В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

DC8044 Newf5G

1224 membersпожаловаться на группу
2020 September 21

NK

ID:0 in DC8044 Newf5G
Занимательный и полезный видос, как чувак потрошит семпл малвари. Подробно описываются шаги, логика и используемые инструменты.
https://www.youtube.com/watch?v=NENDbrwGxfs
YouTube
Crack The BAT - Identifying Compression, Packers & Googling for IOCs
In this video I show you an interesting sample sent to me via Twitter, which is a password-protected malware sample. Our goal is to obtain the true malware indicators and first of all crack the password. It turns out, this wasn't hard at all; some simple malware initial assessment (using PEStudio) enabled me to find a ZLIB compressed resource. Inflating that yielded what looked to be an MD5 hash; simply Googling for that hash yields the password.

Then, using the password we can run the malware, obtain additional indicators and identify the tool the adversary used to create their malware. We then turn the same tool back on the malware to decompile it into its true source. RESULT!

The aim of this video is to showcase that you don't have to understand every single line of assembly code to understand what malware is doing and to bypass security-evasion techniques that adversaries often use.

Peace,
@cybercdh

SAMPLE
=======
You can get the sample and follow along here
https://app.any.run/tasks/d2547910-3a16-467c…
источник
00:19пожаловаться#1

NK

ID:0 in DC8044 Newf5G
SoftServe опубликовал официальную позицию по кибератаке.
Мы сделали для вас анализ этой позиции и публикуем типа "перевод" с официального языка на обычный:
- данные таки проебали (объем и характер данных в сообщении не уточняется, используются фразы "разная информация", "фрагменты данных")
- упоминается, что хекеры опубликовали данные с целью оказания давления на компанию. Конечная цель атаки и этого давления не называются. О чем идет речь, не понятно. Выкуп? Вроде не просили. Репутационный удар? Возможно. Конкретики нет, судя по всему цели атаки до сих пор не очевидны и для самой жертвы.
- косвенно подтверждается, что опубликованы не все данные (в сообщении указано, что компания готова к новым публикациям украденной в момент атаки информации)
- бросили камень в огород Ебаного.ИТ, судя по всему этой фразой: "Подобные действия злоумышленников, а также различного рода провокации и распространение фейков для нагнетания ситуации - распространенная тактика в хакерских атаках". Таким образом, из Ебаного.ИТ сделали чуть ли не заинтересованное лицо или соучастника хакеров, поставив в один ряд с атакующими.
- важный момент - к расследованию атаки подключили третье лицо, - именитую форензик-компанию международного уровня. У нас уже есть данные и порядок суммы договора по расследованию. Об этом расскажем позже.
- в самом начале месаджа идет речь о комплексной и сложной атаке. По нашим данным, основанном на тех крупицах, попадающих в публичные и не очень репорты, это действительно была серьезная и сложная, таргетированная атака. Большой вопрос - зачем она была и для чего. Возможно, ответ мы узнаем позже.
- остальное, в целом, "взагалі по загалям": мы стали быстрее, выше, сильнее. Будем укреплять, углублять. Мы за все хорошее против всего плохого.
Приводим линк на опубликованное компанией заявление:
https://www.facebook.com/notes/softserve/%D0%BF%D0%BE%D0%B7%D0%B8%D1%86%D1%96%D1%8F-softserve-%D1%89%D0%BE%D0%B4%D0%BE-%D0%BA%D1%96%D0%B1%D0%B5%D1%80%D0%B0%D1%82%D0%B0%D0%BA%D0%B8-%D1%89%D0%BE-%D1%82%D1%80%D0%B0%D0%BF%D0%B8%D0%BB%D0%B0%D1%81%D1%8F-1-%D0%B2%D0%B5%D1%80%D0%B5%D1%81%D0%BD%D1%8F-2020-%D1%80%D0%BE%D0%BA%D1%83/2026498247485542/
Facebook
Позиція SoftServe щодо кібератаки, що трапилася 1 вересня 2020 року | Facebook
Як ми вже повідомляли раніше, у вівторок, 1 вересня, SoftServe зазнав інциденту з кібербез�
источник
01:22пожаловаться#2

