Най-интересното

Хакерите са взели на въоръжение инструмента EDRSilencer, който принципно се използва от Red Teams екипите за тестване на сигурността в организациите. Той е способен да се намесва в работата на EDR софтуерите, използвайки платформата за филтриране на трафика в Windows (WFP).  

EDR наблюдават крайни точки като компютри или сървъри за признаци на злонамерена активност. От своя страна EDRSilencer е проектиран да блокира мрежовата комуникация на техните процеси. Ефектът от това действие е значителен, тъй като по този начин се нарушава основната функционалност на EDR системите. Блокирайки комуникацията им, EDRSilencer създава „сляпа зона“ в защитата на организацията. 

За да противодействате на заплахи като тази, препоръчваме прилагането на комплексен подход. Той включва следните ключови стратегии: 

Внедряване на многослойни контроли за сигурност 

• Изолиране на критичните системи и чувствителните данни, за да се ограничи възможността за странично движение на атакуващите в мрежата. 
• Използване на множество нива на контрол за сигурност, включително защитни стени, системи за откриване на нарушения, антивирусен софтуер и EDR решения. Този подход създава резервираност и повишава общата устойчивост на системата. 

Подобряване на сигурността на крайните точки  

• Внедряване на решения за сигурност, които използват поведенчески анализ и откриване на аномалии. Това позволява идентифициране на необичайни дейности, които биха могли да заобиколят традиционните EDR системи.
• Ограничаване на изпълнението само до одобрени приложения, което значително намалява риска от изпълнение на злонамерен софтуер.

Провеждане на непрекъснато наблюдение и активно търсене на заплахи  

• Проактивното търсене на индикатори за компрометиране (IoCs) и APTs в мрежата позволява ранно откриване и предотвратяване на сложни атаки.

Прилагане на строги контроли за достъп  

• Осигуряване на минимално необходимото ниво на достъп за потребители и приложения, за да изпълняват своите функции. Това ограничава потенциалния обхват на щетите при успешна атака. 

 

 

 

 

Използвате пароли от осем символа и си мислите, че акаунтите ви са защитени? Време е да ви разочаровам. Според доклада 2024 Password Table на IT компанията Hive Systems средното време, нужно на хакерите да разбият една подобна парола чрез brute force атака, е 37 секунди! 

В същото време в блога си лабораторията за киберсигурност Cisco Talos предупреждава, че броят на този тип атаки нараства значително през 2024 – тенденция, валидна за всяка една от последните години. 

Какво представляват brute force атаките? 

Brute force атаките са насочени срещу защитени с парола акаунти. При тях нападателят използва софтуер, който генерира множество последователни предположения за изключително кратко време, за да получи неоторизиран достъп до даден профил.  

Brute force атаките могат да бъдат изключително успешен инструмент в ръцете на хакерите. Особено ако не сте защитени от допълнителни мерки за сигурност. С увеличаването на сложността на паролата те стават по-малко практични заради експоненциалното нарастване на броя на възможните комбинации, но това единствено отнема повече време на нападателя. 

Видове brute force атаки 

За да стане ситуацията още по критична, brute force атаките са изключително разнообразни: 

