Злоумышленники используют Linux/Moose для компрометации Linux-embedded систем, часть 3

Автор: admin от 4-06-2015, 20:21, посмотрело: 468

В прошлых частях [1], [2] анализа вредоносной программы Linux/Moose мы рассмотрели почте все ее механизмы работы. В этой части мы рассмотрим возможности удаления из системы других вредоносных программ, а также протокол работы бота с конфигурационным C&C-сервером.

Злоумышленники используют Linux/Moose для компрометации Linux-embedded систем, часть 3

Мы уже упоминали, что бот имеет в своем составе возможности по удалению из системы других вредоносных программ. Конфигурационный C&C-сервер передает ему список имен исполняемых файлов процессов. Каждый час бот проходит по списку процессов /proc/pid/ и просматривает командную строку, с которой был запущен процесс. В командной строке указано название процесса, а также переданные ему во время запуска аргументы. Проходя по этому списку процессов, Moose будет посылать сигнал kill каждому процессу из вышеупомянутого «черного списка». Этот список жестко зашит в тело вредоносной программы.

Категория: Операционные системы / Linux

 

BSON инъекция в MongoDB адаптере для Ruby

Автор: admin от 4-06-2015, 19:35, посмотрело: 546

В BSON-ruby был найден баг который в лучшем случае приводил к небольшому DoS, но большинство версий было уязвимо к инъекции в BSON (аналог SQL инъекции, BSON это бинарный аналог JSON используемый для работы с базой).

На хабре уже как то упоминалась особенность регулярок в руби — у нас ^$ значат не просто начало и конец строки, но и новую строку n.

Но тогда в примерах были лишь XSS «javascript:a()nhttp://» и я давно искал пример, когда регулярки приводят к чему-то серьезному. И вот пару дней назад, во время аудита внешних библиотек нашего клиента, наткнулся на следующий код в BSON-ruby.

def legal?(str)
  !!str.match(/^[0-9a-f]{24}$/i)
end

Категория: Веб-разработка / Информационная безопасность

 

Как сделать портативный ремонтный сервер

Автор: admin от 4-06-2015, 19:09, посмотрело: 405

Портативный ремонтный сервер представляет собой домашний маршрутизатор для загрузки компьютеров по сети с целью ремонта, восстановления, проверки и лечения. Перед загрузочной флешкой данный сервер обладает следующими преимуществами:

  • воткнул в сеть и не надо на каждом системнике искать неразболтанный USB-разъем;

  • не рискуешь сжечь флешку на закороченных контактах;

  • единственный способ загрузиться на компьютерах, где сожжен USB-контроллер (загрузка с CD-ROM в расчет не берется), а также на компьютерах, где BIOS не позволяет грузиться с USB-устройств;

  • желательный способ для перепрошивки микропрограмм.


Из недостатков можно отметить более низкую скорость передачи и некоторую сложность по изменению (дополнению) пунктов загрузки, которая сказывается в особенностях сетевой загрузки. В качестве бонуса можно дооснастить ремонтный сервер собственным выходом в интернет через USB-модем, это потребуется для изоляции зараженного вирусами компьютера от других компьютеров в локальной сети. Таким образом, нам потребуется маршрутизатор:

  • с возможностью перепрошивки OpenWrt;

  • с USB-разъемом;

  • компактными размерами.


  • Последний пункт позволяет легко перенести ремонтный сервер туда, где нам удобнее с ним работать, а не там, где есть сеть и т.д. Как мы уже говорили, в качестве бонуса потребуется USB-концентратор, USB-флешка и USB-модем с работающей симкой. Выбор модема, как ни странно, задача сложная, так нет стопроцентной уверенности в соответствии с пунктом № 1, поэтому не рекламы ради, посоветую TP-Link TL-MR3020 (только не берите очень похожие модели TP-Link TL-WR700N и TP-Link TL-WR702N) или более дорогую модель TP-Link TL-MR3040 со встроенным аккумулятором. Перед покупкой обратите внимание на версию устройства, поддерживаемые версии можно узнать здесь.

