Сертификат безопасности

Личный взгляд на события в ИБ и около.
Внимание: специфический юмор, впечатлительным лучше не подписываться.
Админ: @rockyou

TGlist рейтингі

ТүріҚоғамдық

Растау

Расталмаған

Сенімділік

Сенімсіз

Орналасқан жері

ТілБасқа

Канал құрылған күніЛип 20, 2020

TGlist-ке қосылған күні

Серп 28, 2024

Мен каналдың иесімін

Өзгерістер тарихы

Қосылған топ

Чат Сертификат безопасности

Telegram арнасы Сертификат безопасности статистикасы

Толығырақ

Жазылушылар

1 080

24 сағат

30.3%Апта

212%Ай

919.2%

Дәйексөз индексі

0

Ескертулер0Каналдарда қайта жазылу0Каналдарда ескерту0

1 жазбаның орташа қамтуы

211

12 сағат208

22.4%24 сағат211

21.3%48 сағат2680%

Қатысу деңгейі (ER)

8.58%

Қайта жазылды0Пікірлер0Реакциялар7

Қамту бойынша қатысу деңгейі (ERR)

0%

24 сағат0%Апта

0.21%Ай

0.42%

1 жарнамалық жазбаның қамтуы

268

1 сағат00%1 – 4 сағат00%4 - 24 сағат00%

Толығырақ

Каналға біздің ботымызды қосып, осы каналдың аудиториясын біліңіз.

24 сағаттағы жазбалар саны

2

Динамика

"Сертификат безопасности" тобындағы соңғы жазбалар

Барлық жазбалар

24.02.202518:44

Ресёрчер из Group-IB заметил изменение в тактике BYOVD. Вместо создания собственных вредоносных драйверов атакующие просто переподписывают старые уязвимые драйверы. Это позволяет легко и быстро создать инструмент для повышения привилегий.

Вот как с этим бороться? Хеш-сумма перебьется, а отслеживать эксплуатацию баги в ядре очень сложно..

https://www.linkedin.com/posts/mahmoud-zohdy-519328124_threatintelligence-driverexploitation-kernelthreats-activity-7292235478588661761-Sm8n

24.02.202517:38

📣 Прочитал в блоге Group-IB про вредонос для Android, который атакует пользователей в братском Узбекистане (сама статья от сентября 2024). ‼️

Ресёрчеры отметили, что выявленный в мае 2024 года Ajina.Banker выдаёт себя за легитимные приложения 👎 и пытается перехватить сообщения двухфакторной аутентификации. ✉️ В статье ресёрчеры указывали, что вредонос запрашивает список установленных финансовых приложений, в том числе из Казахстана. Я решил узнать о каких именно банках шла речь в статье. 👀

Стартовой точкой для ресёрчеров Group-IB стал загруженный из Узбекистана файл с MD5 3b38311257ad79cb9863f138746f5a27. К счастью, мне удалось найти этот файл на публичной Threat Intelligence платформе. 📎 Загрузив в JADX и просмотрев AndroidManifest.xml обнаружил там строку “. 🚨

И вот что странно, ОАО «Оптима Банк» это банк из Кыргызстана и в Казахстане он не работает. Почему же домен в имени пакета "kz"? ❓ Чуток погуглил и нашёл, что владельцем Оптима Банка является группа Jysan. Из этого можно сделать вывод (with moderate confidence 🤪) о том, что команда разработки приложения для кыргызстанского банка находится (-лась) в Казахстане. 💡

Тем не менее, тейк ресёрча о том, что Ajina.Banker нацелился на Казахстан не совсем верен. ❌ Да, там есть упоминание про USSD *160#, но это может быть и простым совпадением, не так ли⁉️

19.02.202515:19

Классика 😄

19.02.202515:19

18.02.202516:39

Тут нету "Сертификат безопасности" @qcakz 😞

Готов заплатить налоги, но не с чего 🥺🥺🥺

13.02.202517:13

Китайский аналог GitHub'а? Нужно присмотреться на него внимательней, вдруг там малварь будет хоститься.. 🧐

https://gitee.com/

13.02.202503:53

Сегодня прочитал в новостях про еще один случай.

В глаза бросилось следуюдее: "Задержанным грозит до 10 лет лишения свободы за содействие интернет-мошенникам". Про ст. 213 УК РК ни слова и это правильно.

Но, как я и писал ранее, довольно сложно доказать сговор в целях мошенничества, тем более отсюда вытекает еще и участие в ОПГ. Чтобы избежать этого, возможно стоит ввести механизм регистрации (учета) устройств, где количество SIM-карт превышает разумные пределы (имхо, более 5) и, соответственно, уголовное наказание за их незаконный оборот.

Не следует также забывать, что SIM-боксы используются и в полезных случаях, например, в тех же Call-центрах и в коммутаторах сетей связи.