• Обикновени brutе force атаки: Основната форма, при която нападателят ръчно опитва различни комбинации от знаци, цифри и символи, за да отгатне паролата. Този подход отнема много време и е неефективен, но работи изненадващо добре срещу слаби, предсказуеми пароли като „123456“ или „password123“. 
• Речникови атаки (Dictionary Attacks): Вместо случайни предположения, речниковите атаки използват предварително изготвени списъци с често срещани думи, фрази, вариации и изтекли пароли. Те могат да бъдат съобразени с миналото или интересите на целта и са значително по-бързи и по-ефективни от обикновените. Особено срещу потребители, които използват едни и същи пароли в различни акаунти. 
• Хибридни brute force атаки: Те съчетават двата гореописани подхода. Започват с по-малък списък от често срещани пароли, който след това се разширява със замяна на символи, вариации и др. 
• Reverse Brute Force: Тук нападателят вече има някаква информация за паролата, като например нейната дължина или специфични символи. Въз основа на тази информация той изгражда списъци с възможности, които увеличават скоростта и успеваемостта на атаката. 
• Подправяне на идентификационни данни (Credential Stuffing): Тази вариация включва използване на изтекли или откраднати двойки потребителски имена и пароли при пробиви в дадени платформи, които се изпробват в други такива. Тя разчита на факта, че много потребители използват едни и същи идентификационните данни в различни акаунти.  
• Rainbow Table Attacks (дъгови таблици): При тези атаки се използват предварително изчислени хешове на често срещани пароли и след това се сравняват с хешовата парола на целевата система. Въпреки че не разкрива директно паролата, успешното съвпадение я идентифицира в дъгова таблица. 
• Password Spraying: Вместо да се насочва към конкретни акаунти, при атака от този вид нападателят използва една парола срещу голям брой профили. Целта е да се използват слаби политики за защита или повторна употреба на пароли в различни платформи. Макар и не толкова целенасочена, тя може ефективно да идентифицира уязвими акаунти и да получи достъп до множество системи наведнъж. 
• Brute force атаки срещу RDP връзки: Протоколът за отдалечен работен плот (Remote Desktop Protocol – RDP) е популярен инструмент за отдалечен достъп до компютри. Нападателите могат да използват brute force техники, за да отгатнат идентификационните данни за вход в RDP и да получат неоторизиран достъп до отдалечената система. Това може да бъде врата за по-нататъшни атаки към мрежата или данните, съхранявани в нея. 

Как да се защитите? 

Същестуват различни начини да се защитите от brute force атаките. Част от тях включват политики за блокиране след определен брой неуспешни опити за вход, CAPTCHA, предназначени да предотвратят автоматичното подаване на заявки, както и многофакторна автентикация. 

Мениджърите на пароли са друг инструмент, който ограничава риска, тъй като ви помага да поддържате уникални, сложни пароли за различните платформи и услуги, които използвате. 

Също така, когато обмисляте с каква парола да защитите даден акаунт, заложете на дължината и използвайте различни символи. 

Не на последно място, не препоръчваме честа смяна на пароли, но когато имате и най-малкото съмнение, че някоя от тях е компрометирана, това е задължителна предохранителна мярка. 

Понякога работата е толкова много, че губим фокус и започваме да пропускаме някои важни детайли. Това води до намаляване на ефективността, производителността и резултатите – и в крайна сметка до пълно прегаряне. Това е особено вярно за работата в областта на ИТ, където процентът на прегаряне е висок заради огромното количество задачи. 

В областта на киберсигурността „прегряването от нотификации“ е един от основните признаци на бърнаут и може да доведе до сериозни проблеми за бизнесите. Познаването на симптомите и начините за смекчаване на всяка възможност за настъпването му е от първостепенно значение за благополучието на вашия бизнес и служителите ви. 

Какво представлява „прегряването от нотификации“? 

„Прегряването от нотификации“ е признак на много неща, но най-вече е знак за настъпващ бърнаут. Дали заради сложни интерфейси, дефектни софтуери за сигурност, изобилстващи от фалшиви положителни резултати, или ниска честотна лента за обработка на входящите сигнали, особено в областта на киберсигурността, е лесно да се претоварите. 

XDR (Extended Detection and Response) решенията могат да бъдат полезни, но също така могат да бъдат и много уморителни при работа с тях. По подобен начин SIEM (Security Information Event Management) софтуерите са много полезни, но може да е трудно да се различи кое е важно и кое не, а входящият трафик от логове е способен да претовари дори най-квалифицирания специалист. 

Всички тези платформи изискват постоянно внимание и водят до повишени нива на стрес и евентуално нежелание за по-задълбочено разследване на инциденти заради броя на нотификациите. Това, съчетано с други аспекти на работата на специалистите по киберсигурност, може силно да увеличи работното натоварване. Представете си го като постоянна необходимост да бъдете бдителни и внимателни. Повторете това няколко пъти и ето – прегарянето е факт. 

Изискващи работни натоварвания 

Тук може да се повдигне и въпросът дали наистина работното натоварване е това, което предизвиква „прегряването от нотификации“, или то е резултат от факта, че инструментите за киберсигурност не се справят със задачата да облекчат човешкия фактор. 

Необходимостта от намаляване на тежестта върху ИТ специалистите в предприятията лесно може да се обоснове, тъй като често изпълняват много роли. От една страна, те защитават компанията от външни заплахи, а от друга – управляват мрежите и устройствата, използвани от служителите. 

