различные ресурсы в области кибербезопасности. На главной странице сайта 'isc.sans.edu' в режиме реального времени публикуются новости о киберугрозах и уязвимостях, поступающие из Центра интернет-штормов SANS. Информация отображается в виде приборной панели с последними обновлениями, графиком уровня угроз и показателями. Предлагается проект диагностики, включающий сигнатуры вредоносных программ, каналы угроз и наборы правил для полного анализа кибербезопасности. Кроме того, сайт isc.sans.edu предлагает обучение и тренинги для профессионалов в области кибербезопасности, а также форум для обсуждения тем кибербезопасности. Основные разделы сайта включают: 1. InfoStorms: Отслеживает и сообщает о штормах, а также предлагает меры по снижению непосредственных угроз. 2. Угрозы: В эту категорию входят текущие глобальные киберугрозы. 3. Бесплатные инструменты: Для тестирования и оценки систем против киберугроз на сайте доступен ряд бесплатных инструментов. 4. Образование: На выбор предлагаются различные учебные курсы по кибербезопасности. 5. Уязвимости: В этом разделе вы найдете информацию о прошлых уязвимостях и руководства по их устранению.
SANS Internet Storm Center, InfoCON: green isc.sans.edu
RSS isc.sans.edu
RSS Hunter RSS Hunter 22 авг. 2024 г.

Трэд заметок

Из файла VHDX к Remcos RAT, (вторник, 16 июня)

Вчера один из читателей сообщил нам о вредоносном ZIP-архиве (SHA256: a0104921a2d37ab87482ac9a9f5c3713479c118846c3e999178e75b81620c094[1]). После распаковки в нём содержится файл VHDX, который после подключения (что происходит автоматически в современных операционных системах Windows) раскрывает вредоносный JavaScript:
From a VHDX File to a Remcos RAT, (Tue, Jun 16th) isc.sans.edu
CdXz5zHNQW_ugB8x5PIDr.png
RSS Hunter RSS Hunter 16 июн.

Зловещий фон MSI: статистический анализ BASE64, (Пн, 15 июня)

Мне нравится, когда другой обработчик публикует запись в дневнике об изображениях с вредоносным содержимым. Последний - Ксавьер: «Злой фон MSI вернулся!»
Evil MSI Background: BASE64 Statistical Analysis, (Mon, Jun 15th) isc.sans.edu
CdXz5zHNQW_EVgXCPWP6K.png
RSS Hunter RSS Hunter 15 июн.

Как изменилось использование заголовков безопасности защиты от фрейминга за последние 3 года? (Ср, 10 июня)

В 2023 году я написал статью[1], в которой обсуждалось, насколько часто заголовки X-Frame-Options и CSP, содержащие директиву frame-ancestors, использовались на 1 миллионе самых популярных доменов в интернете (на основе списка Tranco[2]), и как они были настроены. Поскольку с тех пор прошло три года, я подумал, что было бы интересно повторить анализ и посмотреть, что — если что-то — изменилось за это время.
How has use of framing protection security headers changed in the past 3 years?, (Wed, Jun 10th) isc.sans.edu
CdXz5zHNQW_IdWQNNsK4E.png
RSS Hunter RSS Hunter 10 июн.

Microsoft июнь 2026, вторник патча (вторник, 9 июня)

Сегодня Microsoft выпустила патчи для 204 уязвимостей. 38 из этих уязвимостей считаются критическими, и три были раскрыты до сегодняшнего дня. Шесть уязвимостей затрагивают облачные решения Microsoft и не требуют каких-либо действий пользователя. Кроме того, Microsoft включила 360 различных уязвимостей, влияющих на Chromium, в свой браузер Edge.
Microsoft June 2026 Patch Tuesday, (Tue, Jun 9th) isc.sans.edu
RSS Hunter RSS Hunter 9 июн.

Кампания цепочки поставок TeamPCP: Активность до 2026-06-07, (понедельник, 8 июня)

Этот дневник продолжает отслеживание Центром интернет-угроз кампании по цепочке поставок TeamPCP, впервые задокументированной в белой книге SANS «Когда сканер безопасности стал оружием» и последний раз в дневнике обработчика «Активность до 2026-05-24». С момента этого обновления история переместилась в два новых места: правительство США, которое официально догнало кампанию, и более широкую популяцию атакующих, которые теперь используют фреймворк Mini Shai-Hulud, открытый TeamPCP в прошлом месяце.
TeamPCP Supply Chain Campaign: Activity Through 2026-06-07, (Mon, Jun 8th) isc.sans.edu
RSS Hunter RSS Hunter 8 июн.

Злой фон MSI вернулся!, (пятница, 5 июня)

Несколько месяцев назад я написал дневник о полезной нагрузке, встроенной в изображение JPEG. Это был фоновый рисунок бренда MSI[1]. Вчера я обнаружил ещё один! Похоже, что эта техника становится всё более и более популярной. На этот раз всё началось с письма, содержащего ссылку WeTransfer.
The Evil MSI Background is Back!, (Fri, Jun 5th) isc.sans.edu
CdXz5zHNQW_fvTme5iyKs.png
RSS Hunter RSS Hunter 5 июн.