07.02.202514:52

Халява-халява! Взять-взять! 🤑🤑🤑

05.02.202517:39

лолшто?

Перевод заголовка: "

Турция создает управление кибербезопасности для борьбы с киберугрозами (Китай)

03.02.202517:39

Перепечатка от BitDefender той самой публикации от Sekoia. Битки уточнили детали кибероперации, которые не упоминались ранее.

https://www.bitdefender.com/en-us/blog/businessinsights/uac-0063-cyber-espionage-operation-expanding-from-central-asia

03.02.202517:37

Вакансия ИБ-шника в МВД Исламского Эмирата Афганистан (правительство Талибана).

В задачах есть задачи для blue-team и red-team - 1) анализ малвари, 2) разработка малвари, 3) DFIR, 4) пентест, 5) ИБ-консалтинг.

Знаете что самое интересное? Подсказка от LinkedIn: "7 Applicants in the past day".. 🫨🫨🫨

Ссылка на вакансию: https://www.linkedin.com/jobs/view/4110082729

03.02.202502:03

ℹ️ По просьбам подписчиков! 🙂

Гороскоп на сегодня, 3-е февраля 2024 года. 💬

💎 Овен (21 марта – 19 апреля):
Сегодня вам нужно быть особенно бдительным в вопросах безопасности. Проверяйте все сообщения на наличие подозрительных ссылок и не забывайте менять пароли на более сложные.

⭐️ Телец (20 апреля – 20 мая):
Ваши данные – ваше богатство. Сегодня звезды советуют уделить внимание резервному копированию важных файлов и настройке двухфакторной аутентификации.

⏸ Близнецы (21 мая – 20 июня):
Вам следует уделить внимание своей цифровой гигиене. Удалите старые и неиспользуемые приложения, чтобы снизить риск утечки данных.

💸 Рак (21 июня – 22 июля):
Станьте примером для окружающих, проявив ответственность в вопросах безопасности. Напомните коллегам и близким о важности регулярного обновления программного обеспечения.

☀️ Лев (23 июля – 22 августа):
Ваши лидерские качества пригодятся и в вопросах безопасности. Организуйте мини-тренинг по информационной безопасности для своей команды или семьи.

🌛 Дева (23 августа – 22 сентября):
Пора навести порядок в своих цифровых документах. Проведите аудит своих учетных записей и убедитесь, что все пароли надежно защищены.

⚙️ Весы (23 сентября – 22 октября):
Сегодня ваш день для поиска баланса между удобством и безопасностью. Найдите время, чтобы изучить новые инструменты для защиты данных.

© Скорпион (23 октября – 21 ноября):
Ваши интуитивные способности помогут вам распознать угрозы. Доверьтесь своим инстинктам и избегайте подозрительных сайтов и приложений.

➡️ Стрелец (22 ноября – 21 декабря):
Сегодня звезды советуют вам исследовать новые подходы к защите данных. Прочитайте статьи по теме и расширьте свои знания в области кибербезопасности.

📎 Козерог (22 декабря – 19 января):
Поставьте перед собой цель – повысить уровень своей цифровой грамотности. Запишитесь на онлайн-курс или вебинар по информационной безопасности.

🌧 Водолей (20 января – 18 февраля):
Ваши инновационные идеи могут изменить подход к безопасности. Подумайте, как можно улучшить защиту данных в вашем окружении.

👑 Рыбы (19 февраля – 20 марта):
Сегодня вам следует уделить внимание безопасности личных данных. Настройте приватность в своих социальных сетях и проверьте настройки конфиденциальности.

02.02.202516:47

Zona.kz (бывш. Navigator) прекратил свою работу. Об этом редакция сообщила в своём Telegram-канале.

Это произошло на фоне прекращения финансирования США множества НКО, иноагентов и различных программ по всему миру.

#политота

02.02.202505:02

Загрузил на malware.kz файлы vbaProject.bin (md5 a502b51d44a3e2e59218618ab7a30971, 7cb88f0ab09a25ea89bf0daa146cd937) и settings.xml (md5 e3f6d079d99eeb54566fc37fa24ff6f7, 884f0931c49055b495fadd52287743cf) из публикации Sekoia про атаку на МИД Казахстана и обнаружил кое-что интересное. Тут нужно пояснить, что оба файла содержатся внутри DOCX, при этом vbaProject.bin (по факту, это обычный ZIP) содержит макросы, а settings.xml - содержит свойства документа, например, поля и колонтитулы.

