Заметки любителя экспериментов

Позднее Ctrl + ↑

Найден новый метод атаки на любые версии Windows

Просто процитирую новость, на мой взгляд очень любопытно. Взято отсюда.

На лондонской конференции Black Hat Europe 2017 представлена новая методика инъекции кода Process Doppelgänging (создание двойников процессов). Методика позволяет обходить большую часть сегодняшних продуктов безопасности и работает на всех версиях Windows.

Транзакции NTFS

Эксперты компании enSilo продемонстрировали на Black Hat Europe 2017 новую методику инъекции кода, которая работает под всеми версиями Windows и позволяет обходить большую часть современных средств безопасности.

Методика работает, используя особенности механизма транзакций в фирменной файловой системе Windows NTFS.

«С помощью NTFS-транзакций мы вносим изменения в исполняемый файл, который, впрочем, не попадет на диск. Затем мы используем недокументированные аспекты механизма загрузки процессов для загрузки модифицированного исполняемого файла, но не раньше, чем откатим внесенные нами изменения. В результате этой процедуры запускается процесс именно из измененного исполняемого файла, который при этом не перехватывают защитные средства», — говорится в описании методики.

Антивирусы не видят

Речь идет о бесфайловой атаке: вредоносный код не записывается на диск и потому для большинства антивирусов не виден. К этому большинству относятся разработки всех крупнейших и известнейших мировых разработчиков: ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast, Panda и «Лаборатории Касперского».

Атаку не могут обнаружить даже такие продвинутые средства ретроспективного анализа как Volatility. Цель атаки — позволить вредоносному ПО запускать произвольный (опять же, вредоносный) код на машине жертвы в контексте легитимного процесса.

Атака очень похожа на методику Process Hollowing, однако, как пояснили исследователи, ключевой задачей для них было не использовать никаких «подозрительных» процессов или операций с памятью типа SuspendProcess или NtUnmapViewOfSection.

«Чтобы достичь этой цели мы используем транзакции NTFS. Мы перезаписываем легитимный файл в контексте транзакции. Затем мы создаем секцию из модифицированного файла (в контексте транзакции) и создаем из нее процесс. Как выясняется, сканирование процесса в процессе транзакции проверенными нами антивирусами невозможно (некоторые даже подвисают), а поскольку мы откатываем в итоге транзакцию, наши действия не оставляют никаких следов», — пишут эксперты enSilo.

То есть, с точки зрения антивирусов, вредоносный процесс легитимен и безопасен, в то время как запустившие его злоумышленники могут совершать уже любые действия на атакованной машине.

Атака не для всех

Единственное, что более-менее обнадеживает, это что методика Process Doppelgänging довольно сложна в исполнении. Потенциальным злоумышленникам придется знать множество «незадокументированных аспектов», связанных с созданием процесса, указывают исследователи.

С другой стороны, выпуск патча против этой проблемы невозможен, поскольку методика эксплуатирует не уязвимости, а фундаментальные функции и механизмы запуска любых процессов в Windows.

«По-видимому, эта методика будет использоваться только наиболее продвинутыми специалистами, деятельность которых оплачивают крупные коммерческие структуры и государства, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Маловероятно, чтобы среднестатистический хакер будет обладать необходимыми знаниями. А вот для высокопрофессиональных кибершпионов данная методика выглядит весьма многообещающе»

Новость от УК

Если честно, то в плане названия ничего в голову не приходит, кроме как: «грамота лохам», «издевательство от УК» и т. п.
Суть в следующем. Не так давно всем жильцам подъезда пришли квитанции с суммой квартплаты. Конечно (который год уже!) УК предлагает всем задолжникам оплатить сумму задолженности и тогда они не будут брать пени. Почин, вроде бы, хороший. Но, зная свою управляющую компанию, не тороплюсь с этим. И вот сегодня в почту падает новость от них (подписан по RSS):
«ГУК „Жилфонд“ выберет и наградит дома с образцовой платёжной дисциплиной жителей».
Лично я считаю это издевательством. Поясню на своем конкретном примере. Ранее уже писал, что хотелось бы погасить полностью задолженность по квартплате, выплачивая каждый месяц сумму на несколько тысяч превышающую саму квартплату. И мне бы удалось это сделать еще весной, если бы вдруг УК не прислала всем перерасчет за тепло на сумму от 5 до 20 тысяч рублей. Это вывело из себя весь подъезд, все решили оплачивать только через суд.
Ладно, будем считать, что это «прошлое». Но начнем «считать» настоящее. В начале зимы батареи были очень горячими. Затем, несмотря на понижение температуры, они стали более холодными. Ради эксперимента прикупил спиртовый градусник, но он оказался бракованным — показывал температуру +27 градусов, хотя дома явно более холодно, ближе к 20 градусам. Не торопясь (весь декабрь еще впереди), ищу другой. Жена говорит, что показаниям датчика DS18B20 они не поверят :-)