Продолжение сканирования swagger.json, (среда, 3 июня)

Корпоративные приложения часто до сих пор используют сложные стандарты, такие как SOAP, для веб-сервисов. Большое преимущество SOAP заключается в его строгих и обширных стандартах, которые обеспечивают совместимость в рамках предприятия, управляемого веб-сервисами. Недостатки SOAP: во-первых, хотя он де-факто обычно используется поверх HTTP, он не использует преимущества HTTP, что приводит к ненужной сложности. Во-вторых, дети не читают инструкции, а разработчики в наши дни, как правило, не ценят искусство тщательного проектирования систем; они скорее бросают код в IDE, чтобы посмотреть, что получится, если они все равно не понимают код.
Continuing Scans for swagger.json, (Wed, Jun 3rd) isc.sans.edu
CdXz5zHNQW_UvMTQ7U5w5.png
RSS Hunter RSS Hunter 3 июн.

Новая волна фишинговых писем с файлами SVG, (вторник, 2 июня)

В течение нескольких дней мой почтовый ящик SANS ISC завален письмами с SVG-файлами. SVG ("Scalable Vector Graphic") — это удобный для веба векторный формат файлов, используемый для графики и значков. Никаких URL в теле письма, только "изображение" — это идеальный способ доставки вредоносного контента. Это не первый раз, когда мы видим, как злоумышленники используют эту технику[1].
New Wave Of Phishing Emails with SVG Files, (Tue, Jun 2nd) isc.sans.edu
CdXz5zHNQW_6gsqoqMRul.png
RSS Hunter RSS Hunter 2 июн.

Релиз YARA-X 1.17.0, (воскресенье, 31 мая)

Выпуск YARA-X 1.17.0 включает 5 улучшений (несколько улучшений производительности) и 1 исправление ошибки.
YARA-X 1.17.0 Release, (Sun, May 31st) isc.sans.edu
RSS Hunter RSS Hunter 31 мая

Анализ файлов, загруженных на датчики DShield за год, (Ср, 27 мая)

Используя данные, собранные за последний год, и Kibana, эти два запроса ES|QL суммируют данные, показывая список наиболее загружаемых угроз на два датчика DShield (локальный и облачный) за последний год. Активность отсортирована по месяцам, что показывает эволюцию загруженных на датчики файлов каждый месяц. Активность достигла пика в зимние месяцы (декабрь 2025 - февраль 2026) и начала снижаться в марте 2026 года для каждого датчика.
Analysis of a Year of Files Uploaded to DShield Sensors, (Wed, May 27th) isc.sans.edu
CdXz5zHNQW_gsAcMK39gA.png
RSS Hunter RSS Hunter 28 мая

Восстановление цепочки атак вредоносного ПО Akira Ransomware из журналов периметра и конечных точек, (среда, 27 мая)

Большинство отчетов об Akira фокусируются на записке о выкупе или процедуре шифрования. К тому времени, когда они появляются, интересная работа по расследованию уже закончена. Вопросы, которые важны для защитников, возникают раньше. Как они проникли? Когда они получили права администратора домена? К чему они прикасались до запуска исполняемого файла? Ответы на эти вопросы находятся в днях, предшествующих инциденту. Они содержатся в двух источниках журналов, которые почти никогда не объединяются. Это периметровый брандмауэр и канал событий Windows.
Reconstructing an Akira Ransomware Kill Chain from Perimeter and Endpoint Logs, (Wed, May 27th) isc.sans.edu
CdXz5zHNQW_93IR1k2xiV.png
RSS Hunter RSS Hunter 27 мая

Кампания цепочки поставок TeamPCP: Активность до 2026-05-24, (понедельник, 25 мая)

TeamPCP теперь работает параллельно в трех экосистемах пакетов, она достигла внутренней базы кода GitHub, она троянчила официально опубликованный Microsoft-пublished Python SDK, и, по-видимому, открыла исходный код своей собственной платформы на GitHub.
TeamPCP Supply Chain Campaign: Activity Through 2026-05-24, (Mon, May 25th) isc.sans.edu
RSS Hunter RSS Hunter 25 мая

Кампания цепочки поставок TeamPCP: Активность до 2026-05-24, (понедельник, 25 мая)

TeamPCP теперь работает параллельно в трех экосистемах пакетов, она достигла внутренней базы кода GitHub, она троянчила официально опубликованный Microsoft-пublished Python SDK, и, по-видимому, открыла исходный код своей собственной платформы на GitHub.
TeamPCP Supply Chain Campaign: Activity Through 2026-05-24, (Mon, May 25th) isc.sans.edu
RSS Hunter RSS Hunter 25 мая

Пример строки стека в языке высокого уровня, (суббота, 23 мая)