Обикновено тези дейности са разпределени между няколко човека, но това не означава, че те не могат да прегреят. Високите изисквания към тях и повтарящите се дейности, които трябва да извършват, могат да ги натоварят изключително много. В същото време прекомерната скука на работното място може да доведе до същия резултат. 

Сложен софтуер 

За ИТ специалистите проклятието на тяхното съществуване е лошият, бъгав или прекалено сложен софтуер, който затруднява работата им многократно. Ето защо настоящата тенденция е да се опростяват потребителските интерфейси или да се добавя малко автоматизация, за да се подчертават само най-важните точки. 

Това е лесно да се види, когато погледнете еволюцията на операционните системи или широко използваните приложения – през 2010 г. повечето компании решиха да опростят и да направят взаимодействието с бъдещите си модификации по-лесно от преди (добър пример е актуализацията на iOS 7 или Windows 11 в сравнение с предишните версии). ESET направи същото с платформата ESET PROTECT, като въведе опростено и лесно за използване табло за управление, за да направи работата на специалистите по киберсигурност по-удобна. 

Нещо повече, тази философия на дизайна накара компанията да разработи функции като ESET AI Advisor и ESET Vulnerability and Patch Management. По този начин тя посочва слона в стаята – напредналата киберсигурност не трябва да бъде бреме, тъй като, умората от нея е чудесен начин тя да бъде отслабена. 

Управление на натоварванията и намаляване на сложността 

Винаги има начин да се улесни работата и винаги има решения, които съществуват като отговор на някои недостатъци или слаби места на други. Например претоварените ИТ екипи или тези на малките бизнеси могат да изберат да възложат сигурността си на доставчици на управлявани услуги за сигурност (MSSP). По този начин те ще намалят вероятността от преумора в резултат на задачите, свързани с киберсигурността. 

Не можете да се справите с броя на нотификациите, идващи от обширната ви бизнес инфраструктура? Потърсете MDR (Managed Detection and Response) решение. То може да помогне на всеки бизнес да използва допълнителните умения и знания на опитен доставчик на киберсигурност, повишавайки качеството и състоянието на защитата му. 

Не всеки бизнес може да си позволи да увеличи размера на ИТ екипите си, особено във времена на недостиг на специалисти. А ако тези, които вече имате, са на ръба на силите си, защо да ги губите заради прегаряне? 

Има и няколко начина, които хората и бизнесите могат да използват, за да се предпазят „прегряването от нотификации“: 

• Правете почивки: Претоварването е сигурен начин да се стигне до прегаряне. Затова се опитвайте да си давате почивка. Препоръчителната продължителност е 15 минути на всеки два часа, разбира се, с 8 часа сън. 
• Автоматизирайте някои задачи: Често хората не познават конкретни инструменти, които могат да улеснят живота им чрез автоматизация. Например, ESET PROTECT позволява на администраторите да автоматизират някои задачи – актуализации на операционната система и продуктите, сканиране, изключване на компютри – освобождавайки честотната им лента. По подобен начин мощта на модулите на ESET PROTECT, които са базирани на изкуствен интелект, включително ESET AI Advisor в ESET Inspect, може да гарантира по-малко стресови ситуации, увеличавайки производителността и ефективността. 
• Търсете цялостна опростеност: Наличието на лесен за използване интерфейс, представящ много важни данни в ясен вид, е чудесен начин да направите работата в ИТ сектора по-ефективна. Затова търсете продукти, които вместо да ви претоварват, предлагат цялостна защита с прости модели на използване. 
• Научете се да делегирате: Често срещано оплакване на висшите ИТ специалисти е, че делегирането на работа е трудно, тъй като те не могат да бъдат сигурни в уменията и знанията на колегите си. Затова предпочитат да правят всичко сами, вместо да се съсредоточат върху задачи от по-висок порядък. Въпреки това всеки има ограничена честотна лента и неделегирането на задачите на другите може да претовари дори най-добрия старши служител. 
• Възлагане на външни изпълнители: Не можете да се справите с всички ИТ задачи? Обмислете възможността да възложите на външен изпълнител поне ИТ сигурността си, като по този начин ще разтоварите поне частично ИТ екипите. Това ще намали шанса от прегаряне.  