Обновление Windows 10

Итак, имеем следующую ситуация: рабочий ноутбук с установленной Windows 10 с набором бухгалтерских программ. Проблема с ним заключается в том, что система периодически пытается обновиться, скачивает обновления, при перезагрузке начинает их устанавливать, что-то идет не так, запускается система восстановления, у которой ничего не получается. Затем перезагрузка и по новой.
Сегодня получилось прервать этот порочный круг и загрузить систему в нормальном режиме. Но остается проблема обновлений. В предыдущий раз вносил некоторые изменения в реестр, отключал службу обновлений, но никакого результата это не принесло — служба запустилась сама, обновления были скачаны и была сделана попытка их установить. Получилось откатить состояние системы и получить рабочий ноутбук.
Поразмыслив, пришел к выводу, что придется идти другим путем, чтобы заблокировать доступ системе к обновлениям. Я вижу два способа: редактирование файла hosts и создание правил в брендмауэре. Первый способ хорош тем, что система «не знает», что адрес блокирован. Из «минусов» вижу внесение этого файла в исключения установленного антивируса и невозможность указать DNS-адреса в виде маски, только IP, только хардкор. Последний момент, впрочем, относится и к брендмауэру.
Будет ли результат положительным — неизвестно, остается только надеяться. Будем экспериментировать.

Блуждание по Новосибирску

Навеяло комментарием к этой записи.
Это была моя первая работа в жизни, редакция газеты «Северо-Енисейский вестник». Отработав год, ушел в положенный мне отпуск и уехал в Красноярск почти на все лето — отпуск тогда у меня был 54 дня, если не ошибаюсь. Это без учета выходных дней, как сейчас. Иными словами, отпуск был 2 месяца.
И вот дернул меня черт позвонить на работу! Молодой, глупый, неопытный :-D Сейчас я таких ошибок не совершаю. В телефонном разговоре мой начальник, Римма Викторовна, решила, что мне ближе до Новосибирска, чем им и отправила меня туда в командировку. Я попытался оказать небольшое сопротивление в виде заявления, что у меня нет денег на поездку туда, но оно было сломлено ответом, что деньги мне вышлют. «В принципе, почему бы и нет?» — подумал я, дождался денег и поехал в Новосибирск. В этом городе я раньше не бывал, путешествовать я люблю.
Город встретил меня грязью — была весна. Позвонив на вокзале по переданному мне телефону (мобильных тогда не было), я договорился о встрече, узнал адрес и пошел, как говорится, навстречу судьбе. Все мои вопросы к прохожим «А не подскажете где такой-то адрес?» я каждый раз чувствовал себя героем известного фильма:
— Видишь суслика на холме? Нет? А он есть!

Впрочем, и фильма тогда такого еще никто не знал...
Кое-как добравшись до адреса, получил оборудование и поехал на вокзал. Купил билеты обратно (ближайшие оказались на 12 часов ночи, примерно), сдал вещи в камеру хранения и пошел бродить по округе, в запасе у меня было около 6 часов. В какой-то момент времени я понял, что заблудился. Все эти переулки, подземные переходы сбили меня с верного пути. Но недаром же я полжизни провел в тайге. Чему уж она учит, так это запоминать направление к «исходной точке». В общем, немного проплутав, я вновь оказался на знакомой площади. Оттуда уже без проблем дошел до вокзала, перекусил бутербродами в каком-то киоске и ушел в зал ожидания. Точно помню, что туда пускали только после предъявления билета на поезд. Там немного покемарил и уехал в Красноярск.
Самое забавное меня ждало после возвращения на работу. Напомню, прошло два месяца. «Люди, кто вы? Что я тут делал? Чем занимался?» — примерно такие вопросы роились у меня в голове в первый день работы после отпуска. Слава богам, сориентировался быстро, все вспомнил, быстро вошел в курс «политики партии».

Первый тест зимнего комплекта

Ранее на Instagram выкладывал фото своего нового зимнего комплекта: куртки и комбинезона.
Счел сегодня погоду подходящей для первого теста (примерно -20 градусов) и одел его. На улице оказалось в нем тепло, только снизу было чуть прохладно из-а того, что в штанах внизу нет резинки, которая обхватывает ногу. Также было прохладно в недавно купленных зимних ботинках. Мне почему-то кажется, что они не до конца просыхают с сушилкой для обуви, остаются чуть сыроватыми и из-за этого в них прохладно. На работе их можно поставить на масляный радиатор, не прямо, конечно, на него — сначала положил дощечку, которая когда-то, похоже, была разделочной доской. За полдня, с начала рабочего дня и до полудня ботинки вполне просыхают и в них тепло.
В общем, я отклонился от темы. Карманов что в комбинезоне, что в куртке полно, все они большие, в каждом из них легко помещается мое портмоне. А оно, должен сказать, не маленькое. В нем оказалось тепло, а если еще и более-менее быстро двигаться, то быстро станет жарко. В помещении лучше снимать его, потому что тоже достаточно быстро становится жарко. Отличное качество шитья. Есть светоотражающие полосы, что тоже «плюс», так как темнеет зимой быстро, а некоторые участки дороги вообще не освещены, либо плохо освещены. Из «минусов» лично я нашел только отсутствие резинки в штанах, чуть бОльший, чем хотелось бы, размер куртки и чуть коротковатый комбинезон. А в целом, все отлично. Остается только опробовать его на более низких температурах — ниже -30 градусов. Будем надеяться, что этой зимой мне предоставится такая возможность.
И небольшое отклонение от темы. Пару лет назад один из друзей оставил у меня свою сумку. Оставил и уехал на вахту. И забыл (или забил) на все это. Так как недавно у меня был «приступ Золушки», то сумку я вскрыл, нашел там одежду и решил все перестирать и убрать куда-нибудь в полиэтиленовый пакет. Вещи оказались в хорошем состоянии, но так как хозяин, судя по всему, появится не скоро, решил позаимствовать оттуда хорошие зимние штаны. Походил в них несколько дней, понравилось. С моей старой курткой вполне сочетаются, в них тепло и есть вышеупомянутая резинка внизу штанины. По длине, несмотря, что товарищ чуть ниже меня, они тоже оказались впору. Присваивать не собираюсь, если захочет забрать — пусть забирает, а я пока, возможно, похожу в них :-)

За что я не люблю Windows 10

Вот честно, система обновления в Windows всегда страдала от каких-то недостатков. В Windows XP она работала, с глюками, «тормозами», но спишем все это на то, что это был своего рода первопроходец. Затем она совершенствовалась, становилась все лучше и лучше. Своего апогея, если можно так сказать, я считаю, она достигла в Windows 7. Да и вообще это последняя «нормальная» версия этой операционной системы. Теперь почему так.
Не будем брать в расчет все возможности и различия Windows, начиная с 7-ки, и сравнивать их. Остановлюсь именно на системе обновления и восстановления. В Windows 7, по сравнению с 10-ой, было намного больше возможностей и шансов восстановить систему в случае неудачного обновления или какого-либо другого сбоя. Можно было загрузиться в «безопасный» режим, сделать rollback (откат) состояния системы. Если это было невозможно, то был шанс загрузиться с какого-нибудь livecd и попытаться оттуда восстановить систему. Windows 10 не дает такой возможности — выйти в «безопасный» режим.
Случай первый, простой. Устанавливаем на компьютер программу для торговой площадки. Для корректной работы нужно дополнительно установить и КриптоПро, после чего перезагрузить систему. Нажимаем «Перезагрузить» и... ловим 2,5 часа ожидания установки обновлений. Время при этом было ограничено, человеку нужно было уезжать. Деваться некуда, пришлось ждать. Это самый простой случай, когда обновление системы не привело ни к каким ошибкам, но заставило ждать себя. И отказаться-то от него нельзя. Здесь операционные системы на базе линукс ой как выигрывают. Более того, в линукс мне хватило одной перезагрузки, чтобы сменить разрядность ОС с 32-битной на 64-битную. Попробуйте сделать такое в «винде».
Случай второй, посложней. Система скачала обновления, начала установку, потом решила перезагрузить компьютер. Ок. После включения компьютера не получилось загрузить систему. Снова перезагрузка, попробовала восстановить предыдущее состояние — не получилось. Снова перезагрузка, еще одна попытка — результат тот же. И так до бесконечности. Попытки восстановить систему при помощи livecd ни к чему не привели. Удалить последние обновления тоже. В общем ничего не помогло. Но видим, что в списке выбора ОС есть еще один пункт. Пытаемся загрузить этот вариант — проходит. Вуаля! В итоге выбираем его по умолчанию, отключаем к чертям обновление системы и надеемся, что никакой компонент системы или программа его заново не включит. Зря надеемся — Windows видит, что система обновлений отключена и каждые 5 минут выбрасывает предупреждение об этом.
Если бы это были единичные случаи. Был прецедент, когда «умный» пользователь увидел, что система запустила средство восстановления системы и попытался своими руками исправить такую же ситуацию, когда Windows просто не загружался. Не знаю, что он там делал, но когда туда приехал я, восстанавливать было уже практически нечего. Пришлось проводить установку системы заново.

