From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Zamieniamy vim w mechanizm persystencji
0 1
Z amieniliśmy już edytor vim w rejestrator naciskanych klawiszy, teraz umieścimy w nim mechanizm persystencji. Plik konfiguracyjny .vimrc zawiera konfigurację dla tego edytora, a dzięki wtyczkom, modułom sprawdzania i kolorowania składni oferuje nieograniczone możliwości dostosowywania do...
on Thu, 10PM
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Hashcat dla konkursu Sekuraka Academy 2024
0 1
S ekurak opublikował kolejny konkurs dotyczący łamania haseł. Tym razem było 10 to pozycji, a nie 12. Konkurs wystartował 31 października 2023 o 11:37, a informacja o nim dotarła do mnie o 12:15. O 12:34 miałem już dwa hasła. Pierwszym krokiem było szybkie stworzenie “dedykowanego” słownika....
on Thu, 10PM
From nfsec.pl
0 1
I taka jest brzydka prawda. W serwisie IntelTechniques został opublikowany tekst ostrzegający swoich czytelników i użytkowników systemu Ubuntu przed subskrybowaniem usługi Ubuntu Pro. Powierzchowne użytkowanie tego systemu doprowadziło redakcję do fałszywego przekonania, że standardowe...
on Thu, 9PM
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Polecenie strings i niezaufane pliki binarne
0 1
P olecenie ldd nie jest jedynym programem, który miał problemy z bezpieczeństwem jeśli chodzi walidację danych podczas analizy różnych programów. W 2014 roku Michał Zalewski ostrzegał, że wielu użytkowników zajmujących się informatyką śledczą lub innymi dziedzinami bezpieczeństwa informacji ma...
on Sun, 10PM
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - CVE-2023-4911 – Looney Tunables
0 1
N iedawno firma Qualys odkryła i zgłosiła krytyczny błąd w popularnym ekosystemie bibliotek GLIBC, który jest domyślnie instalowany w większości systemów operacyjnych opartych na Linuksie. Wspomniany błąd polega na przepełnieniu bufora w kodzie odpowiedzialnym za obsługę specjalnych zmiennych...
on Sun, 10PM
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Uzupełnienie do Kukułczego Jaja i Infomafii
0 1
C zyli jak pod koniec lat 80. kilku niemieckich hackerów zostało złapanych przez tajne służby. Pod koniec dawnej Republiki Federalnej Niemiec ukazała się historia grupy hackerów Karla Kocha (byli nimi członkowie o pseudonimach: Pengo, Pedro, Urmel, DOB i Hagbard), która penetrowała...
on Sun, 10PM
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Brak sympatii dla negatywnych uprawnień
0 0
S ystem Linux oferuje różnorodne metody przyznawania uprawnień do plików. Oprócz tradycyjnej, uznaniowej kontroli dostępu (DAC – Discretionary Access Control) obsługuje również listy kontroli dostępu (ACL – Access Control Lists) i obowiązkową kontrolę dostępu (MAC – Mandatory Access Control)....
on Oct 28
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Tworzymy bezplikowy proces za pomocą języka python
0 0
F ileless ELF exec – fee – to proste narzędzie, które umożliwia załadowanie bezpośrednio do pamięci (poprzez deskryptor pliku pamięci – memfd) wcześniej zakodowany i skompresowany plik binarny. Dlaczego zadawać sobie trud, aby uruchamiać pliki w ten sposób ? Ponieważ ataki bezplikowe (ang....
on Oct 28
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Uciekając z sudo – część piąta
0 0
K olejna część ucieczki z sudo będzie opierała się na wykorzystaniu programu logrotate. Zakładamy, że w systemie (tutaj Ubuntu 22.04) jest zainstalowany pakiet man-db, a użytkownik posiada możliwość uruchamiania programu logrotate z dowolnymi argumentami: agresor ALL=(ALL:ALL) NOPASSWD:...
on Oct 28
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Ukrywanie procesów za pomocą ld.so.preload
0 1
P odczas wykrywania różnego rodzaju szkodliwych procesów zazwyczaj używamy podstawowych poleceń systemowych, takich jak: ps, lsof oraz netstat (lub jego następcę ss). Dla przypomnienia: ps – wyświetla aktualne procesy w systemie; netstat – wyświetla połączenia sieciowe, tablice routingu i...