    Категория: Системное администрирование / Linux

     

    ASA5525-X+MS CA Windows Server 2012R2 — 2-хфакторная аутентификация

    Автор: admin от 4-06-2015, 17:17, посмотрело: 488

    Для прохождения аттестации на соответствие требованиям стандарта PCI DSS потребовалось настроить 2-х факторную аутентификацию. А так как у нас в качестве фаервола используется решение от Cisco, то решили его и использовать… Казалось бы ничего сложного, — все уже давно изучено и не один раз настроено и легко можно найти необходимые инструкции, например, эти:
    Руководство по лаборатории тестирования: развертывание двухуровневой иерархии инфраструктуры открытых ключей служб сертификации Active Directory

    CISCO: Configuring Digital Certificates

    Cisco ASA with Radius and Certificates for Two-Factor Authentication (using a Microsoft CA)

    но, как обычно и бывает с подобными «универсальными» инструкциями — тонкости они не учитывают, а это как раз и занимает бОльшую часть времени, при развертывании. об этих моментах мне как раз и хочется вам рассказать. надеюсь, это вам позволит сэкономить массу времени!

    Категория: Информационная безопасность / Windows / Сетевые технологии

     

    Статический анализ Wireshark средствами PVS-Studio

    Автор: admin от 4-06-2015, 16:35, посмотрело: 684

    Статический анализ Wireshark средствами PVS-Studio

    В этой статье я расскажу, как использовать PVS-Studio для статического анализа программного кода на языках С/C++ на примере open-source проекта Wireshark. Начну я с краткого описания анализатора сетевого трафика Wireshark и продукта PVS-Studio. Опишу подводные камни процесса сборки и подготовки проекта к статическому анализу. Постараюсь сформировать общую картину о продукте PVS-Studio, его преимуществах и удобстве использования, приводя предупреждения анализатора, примеры кода и собственные комментарии.

    Категория: Админитстрирование / Сетевые технологии

     

    Злоумышленники используют Linux/Moose для компрометации Linux-embedded систем, часть 2

    Автор: admin от 4-06-2015, 15:52, посмотрело: 498

    В прошлой части нашего анализа вредоносной программы Linux/Moose мы детально остановились на общих схемах ее работы, статистике использования прокси, а также привели информацию о механизме поиска новых роутеров для заражения. В этой части мы более подробно остановимся на механизме заражения роутеров, а также рассмотрим реализацию прокси, с помощью которой операторы ботнета используют скомпрометированный роутер как туннель для передачи трафика.

    Злоумышленники используют Linux/Moose для компрометации Linux-embedded систем, часть 2

    В отличие от других сообщений, которыми бот обменивается с C&C-сервером в формате специального бинарного протокола с использованием порта с номером 81, для уведомления сервера о найденной цели для заражения используется стандартный протокол HTTP на тот же самый порт. Ниже приведен скриншот такого сообщения.

    Категория: Операционные системы / Linux

     

    Сказ об одной ошибке, так и не попавшей в релиз ядра Linux

    Автор: admin от 4-06-2015, 15:21, посмотрело: 476

    Совсем недавно вышло исправление, устраняющее полное зависание 32-битного ядра Linux при загрузке на процессорах Intel. Здесь небольшая история откуда появилась ошибка и какие проводились исследования по поиску причин её возникновения.

    Категория: Программирование / Системное администрирование / Game Development / Linux

     

    WPAD: инструкция по эксплуатации

    Автор: admin от 4-06-2015, 14:45, посмотрело: 1 188

    WPAD: инструкция по эксплуатации

    Привет! Я Максим Андреев, программист бэкенда Облака Mail.Ru. На последнем Security Meetup’е я поделился результатами своего исследования протокола автоматической настройки прокси WPAD. Для тех, кто пропустил, — сегодняшний пост. Я расскажу о том, что такое WPAD, какие возможности для эксплуатации он предоставляет с точки зрения злоумышленника, а также покажу примеры того, как можно частично перехватывать HTTPS-трафик с помощью этой технологии.