В допълнение, не е задължително прегарянето да се дължи само на работата. Може да има много допълнителни фактори, като например тревожност от взаимодействието с хората, депресия или всичко, което идва от външната среда и може да окаже въздействие върху човешката психика. В тези случаи помислете и за коучинг, тъй като той може да ви помогне да се справите с някои проблеми, които дори смяната на работата не би могла да реши. 

Преди дни стана ясно, че потребителите на новата операционна система на Apple macOS 15 Sequoia имат проблеми с мрежовата връзка, когато използват определени EDR (endpoint detection and response) решения или виртуални частни мрежи (VPN). 

Засега са докладвани проблеми със защитните продукти на SentinelOne, Microsoft, CrowdStrike и ESET. Те се разрешават, когато въпросните инструменти бъдат деактивирани, което категорично говори за несъвместимост с мрежовия стек на операционната система. 

В съобщение до клиентите си, цитирано от BleepingComputer, CrowdStrike съветва да не се надгражда до macOS 15, докато проблемът не бъде решен. 

От ESET са значително по-изчерпателни в съветите си. 

Решение на проблема от ESET 

На първо място, от компанията за киберсигурност акцентират, че понастоящем macOS Sequoia поддържа ESET Endpoint Security версия 8.1.6.0 (и по-нова) и ESET Cyber Security версия 7.5.74.0 (и по-нова). Потребителите, които използвате ESET Cyber Security версия 6 и са преминали към новата операционна система на Apple, трябва да надградят до версия 7. Още повече, че версия 6 е със статус на ограничена поддръжка, която скоро ще спре напълно.  

Като цяло ESET дава три варианта за отстраняване на проблема с мрежовата свързаност при macOS Sequoia: 

Вариант I: Премахване на мрежовия филтър 

• отидете в System Settings (Системни настройки) на вашето устройство; 
• изберете Network → Filters (Мрежа → Филтри); 
• Изберете ESET Network и натиснете върху иконата с минус; 
• Рестартирайте Вашето macOS устройство и проверете дали мрежовата ви връзка функционира; 
• актуализирайте своята ESET Endpoint Security, ESET Cyber Security или Cyber Security Pro до най-новата версия. 

Вариант II: Деинсталиране на по-старата версия и инсталиране на най-новата 

За да деинсталирате продукта на ESET за macOS, трябва да използвате програмата в съдържанието на неговия пакет: 

• влезте в Applications (Приложения); 
• щракнете с десния бутон на мишката върху продукта ESET, след което изберете Show Package Contents → Contents → Helpers → Uninstaller (Покажи съдържанието на пакета → Съдържание → Помагала → Деинсталатор); 
• рестартирайте вашето macOS устройство и проверете дали мрежовата ви връзка функционира.
• Изтеглете и инсталирайте най-новата версия на вашия ESET продукт за macOS, като използвате инструкциите за ESET Endpoint Security или ESET Cyber Security и Cyber Security Pro. 

Вариант III: Инсталиране на най-новата версия на продукта на ESET за macOS 

В случай че мрежовата ви връзка не работи, но вече имате инсталатор с най-новата версия на продукта ESET за macOS, наличен на вашето устройство, можете да я инсталирате върху версия 6: 

• Инсталирайте ESET Endpoint Security за macOS 
• Инсталирайте ESET Cyber Security или ESET Cyber Security Pro 

След инсталацията рестартирайте вашето устройство и проверете дали мрежовата ви връзка функционира. 

На 15-ти септември Wi-Fi навърши 25 години! За това време технологията за безжична комуникация се превърна в едно от нещата, без които не можем да си представим функционирането на съвременния свят.  

Тя е неизменна част от днешните компютри, телефони, телевизори, смарт часовници и всевъзможни други умни устройства, давайки на крайните потребители и бизнесите възможности, които някога съществуваха само в научнофантастичните филми и книги. Отдалечено управление на машини, работа от разстояние, постоянна връзка с интернет – всичко това дължим на нея. НАСА дори обмисля как да я използва на Луната! 

Но като всяка трансформираща технология, освен с предимства Wi-Fi идва и с присъщите си рискове. Използването на безжични мрежи, особено публични, крие няколко сериозни опасности. 

Публични Wi-Fi мрежи 

На първо място са атаките от типа Man-in-the-Middle (MITM), при които хакерите прихващат комуникациите между потребителя и мрежата. Това им позволява да получат неоторизиран достъп до чувствителна информация. 