on Oct 20
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Wykrywanie ukrytych procesów za pomocą libprocesshider.so
0 1
W artykule ukrywanie procesów za pomocą ld.so.preload poznaliśmy zasadę działania podstawowych narzędzi do zarządzania procesami w systemie Linux oraz w jaki sposób za pomocą biblioteki współdzielonej możemy je oszukać. W tej publikacji postaramy się napisać prosty skrypt w języku Python, który...
on Oct 20
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - OneRuleToRuleThemStill
0 1
M inęło kilka lat, odkąd Will Hunt stworzył regułę hashcat OneRuleToRuleThemAll. Od tego czasu wprowadzono w niej jedną czy dwie poprawki, ale głównym celem było stworzenie wydajnego zestawu reguł, które nadawałyby się do atakowania szybkich funkcji skrótów, takich jak NTLM, MD5, SHA1/2 itp....
on Oct 20
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Krótkie wprowadzenie do bibliotek w systemie Linux
0 0
W programowaniu biblioteka jest zbiorem wstępnie skompilowanych fragmentów kodu. Bibliotekę programistyczną możemy ponownie wykorzystać w różnych programach, które mają mieć zaimplementowane obsługę tych samych zadań. Są bardzo przydatne, ponieważ zapewniają funkcje, klasy i struktury danych...
on Sep 29
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Polecenie ldd i niezaufane pliki binarne
0 0
N iewiele osób zdaje sobie sprawę z faktu, że polecenie ldd służące do wyświetlania bibliotek współdzielonych wymaganych przez dany program nie jest plikiem binarnym tylko skryptem w języku bash: agresor@darkstar:~$ whereis ldd ldd: /usr/bin/ldd /usr/share/man/man1/ldd.1.gz agresor@darkstar:~$...
on Sep 29
From nfsec.pl
0 0
W pakiecie shadow 4.13 możliwe jest wstrzyknięcie znaków kontrolnych do pól dostarczanych do programu SUID chfn (change finger). Chociaż nie jest możliwe wykorzystanie tego błędu bezpośrednio (np.dodanie nowego użytkownika nie powiedzie się, ponieważ znak nowej linii '\n' znajduje się na liście...
on Sep 25
From nfsec.pl
0 0
O prócz analizy najczęściej używanych haseł z publikacji danych logowania – możemy sprawdzić jakie najczęściej znaki pojawiają się w hasłach. Nawet jeśli użytkownicy umieszczają w swoich hasłach do serwisów mieszankę liter, cyfr i symboli to nadal mogą paść ofiarą często używanych kombinacji....
on Sep 25
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Infomafia / Die Datenmafia – Egmont R. Koch i Jochen Sperber
0 0
W itajcie w CIA bajce, Mossad zagra na fujarce, NSA nam zaśpiewa, zatańczą dopóki nikt nie podejrzewa… Wyobraźmy sobie scenerię rodu z Atomic Blonde – spiski, morderstwa, szpiegostwo, pieniądze oraz władza. Jednak zamiast tajnej listy agentów świętym graalem jest tutaj program komputerowy o...
on Sep 25
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - CVE-2023-32233 i powrót unprivileged user namespaces
0 0
P atryk Sondej oraz Piotr Krysiuk zgłosili lukę w jądrze Linuksa pozwalającą lokalnym użytkownikom na eskalację ich uprawnień do poziomu administratora, co pozwala na przejęcie pełnej kontroli nad systemem. Błąd use-after-free występuje w komponencie netfilter nf_tables podczas przetwarzania...
on Sep 15
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Apache – kompresja brotli z awaryjnym powrotem do deflate
0 0
O d wersji Apache 2.4.26 dostępny jest moduł umożliwiający kompresję statycznych elementów strony za pomocą algorytmu brotli. Jego szybkość jest podobna do gzip, ale zapewnia wyższą kompresję. Aktualnie algorytm ten jest już obsługiwany przez wszystkie główne przeglądarki, takie jak: Chrome,...