GD

Gott sei Dank in DC8044 Newf5G
ID:0
SoftServe опубликовал официальную позицию по кибератаке.
Мы сделали для вас анализ этой позиции и публикуем типа "перевод" с официального языка на обычный:
- данные таки проебали (объем и характер данных в сообщении не уточняется, используются фразы "разная информация", "фрагменты данных")
- упоминается, что хекеры опубликовали данные с целью оказания давления на компанию. Конечная цель атаки и этого давления не называются. О чем идет речь, не понятно. Выкуп? Вроде не просили. Репутационный удар? Возможно. Конкретики нет, судя по всему цели атаки до сих пор не очевидны и для самой жертвы.
- косвенно подтверждается, что опубликованы не все данные (в сообщении указано, что компания готова к новым публикациям украденной в момент атаки информации)
- бросили камень в огород Ебаного.ИТ, судя по всему этой фразой: "Подобные действия злоумышленников, а также различного рода провокации и распространение фейков для нагнетания ситуации - распространенная тактика в хакерских атаках". Таким образом, из Ебаного.ИТ сделали чуть ли не заинтересованное лицо или соучастника хакеров, поставив в один ряд с атакующими.
- важный момент - к расследованию атаки подключили третье лицо, - именитую форензик-компанию международного уровня. У нас уже есть данные и порядок суммы договора по расследованию. Об этом расскажем позже.
- в самом начале месаджа идет речь о комплексной и сложной атаке. По нашим данным, основанном на тех крупицах, попадающих в публичные и не очень репорты, это действительно была серьезная и сложная, таргетированная атака. Большой вопрос - зачем она была и для чего. Возможно, ответ мы узнаем позже.
- остальное, в целом, "взагалі по загалям": мы стали быстрее, выше, сильнее. Будем укреплять, углублять. Мы за все хорошее против всего плохого.
Приводим линк на опубликованное компанией заявление:
https://www.facebook.com/notes/softserve/%D0%BF%D0%BE%D0%B7%D0%B8%D1%86%D1%96%D1%8F-softserve-%D1%89%D0%BE%D0%B4%D0%BE-%D0%BA%D1%96%D0%B1%D0%B5%D1%80%D0%B0%D1%82%D0%B0%D0%BA%D0%B8-%D1%89%D0%BE-%D1%82%D1%80%D0%B0%D0%BF%D0%B8%D0%BB%D0%B0%D1%81%D1%8F-1-%D0%B2%D0%B5%D1%80%D0%B5%D1%81%D0%BD%D1%8F-2020-%D1%80%D0%BE%D0%BA%D1%83/2026498247485542/
Facebook
Позиція SoftServe щодо кібератаки, що трапилася 1 вересня 2020 року | Facebook
Як ми вже повідомляли раніше, у вівторок, 1 вересня, SoftServe зазнав інциденту з кібербез�
а есть ли где ресурс для редтима который опишет известные чейны атак недавние с технической стороны?
источник
01:30пожаловаться#3

GD

Gott sei Dank in DC8044 Newf5G
тип я спрашиваю, что-то из фантастического, но вдруг такое есть
источник
01:30пожаловаться#4

ZP

Zverenok Papyshev in DC8044 Newf5G
Gott sei Dank
а есть ли где ресурс для редтима который опишет известные чейны атак недавние с технической стороны?
если речь про конкретную атаку, то возможно это сделает компания, проводящая расследование. По согласованию с клиентом, конечно.
источник
01:31пожаловаться#5

GD

Gott sei Dank in DC8044 Newf5G
Zverenok Papyshev
если речь про конкретную атаку, то возможно это сделает компания, проводящая расследование. По согласованию с клиентом, конечно.
да, я про это. Но есть ли ресурс который такое собирает?
источник
01:31пожаловаться#6

GD

Gott sei Dank in DC8044 Newf5G
по типу red team diaries (выдумано)
источник
01:32пожаловаться#7

ZP

Zverenok Papyshev in DC8044 Newf5G
нет, если опубликуют то на ресурсе/блоге компании.
источник
01:32пожаловаться#8

GD

Gott sei Dank in DC8044 Newf5G
Zverenok Papyshev
нет, если опубликуют то на ресурсе/блоге компании.
то есть нужно поискать блоги форензик компах
источник
01:33пожаловаться#9

GD

Gott sei Dank in DC8044 Newf5G
поймал сегодня такой траф. Что это может быть? мб вмка чет подцепила. Трафик сам не отправлял. Проверил вкладки на попытки просканить сетку мою, вроде бы ничего нет. Факт в том, что я ставил http сервак на 443 порт, но к нему не подключался. Видно хотели начать тлс, но что/кто?)
источник
03:26пожаловаться#10

GD

Gott sei Dank in DC8044 Newf5G
127.0.0.1 - - [21/Sep/2020 02:57:21] code 400, message Bad request syntax ('\x16\x03\x01\x02\x00\x01\x00\x01\xfc\x03\x03\x06c8\x00K(\xb5\xea\xb4.\x0c\xf8\x8d\x9f\xac8 aTU$\x0ci\x1b\xd7\x91\x13_i\xc7d\xcb `\xc3\xfb\xfbFn#\r\xc1\xef\xfb\xf3\x80\x1f\xcb\x03#\x84\xd8-Q]\xc6\xe1\xb8I\\\xbb$\xebO\x1a\x00$\x13\x01\x13\x03\x13\x02\xc0+\xc0/\xcc\xa9\xcc\xa8\xc0,\xc00\xc0')
127.0.0.1 - - [21/Sep/2020 02:57:21] "�c8K(��.
                                              ����8 aTU$
�����#��-Q]��I\�$�O�$�+�/̨̩�,�0�" 400 -                   i_i�d� `���Fn#
127.0.0.1 - - [21/Sep/2020 02:57:21] code 400, message Bad request version ("\xda46UBdl\xf9\xec9]\x1cH\x02\xe8\xcd{\xee\xf08\xe4\xf6\xab\xf7\x14|L'Y\x00$\x13\x01\x13\x03\x13\x02\xc0+\xc0/\xcc\xa9\xcc\xa8\xc0,\xc00\xc0")
127.0.0.1 - - [21/Sep/2020 02:57:21] "����Z���M$�,���sH��Lh��2 u� �46UBdl��9]H��{��8����|L'Y$�+�/̨̩�,�0�" 400 -
127.0.0.1 - - [21/Sep/2020 02:57:21] code 400, message Bad HTTP/0.9 request type ('\x16\x03\x01\x02\x00\x01\x00\x01\xfc\x03\x03\xb2\x87\xfd\xb2\xd2`I\xfc\x0e~\xd8=\xdcg\x87\xb8\xff\xf1\xbbt_,\x8a\x91\xac\x83\xe0\xd0\x15\xb4q\xb6')
127.0.0.1 - - [21/Sep/2020 02:57:21] "������`I�~�=�g����t_,�������q� 
                                                                     ��Bt���EZ6�$��̇�Z��Mа��I�p$�+�/̨̩�,�0�" 400 -
127.0.0.1 - - [21/Sep/2020 02:57:21] code 400, message Bad request syntax ('\x16\x03\x01\x02\x00\x01\x00\x01\xfc\x03\x03\x16)\x0c=a\xe6\x87\xc2\x04\xedA\xf4\xb34\xd6`a\xd7\xc1I\xb5\x13\xc7\\\x15ZBo\xb1L\xbfK p\x99\xa5\xe2C)\xb0rvc\xa4\x98K\x7fU\xb5\x16\xed\xae\xf7\xac\xbf\x86\xe2\xf7Q\x93\x02\xb3\xff\xbe\t\x00$\x13\x01\x13\x03\x13\x02\xc0+\xc0/\xcc\xa9\xcc\xa8\xc0,\xc00\xc0')
127.0.0.1 - - [21/Sep/2020 02:57:21] "�)
                                        =a���A��4�`a��I��\ZBo�L�K p���C)�rvc��KU���������Q����    $�+�/̨̩�,�0�" 400 -
127.0.0.1 - - [21/Sep/2020 02:57:27] code 400, message Bad HTTP/0.9 request type ('\x16\x03\x01\x02\x00\x01\x00\x01\xfc\x03\x03\x17S\x86\xde\xbf\xb7\xc8\x10)\xf5p\x8e%\xed\xd3z\x11\xee\xae\xcf\xbeay\xeeM\xd8\xad\x83\x86\xb2x\xea')
127.0.0.1 - - [21/Sep/2020 02:57:27] "�S�޿��)�p�%��z�Ͼay�Mح���x� q�J(�fv�����w��m+��@�H΀��$�+�/̨̩�,�0�" 400 -
127.0.0.1 - - [21/Sep/2020 02:57:27] code 400, message Bad request version (';\xd5\x7f\x9e\xf8\xdc%M\xdewT\xff\xf8\x1f\x10\xee\x95Oju\x00^\xb4\x00\x02\x86t*\xf7\x12\xf5\x86\x00$\x13\x01\x13\x03\x13\x02\xc0+\xc0/\xcc\xa9\xcc\xa8\xc0,\xc00\xc0')
источник
03:27пожаловаться#11

ⓛⓞⓖⓘⓝ in DC8044 Newf5G
это логи кого
источник
03:35пожаловаться#12

GD

Gott sei Dank in DC8044 Newf5G
ⓛⓞⓖⓘⓝ
это логи кого
http серва. обычного python -m SimpleHTTPServer 443
источник
03:39пожаловаться#13

GD

Gott sei Dank in DC8044 Newf5G
просто прошло 5 попыток подключения
источник
03:39пожаловаться#14

GD

Gott sei Dank in DC8044 Newf5G
на протяжении 3 минут
источник
03:40пожаловаться#15

И

Илья in DC8044 Newf5G
Gott sei Dank
на протяжении 3 минут
В сеть смотрело что ли?
источник
09:34пожаловаться#16

YV

Yuri Volkov in DC8044 Newf5G
Gott sei Dank
http серва. обычного python -m SimpleHTTPServer 443
судя по логу оно на 127.0.0.1 висит. что за ОС?
источник
09:40пожаловаться#17