Нападателите също така създават фалшиви Wi-Fi мрежи (Evil Twin), които имитират легитимни такива и им позволяват да инсталират зловреден софтуер на устройствата. 

В много публични Wi-Fi мрежи липсва криптиране, което пък улеснява киберпрестъпниците да наблюдават и улавят незащитени данни. В същото време те могат да се възползват от техните уязвимости и за да поемат контрола над активната сесия на даден потребител в уебсайт или приложение. 

Безжичните мрежи могат да бъдат благоприятна среда и за разпространение на зловреден софтуер, ако хакерите успеят да заразят самите тях. Те често се превръщат в канал за разпространение на ransomware, който блокира достъпа на потребителите до файловете им. 

Не на последно място, през незащитени публични Wi-Fi мрежи хакерите могат дистанционно да наблюдават интернет активността, като улавят чувствителна информация без пряк достъп. 

Затворени Wi-Fi мрежи 

Но и затворените безжични мрежи не са напълно защитени. Особено ако се използват стари рутери и пароли по подразбиране.  

Старите рутери често не разполагат с най-новите актуализации на фърмуера, които поправят уязвимостите в сигурността. Производителите спират да поддържат остарелите модели, а без редовни актуализации те стават лесна мишена за хакерите. 

По-старите рутери също така обикновено не разполагат със съвременни функции за сигурност като мрежи за гости, вградени защитни стени и надеждно криптиране, както и с необходимата изчислителна мощност за безопасната обработка на едновременни връзки. 

Когато става дума за пароли по подразбиране – в много случаи те са сходни за всички устройства и лесно се разбиват. 

Как да се защитим 

За да защитите безжичната си мрежа, е изключително важно да използвате рутери с актуален фърмуер, силни пароли и усъвършенствани функции за сигурност.  

А за да намалите рисковете при използването на публични Wi-Fi мрежи: 

• използвайте VPN; 
• избягвайте чувствителни трансакции; 
• винаги потвърждавайте легитимността на Wi-Fi мрежата, преди да се свържете с нея;  
• деактивирайте функциите за автоматично свързване; 
• поддържайте софтуера на устройствата си актуализиран; 
• използвайте силни пароли; 
• излизайте от мрежата след употреба; 
• избягвайте да въвеждате поверителна информация в мобилни приложения. 

 

Последен ъпдейт на 25 септември 2024 в 12:39 ч.

Училищатa и университетите са изправени пред нарастващи разходи, свързани с ransomware атаки, от една страна, а от друга – срещат все повече трудности да се възстановят след тях. 

Организациите от образователния сектор плащат най-високата средна стойност след подобни кампании – 6,6 млн. USD, като сумата е сравнима само с откупите, платени от федералното правителство на САЩ.  

Докладът State of Ransomware in Education 2024 на компанията за киберсигурност Sophos установява, че 44% от училищата в 14 държави от различни глобални региони, в това число и Европа, са се сблъскали с искане за откуп в размер на 5 млн. USD или повече. На 32% от висшите учебни заведения са им били искани между 1 и 5 млн. USD, а на 35% – над 5 млн. USD. 

Кампаниите срещу образователни институции са намалели през 2024 г. в сравнение с 2023, но остават повече спрямо 2022. 

В същото време 95% от атакуваните образователни институции са съобщили, че киберпрестъпниците са се опитали да компрометират и резервните копия на данните им, като при 71% тези опити са успешни. 

Въпреки че България не е след изследваните държави, училищата у нас не са застраховани по никакъв начин. За да се предпазят от ransomware атаки, те трябва да: 

• спазват стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн; 
• сте сигурни, че резервните копия работят правилно, което изисква постоянни проверки; 
• поддържат всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани; 
• използват софтуери за киберсигурност; 
• въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за аветентикация и оторизация; 
• провеждат постоянно обучения по киберсигурност на служителите си. 

Подкрепяните от Русия и Северна Корея хакери отдавна са сериозен проблем за киберсигурността на бизнеса и правителствените системи навсякъде по света. Това важи с още по-голяма сила за САЩ и Европа, а по всичко личи, че тази тенденция се задълбочава.  