on Sep 15
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Instalowanie tylnych wejść w kluczach OpenSSH
0 0
O penSSH – Secure Shell Server zapewnia bezpieczny, szyfrowany zdalny dostęp do systemów *niksowych. Po stronie serwera znajduje się plik authorized_keys w katalogu .ssh (głównym folderze użytkownika), w którym można skonfigurować uwierzytelnianie za pomocą klucza publicznego. Przy normalnej...
on Sep 15
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Używanie utmpdump do wykrywania manipulacji plikami logowań
0 0
Z narzędziem utmpdump spotkaliśmy się pierwszy razy przy okazji ściągawki z informatyki śledczej w wykrywaniu włamań za pomocą linii poleceń Linuksa. W tym wpisie rozwinę trochę użycie tego narzędzia i pokażę jak można go użyć od strony defensywnej, jak i ofensywnej. Pozornie nieznane przez...
on Jul 19
From nfsec.pl
0 0
L iam Galvin napisał w języku Go ciekawe narzędzie o nazwie siphon, które za pomocą ptrace potrafi przechwycić strumień wejścia (stdin) wyjścia (stdout) i błędów (stderr) dla dowolnego procesu podając tylko jego PID: root@darkstar:~# wget...
on Jul 19
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Podpisywanie commitów git za pomocą klucza SSH
0 0
W raz z wersją git 2.34.0 każdy nasz commit do kodu lub jego tag będzie mógł zostać podpisany kluczem SSH. Możliwość podpisywania dowolnych danych za pomocą SSH została dodana już w 2019 roku z wydaniem OpenSSH 8.0. Jednak, aby używać tej funkcjonalności bez żadnego problemu najlepiej używać...
on Jul 19
From nfsec.pl
0 0
O statnio miałem okazję wziąć udział w szkoleniu, które przygotował Leszek Miś pt. “Linux Attack, Detection and Live Forensics + 90 Days PurpleLabs Access” (całość jest w języku angielskim) – jest to jedno z niewielu dostępnych szkoleń, które jest w 100% skupione na systemie operacyjnym Linux....
on Jul 18
From nfsec.pl
0 0
W iele nowoczesnych serwisów internetowych stosuje automatyczne wydawanie i odnawianie certyfikatów TLS. Dla firm dostępne są usługi komercyjnych wystawców SSL. Dla wszystkich innych dostępne są bezpłatne usługi, takie jak Let’s Encrypt i ZeroSSL. Jednak bardzo często popełniany jest błąd w...
on Jun 26
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Domain shadowing
0 0
C yberprzestępcy często wykorzystują nazwy domen do różnych niecnych celów: do komunikacji z serwerami C&C, dystrybucji złośliwego oprogramowania, oszustw finansowych i phishingu. Dokonując tych działań przestępcy mają do wyboru albo kupować nowe nazwy domen (złośliwa rejestracja na fałszywe...
on Jun 26
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Minimalizacja QNAME
0 0
M inimalizacja QNAME (RFC 7816), czyli Query Name zmienia zapytania DNS pochodzące z resolwera rekurencyjnego, aby w każdym zapytaniu zawierał tylko tyle szczegółów, ile jest to wymagane dla tego kroku w procesie rozwiązywania danej domeny. Internet Engineering Task Force opisuje to jako...
on Jun 3
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Adresy z Gravatar
0 0
S erwis Gravatar umożliwia ustawienie swojego awatara, który będzie miał charakter globalny – ang. Globally Recognized Avatar. Serwis został stworzony przez Toma Perstona-Wernera, a od 2007 roku jest własnością firmy Automattic, która zintegrowała ją z platformą blogową WordPress. Na Gavatarze...
on Jun 3
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Jak pollinate wycieka dane o serwerach do Canonical
0 1
K olejnym pakietem (obok base-files), który wysyła informacje o naszym serwerze do firmy Ubuntu jest pollinate. Jest to klient, który łączy się z conajmniej jednym serwerem Pollen (entropia-jako-usułga) za pośrednictwem zaszyfrowanego (HTTPS) lub nie (HTTP) protokołu i pobiera losowe ziarno....