До этого уже писал, что прикрутил YARA-правила. Так вот, файлы settings.xml идентифицируются как "sekoia_apt_susp_apt28_uac0063_malicious_doc_settings_xml" - оно и понятно, само правило приведено в публикации. А вот vbaProject.bin идентифицируется как "arkbird_solg_ta505_maldoc_21nov_2". Странно то, что Sekoia не упоминает об этом, хотя всё же нужно разбираться в самой сигнатуре, но, на первый взгляд, она не должна давать false positive'ы (само правил внизу, гляньте сами). Напомню, что согласно открытым источникам TA505 (aka EvilCorp) это русскоязычный киберкриминальный актор, нацеленный на хищение денежных средств, а его главным вектором проникновения является фишинг.

Самое странно это то, что Sekoia не упомянула об этом. Наверное, "обоснованно прикинули" (21+, ненормативная лексика).

YARA-правило:

rule ARKBIRD_SOLG_TA505_Maldoc_21Nov_2 : FILE
{
meta:
description = "invitation (1).xls"
...
hash1 = "270b398b697f10b66828afe8d4f6489a8de48b04a52a029572412ae4d20ff89b"

strings:
$x1 = "C:\\Users\\J\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files\\Content.MSO\\AFFA0BDC.tmp" fullword wide
$x2 = "C:\\Users\\J\\AppData\\Local\\Temp\\AFFA0BDC.tmp" fullword wide
$x3 = "C:\\Windows\\system32\\FM20.DLL" fullword ascii
$x4 = "C:\\Users\\J\\AppData\\Local\\Temp\\VBE\\MSForms.exd" fullword ascii
$x5 = "C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL" fullword ascii
$x6 = "C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL" fullword ascii
$x7 = "*\\G{0D452EE1-E08F-101A-852E-02608C4D0BB4}#2.0#0#C:\\Windows\\system32\\FM20.DLL#Microsoft Forms 2.0 Object Library" fullword wide
$x8 = "*\\G{BA45F137-16B2-487D-9A21-F38179C0576C}#2.0#0#C:\\Users\\J\\AppData\\Local\\Temp\\VBE\\MSForms.exd#Microsoft Forms 2.0 Object" wide
$s9 = "*\\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL#Microsoft " wide
$s10 = "lIySgefa86jIfdEkSZVDoSs5BDkcalCieNBN4EqfVaEs2wWD4OjpTiOBqDrL3d9WCaDAKZpoJPRnoacfQPhucmy69axznNmRbRY12v3ez5PdAAnpAl5m5NUqKHBKCYb5" ascii
$s11 = "35mvkZ9ZvIttuHSTUKWZCdOsh5j4Y1p2pJ3vi5onOXnMcEPIUIK1UWAYq3noPeaDtAdUOxKYvIlNZbqMpJjqpxhCidfpQ9GJXStKA44w7UFlKV9oMK8f5Tn6tKMKsviw" ascii
$s12 = "*\\G{000204EF-0000-0000-C000-000000000046}#4.2#9#C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL#Visual" wide
$s13 = "verkar.dll" fullword ascii
$s14 = "intc.dll" fullword ascii
$s15 = "YjAygups4wPzNU7lNIGBuFbv6Triw8rxEPLSjrYSKXdUV8QuzbwJvdHshfBvdh66er47iobvTX1FCqI8d6RuKRcBhsLdYCOC1hPEdTllabYHlcZ1FDsgyLuwoCZYM7Fq" ascii
$s16 = "MinuetsOs.dll" fullword wide
$s17 = "KaBYL8xLRpN7VMzibXEzxh2GetwfB6MY9k3dRCNncC5eiyKNTaTrcoUDi4TrLrkULX7KSvAHjrw4lXxPRSvBmvWUzz5WRwKTskBtBa4xIlhT1ZruGeI36SIqamksANYW" ascii
$s18 = "XmhvJDfd16Hxk6eRMKJ7sqYIVneFVN7iUzRF8or7LKNKW9bhf5a7V5OGwIIvyJrm8yMUoITytLvRMoVWm7z1NawYTkjzP5HbtBLxwp3GkLMjJ74iWVjBjzI8cWadyuRy" ascii
$s19 = "Sx3mdokmfv27AYhtFublOb5Exec1r1b5LAAbsRHrjLKTWiG4K9dKXbuQBxY9mt4nu7u9ygaWWTcczlRpGhpsXzgKgTI52IfZRxyZWHFD8pXd9sqqOJBedLy4ZT3OHe5n" ascii
$s20 = "C:\\Windows\\system32\\stdole2.tlb" fullword ascii

condition:
uint16( 0 ) == 0xcfd0 and filesize < 5000KB and 1 of ( $x* ) and 4 of them
}

01.02.202509:52

⚠️ Новая схема мошенничества🚨

Прислали в рабочий чат: "...Звонит бот, тип вы выиграли подарок, (технику какую то) и типо он ждет на складе, а дальше просит нажать номер на клаве для дальнейших действий, после нажать просят заполнить на доставку и оплатить пошлину."