Хакери на руското военно разузнаване атакуват ключови сектори на държави от НАТО

APT групи (Advanced Persistent Threats) към специализирано звено на Главното разузнавателно управление на руския Генерален щаб, използващи иновативни технологии като изкуствения интелект, се насочват към критични сектори на държави членки на НАТО и техни съюзници. Според федералните власти на САЩ и девет други западни служби в списъка с потенциални цели влизат организации от сферата на транспорта, енергетиката, здравеопазването, правителствените и финансовите услуги и т.н.  

В рамките на разследването са документирани повече от 14 000 случая на сканиране на домейни в поне 26 държави членки на НАТО и още няколко от ЕС. Нападателите са компрометирали уебсайтовете на жертвите, сканирали са инфраструктурата им и са ексфилтрирали данни. 

Свързаните с Москва групи са използвали известни уязвимости, като сред наблюдаваните активни експлойти са такива срещу продуктите на Atlassian Confluence Server и Data Center, IP камери на Dahua и Sophos Firewall.  

Пхенян подготвя вълна от кибератаки срещу организации за криптовалути 

В същото време севернокорейски групи подготвят вълна от кибератаки срещу „организации с достъп до големи количества активи или продукти, свързани с криптовалута“. От ФБР предупреждават, че се очаква кампанията да бъде базирана на особено опасни тактики за социално инженерство, включително силно персонализиране, което ще я направи изключително убедителна. 

През последните няколко месеца федералното бюро е засякло различни спонсорирани от Пхенян групи, проучващи цели, свързани с борсово търгувани криптофондове (ETF).  

Предстоящите атаки могат да включват както кражба на криптовалути, така и внедряване на зловреден софтуер. От ООН изчисляват, че досега при подобни кампании севернокорейските хакери са откраднали около 3 млрд. долара в криптовалути, но сегашната вълна от кибератаки може да се окаже още по-трудна за откриване от предишните. 

В нейните рамки се очаква хакерите да се представят за специалисти по набиране на персонал и да се насочат към служители от различни сектори. Те дори може да кандидатстват за работа в различни западни организации и ако бъдат наети, да извършват злонамерена дейност отвътре. 

Обикновено подобни атаки започват с фалшиви предложения за работа или с файлове, съдържащи „троянски кон“, маскирани като PDF, Virtual Network Computing (VNC) клиенти или софтуер за отдалечени конференции. Тези злонамерени файлове често се изпращат под прикритието на предложения за наемане на работа, оферти за специалисти на свободна практика или дори идеи за инвестиции.  

„Компаниите, особено в криптосектора, трябва да бъдат предпазливи по отношение на служителите, които се занимават с лични дейности като търсене на работа на устройства с достъп до фирмена информация, тъй като нападателите се насочват предимно към идентификационните данни за вход и криптопортфейлите. Освен това организациите трябва внимателно да проверяват потенциалните инвестиционни партньори, за да се уверят в тяхната автентичност“, съветва Анди Гарт, директор по правителствените въпроси в ESET. 

Новооткрита уязвимост на 18 години, която засяга на практика всички модрени браузъри, позволява неоторизиран достъп до услуги на машините за всеки един потребител. Накратко, това е „0.0.0.0 Day“, разкрита от израелската компания за  киберсигурност Oligo Security.

Казусът е в начина, по който Google Chrome/Chromium, Mozilla Firefox, и Apple Safari обработват заявки към един определен IP адрес – или по-точно как заобикалят защитните механизми на браузърите, което позволява експлоатирането на различни локални услуги на машината,  обект на атака.

По-конкретно. Oligo Security с открили, че сайтове могат да комуникират с услуги в локалната мрежа и да изпълняват код на машината на на устройството на посетителя като изпращат заявки към 0.0.0.0 вместо стандартното localhost/127.0.0.1. Причината: 0.0.0.0 Day заобикаля Private Network Access (PNA), предназначена да забрани на публични уебсайтове да осъществяват директен достъп до услуги на ниво операционна система на потребителя.

В резултат на това (и благодарение на непоследователното прилагане на механизмите за сигурност и липсата на стандартизация в различните браузъри) един на пръв поглед безобиден IP адрес като 0.0.0.0 може да бъде използван като оръжие за неоторизиран достъп и отдалечено изпълнение на код от нападатели извън мрежата.

Телеметрията на Google показва, че около 0.015% от всички уебсайтове (приблизително 200 млн. по света) взаимодействат с 0.0.0.0. Това не означава автоматично, че те са опасни – но може и да бъдат.