На этой неделе я прохожу обучение SEC670 („Red Teaming Tools - Разработка имплантатов Windows, Shellcode, Команда и Контроль“). С моей точки зрения, это обучение идеально подходит к FOR610 или FOR710 (анализ вредоносного ПО), поскольку оно рассматривает вредоносное ПО с противоположной стороны: вместо выполнения обратного инжиниринга вы пишете вредоносный код! Всегда интересно иметь другую точку зрения.
An Example of Stack String in High Level Language, (Sat, May 23rd) isc.sans.edu
CdXz5zHNQW_akbFJiIWgF.png
RSS Hunter RSS Hunter 23 мая

Кроссплатформенный NPM Steler, (пятница, 22 мая)

Я нашел вор Node.js, который выглядел довольно хорошо зашифрованным. Файл не запускался сразу, поскольку был загружен на VT как «extracted-decoded.js» (и отформатирован). SHA256 равен 049300aa5dd774d6c984779a0570f59610399c71864b5d5c2605906db46ddeb9[1]. Он не работал правильно в песочнице, поэтому была проведена только статический анализ.
Cross-Platform NPM Stealer, (Fri, May 22nd) isc.sans.edu
RSS Hunter RSS Hunter 22 мая

Выборочное проксирурование HTTP в Linux, (четверг, 21 мая)

Недавно Роб написал об инструменте Proxifier, который может перехватывать запросы от конкретных процессов. Proxifier доступен для Windows, macOS и Android. Но я еще не видел универсального варианта для Linux. Преимущество такого инструмента, как Proxifier, заключается в возможности нацеливаться на конкретное программное обеспечение. Для отладки, обратной разработки и аналогичных задач выбор конкретного процесса довольно полезен, так как создает меньше шума для просеивания и упрощает анализ.
Selective HTTP Proxying in Linux, (Thu, May 21st) isc.sans.edu
RSS Hunter RSS Hunter 21 мая

Кампания цепочки поставок TeamPCP: Активность до 17.05.2026 (Пн, 18 мая)

С момента последнего обновления кампания TeamPCP в цепочке поставок достигла своего пика с момента раскрытия Trivy в марте: официально подтверждена компрометация плагина Checkmarx Jenkins и новый самораспространяющийся червь Mini Shai-Hulud в npm и PyPI.
TeamPCP Supply Chain Campaign: Activity Through 2026-05-17, (Mon, May 18th) isc.sans.edu
RSS Hunter RSS Hunter 18 мая

[Дневник гостя] Новые библиотеки вредоносного ПО означают новые сигнатуры, (пятница, 15 мая)

&#;xd; &#;xd; :root &#;x7b; &#;xd; --isc-maroon: #; 7a1f1f; &#;xd; --isc-бордовый-тёмный: #; 5e1717; &#;xd; --isc-link: #; 0066cc; &#;xd; --isc-text: #; 1a1a1a; &#;xd; --isc-muted: #; 555; &#;xd; --isc-rule: #; d0d0d0; &#;xd; --isc-code-bg: #; f4f4f4; &#;xd; --isc-code-text: #; c0392b; &#;xd; --isc-block-bg: #; 1e1e1e; &#;xd; --isc-block-text: #; e6e6e6; &#;xd; --isc-callout-bg: #; Фафафа; &#;xd; --isc-table-header: #; ececec; &#;xd; }&#;xd;
[Guest Diary] New Malware Libraries means New Signatures, (Fri, May 15th) isc.sans.edu
CdXz5zHNQW_GtQ11GEKYa.png
RSS Hunter RSS Hunter 15 мая

Простой обход функции предпросмотра ссылок в папке "Спам" Outlook, (четверг, 14 мая)

Помимо того, что папка "Нежелательная почта" в Microsoft Outlook служит местом, куда помещается подозрительный спам, у нее есть еще одна функция, которая может быть весьма полезна при выявлении вредоносных сообщений. Любое электронное письмо, помещенное в эту папку, удаляет все форматирование, и адреса всех ссылок, включенных в сообщение, становятся видимыми для пользователя, как вы можете видеть на следующих изображениях, которые показывают одно и то же электронное письмо, когда оно находится во входящих и когда оно находится в папке "Нежелательная почта".
Simple bypass of the link preview function in Outlook Junk folder, (Thu, May 14th) isc.sans.edu
CdXz5zHNQW_G7WCE3NWMv.png
RSS Hunter RSS Hunter 14 мая

[ДНЕВНИК ГОСТЯ] Разбор мошенничества на сайте, чтобы увидеть, как оно работает. (среда, 13 мая)

Это Гостевая тетрадь Джошуа Николсона, стажера ISC и участника программы бакалавриата SANS.edu по прикладной кибербезопасности (BACS)
[GUEST DIARY] Tearing apart website fraud to see how it works., (Wed, May 13th) isc.sans.edu
CdXz5zHNQW_fnd24viAg7.png
RSS Hunter RSS Hunter 13 мая

Файлы cookie помогают нам предоставлять наши Услуги. Используя наши Услуги или нажимая «Я согласен», вы соглашаетесь с нашим использованием файлов cookie .