AS

Akasun Sasori in DC8044 Newf5G
Gott sei Dank
127.0.0.1 - - [21/Sep/2020 02:57:21] code 400, message Bad request syntax ('\x16\x03\x01\x02\x00\x01\x00\x01\xfc\x03\x03\x06c8\x00K(\xb5\xea\xb4.\x0c\xf8\x8d\x9f\xac8 aTU$\x0ci\x1b\xd7\x91\x13_i\xc7d\xcb `\xc3\xfb\xfbFn#\r\xc1\xef\xfb\xf3\x80\x1f\xcb\x03#\x84\xd8-Q]\xc6\xe1\xb8I\\\xbb$\xebO\x1a\x00$\x13\x01\x13\x03\x13\x02\xc0+\xc0/\xcc\xa9\xcc\xa8\xc0,\xc00\xc0')
127.0.0.1 - - [21/Sep/2020 02:57:21] "�c8K(��.
                                              ����8 aTU$
�����#��-Q]��I\�$�O�$�+�/̨̩�,�0�" 400 -                   i_i�d� `���Fn#
127.0.0.1 - - [21/Sep/2020 02:57:21] code 400, message Bad request version ("\xda46UBdl\xf9\xec9]\x1cH\x02\xe8\xcd{\xee\xf08\xe4\xf6\xab\xf7\x14|L'Y\x00$\x13\x01\x13\x03\x13\x02\xc0+\xc0/\xcc\xa9\xcc\xa8\xc0,\xc00\xc0")
127.0.0.1 - - [21/Sep/2020 02:57:21] "����Z���M$�,���sH��Lh��2 u� �46UBdl��9]H��{��8����|L'Y$�+�/̨̩�,�0�" 400 -
127.0.0.1 - - [21/Sep/2020 02:57:21] code 400, message Bad HTTP/0.9 request type ('\x16\x03\x01\x02\x00\x01\x00\x01\xfc\x03\x03\xb2\x87\xfd\xb2\xd2`I\xfc\x0e~\xd8=\xdcg\x87\xb8\xff\xf1\xbbt_,\x8a\x91\xac\x83\xe0\xd0\x15\xb4q\xb6')
127.0.0.1 - - [21/Sep/2020 02:57:21] "������`I�~�=�g����t_,�������q� 
                                                                     ��Bt���EZ6�$��̇�Z��Mа��I�p$�+�/̨̩�,�0�" 400 -
127.0.0.1 - - [21/Sep/2020 02:57:21] code 400, message Bad request syntax ('\x16\x03\x01\x02\x00\x01\x00\x01\xfc\x03\x03\x16)\x0c=a\xe6\x87\xc2\x04\xedA\xf4\xb34\xd6`a\xd7\xc1I\xb5\x13\xc7\\\x15ZBo\xb1L\xbfK p\x99\xa5\xe2C)\xb0rvc\xa4\x98K\x7fU\xb5\x16\xed\xae\xf7\xac\xbf\x86\xe2\xf7Q\x93\x02\xb3\xff\xbe\t\x00$\x13\x01\x13\x03\x13\x02\xc0+\xc0/\xcc\xa9\xcc\xa8\xc0,\xc00\xc0')
127.0.0.1 - - [21/Sep/2020 02:57:21] "�)
                                        =a���A��4�`a��I��\ZBo�L�K p���C)�rvc��KU���������Q����    $�+�/̨̩�,�0�" 400 -
127.0.0.1 - - [21/Sep/2020 02:57:27] code 400, message Bad HTTP/0.9 request type ('\x16\x03\x01\x02\x00\x01\x00\x01\xfc\x03\x03\x17S\x86\xde\xbf\xb7\xc8\x10)\xf5p\x8e%\xed\xd3z\x11\xee\xae\xcf\xbeay\xeeM\xd8\xad\x83\x86\xb2x\xea')
127.0.0.1 - - [21/Sep/2020 02:57:27] "�S�޿��)�p�%��z�Ͼay�Mح���x� q�J(�fv�����w��m+��@�H΀��$�+�/̨̩�,�0�" 400 -
127.0.0.1 - - [21/Sep/2020 02:57:27] code 400, message Bad request version (';\xd5\x7f\x9e\xf8\xdc%M\xdewT\xff\xf8\x1f\x10\xee\x95Oju\x00^\xb4\x00\x02\x86t*\xf7\x12\xf5\x86\x00$\x13\x01\x13\x03\x13\x02\xc0+\xc0/\xcc\xa9\xcc\xa8\xc0,\xc00\xc0')
Вообще интересно что по ХТТП/0.9
Самый первый стандарт хттп, на секундочку, 1991 год.
источник
09:41пожаловаться#18

a

alxchk in DC8044 Newf5G
это TLS хедер
источник
09:42пожаловаться#19

a

alxchk in DC8044 Newf5G
)
источник
09:42пожаловаться#20