„0.0.0.0 Day“ съществува от 2006 г. насам и засяга Google Chrome/Chromium, Mozilla Firefox и Safari на Apple. След разкриването на уязвимостта, авторите им започват постепенно да забраняват интеракцията с 0.0.0.0. По-конкретно:

• Google Chrome (и останалите Chromium-базирани браузъри като Edge): блокирането на достъпа до 0.0.0.0 започва от Chromium 128. Адресът ще е напълно блокиран до версия 133 на Chrome
• Apple Safari: Apple добави промени в енджина си Webkit, който блокира достъпа на всички заявки към 0.0.0.0
• Mozilla Firefox: браузърът никога не е разчитал на PNA, но в не определена бъдеща дата Firefox ще блокира заявките към 0.0.0.0

Дотогава: очите на четири и внимавайте в какви сайтове влизате.

Вълна от съдебни дела залива CrowdStrike, след като грешка при ъпдейт на приложението Falcon на компанията доведе до срив на над 8.5 млн. компютъра по света и принудителни спиране на дейността на редица летища, болници и други организации.

Сред заведените дела са:

• колективен иск, във федералния съд в Остин, Тексас, от пътници, които обвиняват CrowdStrike  в небрежност при тестването и внедряването на актуализацията. Ищците твърдят, че докато са се опитвали да стигнат до крайните си дестинации, са похарчили стотици долари за настаняване, храна и алтернативни пътувания. Други пък казват, че са пропуснали работни ангажименти или са имали здравословни проблеми, тъй като е трябвало да спят на пода на летищата.
• правни искове от страна на акционери заради спада на ценните книжа на компанията, последвал срива
• искове от засегнати клиенти на компанията, като авиопревозвачът Delta Air Lines вече официално обяви, че е наел адвокатска компания, с която ще търси компенсации заради принудителното отменяне на повече от 6 хил. полета, на стойност около 500 млн. USD.

Тези от вас, който се занимават активно с пенетрейшън тестинг или ред тийминг задачи, знаят че понякога е от ключово значение да можеш да изпълниш байнъри код, без да го записваш върху диска и без да оставя следи (почти) Инструментът „fee“ (File-less ELF Execution) предлага елегантно решение на този проблем, използвайки техника за изпълнение на ELF (Executable and Linkable Format) файлове директно от паметта.

Как работи FEE?

FEE е Python скрипт, който генерира python код за зареждане на подадения ELF като файл в паметта и го изпълнява, без да използва временна файлова система (tmpfs). Това позволява изпълнението на байнъри файлове без да оставя никакви следи на диска.

Ключът към функционирането на FEE е извикване на системната функция `memfd_create`. След като бъде извикана, се създава анонимен файл в паметта, за който се връща файлов дескриптор, който се отнася към него. Съотведния дескриптор е видим във файловата система само като символна връзка в `/proc/<PID>/fd/` (например `/proc/10766/fd/3`).

Интересното е, че `execve` (системната функция за изпълнение на файлове) може да използва този файлов дескриптор за изпълнение на ELF бинарен файл, все едно е обикновен файл, който е записан върху диска.

Какви са предимствата на FEE

1. Не оставя следи на диска: Изпълнението на бинарни файлове чрез FEE не записва нищо на диска, което може да бъде потвърдено с инструменти като `strace`.
2. Заобикаля `noexec` флагове: FEE игнорира и заобикаля `noexec` флаговете на монтираните файлови системи, дори ако са зададени по този начин в `/proc`.
3. Гъвкавост при именуването: Въпреки че името на анонимния файл не влияе на поведението му, FEE позволява задаването на име за целите на дебъгване или форенсик анализ.

Къде може да намери приложение този инструмент

FEE може да бъде полезен в различни сценарии, включително:

• Тестване на сигурността и пентестинг
• Форенсик анализ
• Системна администрация в специфични случаи
• Разработка и дебъгване на софтуер

FEE предлага мощен и елегантен начин за изпълнение на ELF файлове без да оставя следи на диска. Въпреки че този инструмент може да бъде изключително полезен в определени ситуации, важно е да се използва отговорно и етично, спазвайки всички приложими закони и разпоредби.

Инструмента може да бъде свален от следния линк: https://github.com/nnsee/fileless-elf-exec