on Jun 3
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Python – szybkie dopasowanie adresu IP do klasy CIDR
0 0
python3 -m pip install cidr-trie >>> from cidr_trie import PatriciaTrie >>> ip_owner = PatriciaTrie() >>> ip_owner.insert(
on Jun 3
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - pamspy – zrzucacz poświadczeń dla Linuksa
0 0
N arzędzie pamspy jest programem, który został zainspirowany przez podobną pracę, ale stworzoną znacznie wcześniej (Brendon Tiszka poczynił to dzieło na swoich studiach): 3snake. W przeciwieństwie do swojego poprzednika nie korzysta już z mechanizmu odczytu pamięci wywołań systemowych sshd i...
on Apr 29
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Jak GootLoader zamienia WordPress w zombie SEO
0 0
G ootloader, czyli usługa wstępnego dostępu do (firmowych) sieci dla cyberprzestępców ostatnio rozszerzyła swój zakres działalności o różne cele na całym świecie. Przypomnijmy: w 2014 roku po raz pierwszy został zauważony trojan bankowy o nazwie Gootkit. Od tego czasu ewoluował, aby stać się...
on Apr 29
From nfsec.pl
0 0
G rupa badaczy bezpieczeństwa z Abuse (projekt Instytutu Bezpieczeństwa i Inżynierii Cybernetycznej na Uniwersytecie Nauk Stosowanych w Bernie w Szwajcarii) oraz ThreatFox uruchomiła nowy hub do skanowania i polowania na złośliwe pliki. To defensywne narzędzie – nazwane YARAify zostało...
on Apr 29
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - eCapture – przechwytywanie SSL/TLS bez CA przy użyciu eBPF
0 0
W yobraźmy sobie, że nasz system został zainfekowany przerobionym i trudnym do wykrycia implantem sieciowym. W swojej przeróbce został on uzbrojony w moduł inwigilacji oparty o eCapture. Jest to zwinne narzędzie napisane w języku Go, które również wykorzystuje technologię eBPF. Umożliwia ona...
on Apr 25
From nfsec.pl
0 0
W biologii symbiont to organizm żyjący w symbiozie z innym organizmem (np. bakterie w jelicie grubym u człowieka, bakterie; które trawią celulozę u przeżuwaczy). Symbioza może być obustronnie korzystna dla obu organizmów, ale czasami może być pasożytnicza, gdy jeden organizm zyskuje, a drugi...
on Apr 25
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - XorDDoS – Linux Trojan
0 0
P rzewiduje się, że do końca 2025 roku ponad 30 miliardów urządzeń IoT będzie podłączonych do internetu. To doskonale definiuje cele na kolejne lata dla szkodliwego oprogramowania. Aktualnie w internecie występuje wzmożona aktywność programu XorDDoS. Jest to koń trojański z funkcjami rootkita...
on Apr 25
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Panchan – botnet p2p oraz robak SSH
0 0
P anchan to nowy malware odkryty przez zespół Akamai, który od marca 2022 uruchomił swoją aktywność. Został napisany w języku Go, aby wykorzystać wbudowane funkcje współbieżności (goroutines) do przyśpieszenia szybkości rozprzestrzeniania się i uruchamiania złośliwych modułów. Dostaje się on do...
on Apr 25
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - BPFDoor – zaawansowany implant dla systemów Linux
0 0
B adacze bezpieczeństwa odkryli wysoce inwazyjne, chińskie narzędzie inwigilacyjne wykorzystujące Berkeley Packet Filter (BPF). Złośliwe oprogramowanie, nazwane BPFDoor, może być obecne na “tysiącach” systemów Linux, a jego kontroler pozostał prawie całkowicie niezauważony przez producentów...
on Apr 12
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - who is who bez whois
0 0
D ane rejestracyjne nazw domenowych, powszechnie nazywane WHOIS są od dziesięcioleci przedmiotem różnych dyskusji w ICANN. Grupy robocze w ICANN pracowały nad skomponowaniem zasad, według których dane powinny być wymagane od rejestrujących nazwy domen, czy dane rejestracji nazw domen powinny być...
on Apr 12
From nfsec.pl
0 0
H iszpańska scena lat 90-tych zaczyna się od przesłania: “Cześć, jestem Mave. To, co wam powiem, jest niezwykle ważne. TWOJA PRZYSZŁOŚĆ JEST W ****NIEBEZPIECZEŃSTWIE**** DUŻYM ****NIEBEZPIECZEŃSTWIE****. Dziś rano, 31 stycznia 1996 roku, o 09:00 rano w moim domu pojawiła się policja sądowa, a...