Естественно, после оплаты "пошлины" лжеброкер пропадает. 🥸

Распространите среди близких! 🛡

Барлық жазбалар

Ештеңе табылмады 😢

Толығырақ

Рекордтар

24.02.202523:59

1.1K

Жазылушылар

17.02.202522:00

100

Дәйексөз индексі

01.01.202523:59

842

1 жазбаның қамтуы

01.01.202523:59

842

Жарнамалық жазбаның қамтуы

04.02.202523:59

16.67%

01.01.202523:59

89.67%

ERR

Өсу

Толығырақ

Жазылушылар

Цитата индексі

1 хабарламаның қаралымы

Жарнамалық хабарлама қаралымы

ERR

Толығырақ

Сертификат безопасности танымал жазбалары

Барлық жазбалар

03.02.202502:03

03.02.202517:37

05.02.202517:39

лолшто?

Перевод заголовка: "

Турция создает управление кибербезопасности для борьбы с киберугрозами (Китай)

18.02.202516:39

Тут нету "Сертификат безопасности" @qcakz 😞

Готов заплатить налоги, но не с чего 🥺🥺🥺

24.02.202517:38

01.02.202509:19

Купил лицензию Каспера. Удивился, что у них полная локализация.

И онлайн магазин, и письмо-уведомдение, и EULA, и счет-фактура - всё на гос.языке.

Единственное, цены в долларах (видимо, эквайринг зарубежом), но курс вроде адекватный.

02.02.202516:47

13.02.202503:53

01.02.202509:52

27.01.202516:19

🚨 Наказать Sony за неуважение к казахстанцам! 🚨

В 2022 году Sony приостановила аккаунты PlayStation Network, и казахстанцы, выбравшие регион "Россия", оказались под ударом. Эта проблема известна нашему правительству, но её не смогли решить ни Министерство цифрового развития, ни Посольства в Японии и США. Мы терпели достаточно долго!

❗️ Требуем наказать Sony за неуважение к народу Казахстана!

Sony понимает только язык денег. Давайте заставим их услышать нас, лишив их доходов от продаж товаров в Казахстане: телевизоров, аудиосистем, наушников и др. Призываем Министерство торговли и интеграции ввести, как минимум, полугодовой запрет на продукцию Sony.

✊ Поддержите нашу борьбу против транснациональных корпораций!

Считаешь, что «игроки зажрались»? Так покажем крупным компаниям, что маленькие государства нельзя игнорировать! Подпишите петицию и обеспечьте будущее Казахстана!

Подпиши и распространи 🫵🏻: https://epetition.kz/petition/32e33cc4-eeaf-4405-bafd-8bf856f6f854?commentPage=0

07.02.202514:52

Халява-халява! Взять-взять! 🤑🤑🤑

29.01.202509:55

Вот так выглядит офис представительства Telegram в Казахстане, который разместился в Астана ИТ Хабе. Для тех, кому интересно.

P.S. Спасибо подписчику за фото.. 😊👍

24.02.202518:44

29.01.202503:01

Копиписта с Reddit:

My team's intern just found a critical bug by shitposting in our codebase

So our summer intern (who I'm 90% sure is a professional shitposter moonlighting as a dev) just saved our entire authentication service by being, well, an absolute agent of chaos.

Background: We have this legacy auth system that's been running since before TikTok existed. No one touches it. It's documented in ancient Sanskrit and COBOL comments. The last guy who understood it fully left to become a yoga instructor in Peru.

Enter our intern. First week, he asks why our commit messages are so boring. Starts adding memes to his. Whatever, right? Then he begins leaving comments in the codebase like:

// This function is older than me and probably pays taxes
// TODO: Ask if this while loop has health insurance
// Here lies Sarah's hopes and dreams (2019-2022), killed by this recursive call

The senior devs were split between horrified and amused. But here's where it gets good.

He's reading through the auth code (because "the commit messages here are too normal, sus") and adds this gem:

// yo why this token validation looking kinda thicc though
// fr fr no cap this base64 decode bussin
// wait... hold up... this ain't bussin at all

Turns out his Gen Z spider-sense wasn't just tingling for the memes. Man actually found a validation bypass that's been lurking in our code since Obama's first term. The kind of bug that makes security auditors wake up in cold sweats.

The best part? His Jira ticket title: "Auth be acting mad sus rn no cap frfr (Critical Security Issue)"

The worst part? We now have to explain to the CEO why "no cap frfr" appears in our Q3 security audit report.

The absolute kicker? Our senior security engineer's official code review comment: "bestie... you snapped with this find ngl"

I can't tell if this is the peak or rock bottom of our engineering culture. But I do know our intern's getting a return offer, if only because I need to see what he'll do to our GraphQL documentation.

Оригинал: https://www.reddit.com/r/csMajors/comments/1i7v7hg/my_teams_intern_just_found_a_critical_bug_by/

19.02.202515:19

Көбірек мүмкіндіктерді ашу үшін кіріңіз.