27 ноября   10   7   windows   обновление   ошибка   система

Синхронизация данных

Синхронизация. Такое простое понятие, но иногда ее очень сложно настроить...
Уже много лет я использую такую программу — EssentialPIM. Это облегченный вариант MS Outlook, но со своими «плюшками». Такими, например, как встроенная база паролей. Она может быть установлена на компьютер, может храниться на переносном USB-накопителе и работает под управлением Windows. Под Linux в Wine она тоже работает (по крайней мере, у меня), но при этом приходится мириться с некоторыми недостатками в интерфейсе и работе с почтой. Есть клиент для Android. Имеет возможность синхронизации с другими серверами или устройствами, но, увы, их «ассортимент» крайне мал. С некоторыми «плясками с бубном» можно сделать импорт/экспорт данных из другой программы. В общем, как и у любой программы, есть свои недостатки. Порой выводящие из себя.
На текущий момент я прихожу к мысли, что пора бы уже отказаться от использования этой программы в пользу других. Но, скорее, не программ, как таковых, а служб. То есть хранить данные на одном сервере, который бы мог предоставить возможность синхронизации с большинством устройств и программ, чтобы они были доступны мне в любой момент, вне зависимости от того, каким устройством или программой я сейчас пользуюсь. Требования примерно следующие.

Контакты. Самое важное, наверное, в жизни каждого человека. Они должны быть везде: в мобильном телефоне, почтовых клиентах, мессенджерах. Самый простой вариант для меня пока что — использовать сервер CardDav.
Пароли. Второй по важности пункт. Немного поразмыслив, пришел к выводу, что мне хватит, если они будут работать в браузерах и храниться в телефоне. Посмотреть и вбить куда-то пароль я должен в любом месте, при помощи телефона или браузера.
Почта. Тут все более-менее просто. Вся почта в итоге оказывается на моем сервере, откуда я могу ее достать. Исключение пока что составляет почтовый ящик от компании Google. Почему-то не могу заставить себя настроить сбор почты с него. Пока что нахожусь в неспешных поисках почтового клиента для Android, который удовлетворял бы мои потребности.
Задачи, дела. Тут тоже все просто: телефон и почтовый клиент. Снова самый простой способ — сервер CalDav.
Заметки. Не самый важный, но порой очень нужный пункт. Большое количество сервисов предоставляют такой функционал по умолчанию.
Файлы. Тут синхронизация не нужна как таковая, но некоторые файлы было бы удобно всегда иметь под рукой. Например, в том же телефоне. Или на USB-накопителе.