on Apr 12
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Geo IP
0 0
C zy ten plik to malware? Zależy jakiego silnika antywirusowego się spytasz. Podobnie jest w temacie znajdowania lokalizacji adresu IP, ponieważ powiązanie rzeczywistej lokalizacji z adresem IP jest prawie niemożliwe do pewnego poziomu dokładności (np. ulicy, miasta). Wiele osób od razu...
on Mar 27
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Truflowy wieprzek na klucze – TruffleHog v3
0 0
P ierwszy raz z truflową świnką ryjącą za poszukiwaniem kluczy mogliśmy spotkać się w Oh Shit, Git?!. Najnowsza, trzecia wersja została zupełnie przepisana w języku Go. Dodano do niej obsługę ponad 600 typów kluczy zwiększając tym samym zdolność tego narzędzia do polowania na wycieki danych...
on Mar 27
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Analiza pliku Word Office od APT Gamaredon
0 0
W czwartek, 24 lutego 2022 roku Rosja dokonała aktu nieuzasadnionej napaści na Ukrainę. Jeszcze zanim rozpoczęła się gorąca faza zbrojnego konfliktu uruchomione zostały działania cybernetyczne. W artykule tym chciałbym zaprezentować dość sprytną technikę użytą przez APT Gamaredon, którego...
on Mar 27
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Przypadek phishingu oferujący wizy dla obywateli Ukrainy
0 0
D zisiaj Pinaki zwrócił uwagę na sposób generowania adresów URL zawartych w phishingu wymierzonego w obywateli Ukrainy, który jako przynęty używał możliwość uzyskania wiz poprzez internet. Linki posiadające poniższy format były przekazywane za pomocą różnych wiadomości e-mail oraz czatach:...
on Mar 14
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Brudny potok – CVE-2022-0847
0 1
P odatność o nazwie Dirty Pipe została znaleziona w jądrze Linuksa od wersji 5.8, a dokładniej od commit’u f6dd975583bd (
on Mar 14
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Python i atak na łańcuch dostaw
0 0
N a początku warto poruszyć temat Python2. Jeśli nadal jest on używany w naszym środowisku (nie)produkcyjnym, należy zdać sobie sprawę, że ataki na łańcuch dostaw z wykorzystaniem tej wersji obejmują już więcej niż tylko podatny interpreter, ale także pakiety innych firm w PyPI (ang. Python...
on Mar 14
From nfsec.pl
0 0
T ej części artykułu nie było w planach, ale pewna ewolucja Quakbota oraz pewne narzędzie, które “odkryłem” skłoniło mnie do napisania kolejnej części, która dodatkowo uzupełnia informacje z poprzednich. Atakujący zawsze próbują utrudnić życie obrońcom, a jeśli się da to również ich zmylić. Z...
on Mar 3
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Log4Shell – Remote Code Injection w Log4j CVE-2021-44228
0 0
Podsumowanie: Wersje Log4j wcześniejsze niż 2.15.0 są narażone na lukę umożliwiającą zdalne wykonanie kodu głównie za pośrednictwem parsera LDAP JNDI. Zgodnie z przewodnikiem bezpieczeństwa tego projektu z fundacji Apache wersje Log4j <= 2.14.1 posiadają funkcje JNDI używane w konfiguracji,...
on Mar 2
From nfsec.pl
NF.sec – Bezpieczeństwo systemu Linux - Wykrywanie zatrutych plików binarnych w Linuksie
0 0
Z atruwanie plików binarnych w Linuksie jest procesem, w którym atakujący podmienia często używane (dystrybucyjnie pre-instalowane) programy i narzędzia swoimi wersjami, które spełniają te same funkcje, ale dodatkowo wykonują złośliwe akcje. Może to być zastąpienie pliku nowym, zaprojektowanym...
on Mar 2
From nfsec.pl
0 1
W tej części będziemy kontynuować statyczną analizę przykładowego dokumentu, ale postaramy się zajrzeć trochę głębiej i znaleźć jakie akcje ma za zadanie przeprowadzić makro zawarte w dokumencie. Wspomożemy się tutaj świetnym zestawem narzędzi autorstwa Didiera Stevensa, tutaj warto, a nawet...
on Mar 1