    Категория: Информационная безопасность / Сетевые технологии

     

    Как мы создали универсальную систему управления бизнесом

    Автор: admin от 4-06-2015, 14:11, посмотрело: 412

    Предисловие

    Для тех, кто сталкивался с вопросом организации работы фирмы из более чем пары офисов и десятка сотрудников, не секрет, что готовые решения для контроля бизнеса создают огромное количество головной боли как сисадминам, так и владельцам.

    Будь то 1С, Битрикс, Мегаплан или тем более самостоятельные решения – они требуют установки специфического софта, налаживания удаленного доступа к серверу через VPN или другие решения, не работают с плохими каналами связи – какие часто встречаются в торговых центрах или удаленных офисах, и уж точно требуют недюжинного умения работников для доступа из дома или командировки.

    Отдельно можно сказать о производительности: для меня, как разработчика высоконагруженных систем БД, всегда было странным формирование отчетов не за секунды, а десятками минут, проведение документов занимающее в 1С минуты, и вообще постоянно требующие обновления железа новые версии тех же систем, с баснословными требованиями к серверам. Очевидно было, что такие простейшие операции как посчитать остатки на складе за весь период работы из миллиона документов даже в MySQL займут секунды…

    Постановка вопроса

    В общем, когда передо мной встала задача поставить систему учета на 5 удаленных магазинов, склад и офис, варианты готовых решений выглядели бледновато. После мыслей об обучении продавцов (хороших продавцов, но не пользователей компьютера) – первый раз видевших мышку, как пользоваться 1С и бесконечных поездках для настройки сети, стало понятно что это не наш вариант…

    Хотелось следующего:
    • Полностью удаленное пользование с любой операционной системы, с планшета, смартфона
    • Нетребовательность к качеству канала связи
    • Дружелюбный интерфейс и юзабилити
    • Скорость – любые отчеты и документы в течение секунды
    • Возможность встраивания продвинутой аналитики

    Понятно, что одним из решений, чтобы не изобретать велосипед с нуля, было сделать online систему базирующуюся на наших же серверах, работающую на максимально простых механизмах и структурах. Бесконечные таблицы, описывающие номенклатуру, тоже казались избыточными – десяток полей с табличкой названий для каждого параметра до сих пор работает отлично.

    Категория: Программирование / Веб-разработка

     

    Ночь, улица, светодиод, аптека

    Автор: admin от 4-06-2015, 14:02, посмотрело: 1 411

    Это третий пост из серии «Пока не распилю, не успокоюсь». (Первый — про лазер, второй — про электрошокер)
    Ночь, улица, светодиод, аптека
    В 1899 был создан первый ручной фонарик (в картоновом корпусе), кубсат DIY киловаттный фонарик, мега-фонарик на светодиодах за 3000 рублей(sic!) (предоставленный для распила магазином green-laser.ru) .

    Журнал Wired в 2012 году, в статье, посвященной 50-ти летию создания светодиода, очень сильно перепутал факты и неправильно указал «отцовство». Так кто же папа светодиодов?

    А пока я собирал факты, то вспомнилось детство и то, как мы делали свои первые инженерные попытки. Обычно они происходили после того, как мы толпой посмотрели фильм с Брюсом Ли (Майклом Дудиковым или Синтией Ротрок) в видеосалоне за советский рубль (которые почему-то всегда находились в подвалах). Купив батарейку «Планета» за 30 копеек и выкрутив лампочку из родительского фонарика, мы приступали к сборке. Купить фонарик было не круто, круто было собрать свой меч джедая. А еще крутость измерялась цветом изоленты.

    История светодиодов, инструкция по сборке киловаттного фонаря и традиционный распил

    Категория: Железо / Сделай Сам

     
    Назад Вперед