База для каждого из вышеперечисленных пунктов должна быть одна. Иными словами, если брать те же контакты, то я должен видеть один и тот же список что в телефоне, что в почтовом клиенте. Или в любой другой программе. Допускается и даже приветствуется небольшая фильтрация, когда программа будет скрывать контакты, которые она не может использовать. Как, например, совершенно бесполезен для почтового клиента контакт в списке, у которого не указан адрес электронной почты.
Еще одним требованием является возможность быстрого и удобного редактирования данных. Например, при знакомстве с человеком я внес номер его телефона в свой. Позже, придя домой, могу захотеть внести дополнительные данные в контакт уже не через телефон, а на компьютере. Просто потому что так удобней набирать.
Следующим требованием является стандартность протоколов обмена информацией. С контактами и календарем все понятно — есть стандартные и давно работающие протоколы. С заметками и файлами проблем быть не должно, есть даже выбор. А вот с паролями не все так просто. Поиски продолжаются, пока что работает вариант синхронизации с Nextcloud, но он немного меня не устраивает: клиент для Android находится в состоянии «альфа», расширение для Firefox вроде бы работает, но моя «пятая точка» чует какой-то подвох.

IP-телефония — зло

Итак, вам повезло и вы нашли очень выгодный тариф на интернет для вашего предприятия. Вы платите копейки, по сравнению с другими операторами. Допустим, что отсутствие интернета в течение нескольких часов не является чем-то сильно критичным для вас. В противном случае вы сами виноваты, что не обеспечили резервный канал для организации :-) И тут, далеко не в самый радостный день, интернет у вас пропадает. Проверив все со своей стороны, звоните в техподдержку провайдера. Но вместо голоса оператора ТП вы слышите... тишину. Абсолютную тишину в эфире. Нет даже гудков, означающих, что связь с абонентом установлена и на другом конце провода телефон разрывается от усилий сообщить, что звонит очень важный человек (это я, конечно, утрирую). Поначалу начинает казаться, что проблемы также и с мобильным телефонов. Но, в конце концов, выясняется, что провайдер использует IP-телефонию и отсутствие интернета соответственно полностью отключает телефонную связь с внешним миров.
Казалось бы, нужно воспользоваться первым правилом системного администратора «бэкап, бэкап и еще 100 раз бэкап» и провести себе резервный канал интернета (имею в виду ТП провайдера), чтобы иметь возможность переключать на него хотя бы телефоны в случае поломки основного канала. Но зачем? Мы молодая, очень уверенная в себе, динамично развивающаяся компания. Мы можем быстро решить все проблемы, которые возникают при предоставлении услуг связи. Даже если к чертям сгорело оборудование (тьфу-тьфу-тьфу) — есть запасное помещение с запасным оборудованием. Полный комплект, причем. И перевести всю нагрузку на него не составляет больших трудов и выполняется буквально за 15 минут.
Я просто к тому, что порой невозможность оперативно получить информацию о причинах поломки и времени, которое будет потрачено на ее устранение, выводит из себя больше, чем сам факт отсутствия интернета.

Кража телефона

Хотел вчера о другом написать, но жена подкинула более «интересную» тему.
В общем, пришла она вчера домой после работы и сказала, что, похоже, у нее украли телефон. Шут знает почему, но я довольно спокойно отнесся к новости. Как будто ждал чего-то такого. Пока разбирались с деталями, проверяли все сумки и карманы, прошло около 10 минут. Перезваниваю на ее номер, отвечает мужской голос. Говорит, что да, нашел телефон, готов вернуть за 2000 рублей. Что созвонимся завтра около 9 утра и договоримся где и как его передать. Жену возмутила такая сумма и она предложила пойти в полицию. Ну ок, планов у меня на вечер все равно не было, почему бы и не сходить. Пока собирались, посмотрел где находится телефон — на кинотеатре «Мечта». Дошли до отделения, а он (телефон) уже совсем рядом, буквально в паре домов от нас.
В полиции приняли заявление, дежурному показал, что потеря совсем рядом. Чуть позже показывал паре сотрудников как настроить телефон, чтобы он показывал свое местоположение на карте google. Про себя тихо посмеивался. Потом снятие показаний и мы свободны. На все ушло около 3 часов, считаю, что быстро отделались. Дело, как сказал следователь жене, заводить пока не будут — если телефон завтра вернут, как было условлено, то, видимо, дело закроют.
Почему назвал все это кражей? Уж больно похоже, что телефон просто вытащили из кармана. После выхода из отделения сказал, чтобы после того как положит его в карман куртки, обязательно его закрывала на замок.

Ранее Ctrl + ↓