Cisco опубликовала руководства для компьютерных криминалистов

Cisco опубликовала руководства для компьютерных криминалистов

Cisco опубликовала руководства для компьютерных криминалистов

Cisco опубликовала четыре руководства для безопасников, задача которых — реагировать на инциденты. Таким образом, специалистам будет легче расследовать взлом производимого Cisco оборудования.

Опубликованные руководства содержат пошаговые инструкции на тему того, как извлечь необходимую для проведения компьютерной криминалистики информацию из скомпрометированного оборудования. При этом объясняется, как сохранить целостность всех данных.

Все четыре руководства охватывают соответственно четыре платформы Cisco:

  • Cisco ASA (Adaptive Security Appliance) — программное обеспечение, запущенное на устройствах и включающее межсетевой экран, антивирус, функции предотвращения вторжения и VPN.
  • Cisco IOS (Internetwork Operating System) — проприетарная ОС, на которой работает большинство коммутаторов и роутеров Cisco.
  • Cisco IOS XE — основанная Linux операционная система, запущенная на коммутаторах и роутерах Cisco.
  • Cisco FTD (Firepower Threat Defense) — софт, сочетающий в себе технологии Cisco ASA и Firepower.

Все вышеприведённые руководства описывают процедуры, необходимые для сбора и анализа конфигурации платформы и состояния среды выполнения. Это позволит исследовать хеши образа системы на наличие подозрительных аспектов.

Единственная крупная линейка программного обеспечения, для которой компания не опубликовала руководство по извлечению и анализу данных, — Cisco IOS XR.

Недавно стало известно об уязвимостях в системе унифицированных вычислений Cisco (UCS), которые могли привести к получению полного контроля над атакуемой системой. Эксперт в области безопасности Педро Рибейро опубликовал детали трёх уязвимостей вместе с готовыми модулями Metasploit для их успешной эксплуатации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость в Windows начали эксплуатировать через 8 дней после патча

Microsoft, как обычно, выкатила патчи 11 марта — «вторник обновлений», всё по расписанию. Но уже через восемь дней злоумышленники взяли одну из свежих уязвимостей и начали атаковать сначала госорганы и компании в Польше и Румынии, а потом — и за пределами этих стран.

Речь про CVE-2025-24054 — дыру в Windows, связанную с утечкой NTLM-хешей. Microsoft тогда решила, что вероятность эксплуатации «низкая». Ну, хакеры были другого мнения.

Суть бага — возможность увести NTLMv2-хеш жертвы, просто заставив её открыть специальный файл. А дальше — либо офлайн-брутфорс, либо relay-атаки, где атакующий притворяется пользователем и получает доступ туда, куда не должен.

  1. Жертве присылают фишинговое письмо со ссылкой на архив xd.zip (хостится на Dropbox).
  2. Внутри — четыре вредоносных файла, включая .library-ms, эксплуатирующий уязвимость.
  3. Жертва просто распаковывает архив или даже открывает папку в проводнике — и всё, Windows сам отправляет NTLM-хеш на удалённый сервер злоумышленников.

Вишенка на торте — злоумышленники получали хеши на IP-адрес 159.196.128[.]120, который ранее уже фигурировал в делах APT28 (тот самый Fancy Bear). Прямая связь пока не доказана, но совпадение показательное.

Уже к 25 марта хакеры перестали прятаться за архивы и начали присылать .library-ms напрямую. Причём, чтобы сработала атака, достаточно одного клика или даже правого клика на файл. Просто просмотр в проводнике — и ваш хеш уже на вражеском сервере.

Check Point зафиксировал около 10 отдельных кампаний, а хеши улетали на SMB-серверы в России, Болгарии, Нидерландах, Австралии и Турции.

Почему это важно?

  • Минимум действий от жертвы — ни запускать, ни открывать не надо.
  • NTLM-хеши легко используют в pass-the-hash атаках, то есть можно подделать доступ.
  • Патч уже есть, но не все его установили. Атаки — реальны и уже идут.

Вывод: если вы ещё не обновились — срочно ставьте патчи. А .library-ms пока стоит обходить стороной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru