-
Posts
426 -
Joined
-
Last visited
-
Days Won
6
Everything posted by ThaiFight
-
An extra whitespace in a server response allowed a security firm to track a hackers' favorite tool for years. https://www.zdnet.com/video/free-malware-tools-are-being-exploited-for-malicious-intent/ A vulnerability in a tool used by cyber-criminal gangs is now helping researchers expose the locations of thousands of malware command-and-control (C&C) servers. The vulnerability --now patched since the start of the year-- affected cobalt strike , a legitimate penetration testing tool used by security researchers to emulate cyber-attacks. Cobalt Strike has been around for more than a decade, but for the past five years, it has slowly been adopted by cyber-criminal groups as well. Malware gangs and nation-state cyber-espionage groups have used Cobalt Strike because of its simple and very efficient client-server architecture. Cyber-criminals use Cobalt Strike to host their C&C servers, and then deploy malware on company networks through Cobalt "beacons" they plant on infected hosts. Over the past few years, Cobalt Strike slowly became the go-to toolkit for many threat actors, such as the FIN6 and FIN7 (Carbanak) cyber-criminal gangs, but also nation-state hackers such as APT29 (Cozy Bear). But unbeknownst to all these hacker groups was that Fox-IT researchers discovered a bug in the Cobalt Strike server component. Built on NanoHTTPD, a Java-based web server, crooks didn't know that it contained a bug that allowed Fox-IT to track them since 2015. According to Fox-IT researchers, the NanoHTTPD server accidentally added an additional space in the server's HTTP responses, like in the image below. This extra whitespace allowed Fox-IT to detect Cobalt Strike communications between beacons and their C&C servers across the years, until January 2, 2019, when Cobalt Strike developers patched the bug and removed the extra space in version 3.13. "In total Fox-IT has observed 7718 unique Cobalt Strike team server or NanoHTTPD hosts between the period of 2015-01 and 2019-02," the company said in a blog post this week. Because the issue is now patched, Fox-IT researchers revealed this little trick, along with a list of historical IP addresses that used to or are still hosting Cobalt Strike C&C servers. The company hopes that security teams use this list to check their network logs for these IP addresses and identify past or current security breaches. Some of these IP addresses might belong to legitimate Cobalt Strike instances hosted by security firms for testing purposes, but Fox-IT believes that many of these are also from hacker groups. They said that a cursory examination of their list of 7,700+ IP addresses revealed malware C&C servers tied to China's APT10 government hacking unit, the Bokbot banking trojan, and servers managed by remnants of the Cobalt Group (also known as FIN7 or Carbanak). KnownSec 404 Team, a Chinese cyber-security company that runs the ZoomEye IoT search engine confirmed Fox-IT's discovery by identifying 3,643 Cobalt Strike NanoHTTPD-based servers that are still operational at this moment --86 percent of which were also on Fox-IT's list, the company said. Fox-IT says that current scans for the extra whitespace are turning fewer and fewer results, as servers are getting patched. However, the company says that most threat actors tend to use pirated, cracked, and unregistered versions of the Cobalt Strike software, and therefore will remain unpatched for a long time to come. As legitimately-owned servers will receive the Cobalt Strike patch, most of the servers that will come up during scans in the coming future will most likely be part of malware operations. Source : https://www.zdnet.com/article/vulnerability-exposes-location-of-thousands-of-malware-c-c-servers/?fbclid=IwAR3ZLo-hRSTyZ6jxgp7bhU4K2MTv-cMh00ci3Bi9IwUi0kCw90OAExw-1h8
-
- 2
-
Salut . Dacă ai greșit categoria , unul dintre Mod/Adm il muta la locul potrivit fără să mai deschizi un alt topic
-
Ce se poate întâmpla daca ti fur telefonul @pvspeed ?
-
Sfatul meu este sa lasi magariile la o parte . Ps : la următorul avertisment , ai ban definitiv pe forum .
-
Ma dor ochii . alta metoda de a scrie nu ai gasit ?
-
Daca continuati să vă certati , aveti ban amândoi.
-
De aia l-am si intrebat
-
S-a înțeleg ca intențiile sunt bune sau ?
-
Autoritățile Elvețiene contestă pe oricine să-și spargă votul electoral. Un mod ciudat de a asigura securitatea sistemului lor. Și pentru a motiva hackerii, Elveția promite o recompensă de 150.000 de franci, sau 132.000 €, celor care vor ajunge acolo. Evenimentul va fi organizat în condițiile realității, între 25 februarie și 24 martie, cu un vot fals. Participanții trebuie să se înregistreze în prealabil pe acest site https://onlinevote-pit.ch/ . Cancelaria Federală afirmă în comunicatul său că hackerii vor " încerca să manipuleze voturile, să citească voturile exprimate, să încalce secretul votării și dezafectării sau să ocolească dispozitivele de securitate care protejează voturile. acele date inerente securității". Hackerii care intră în sistemul de vot vor împărți prada în funcție de nivelul lor de hacking. Oricine reușește să manipuleze voturile nedetectabil va câștiga jackpot-ul, și anume 50.000 de franci elvețieni. Cei care reușesc să încalce secretul votului vor câștiga 10.000 de franci pentru a împărți, în timp ce cei care distrug sistemul de vot electronic vor fi recompensați cu 5.000 de franci elvețieni. Din 2004, votul electronic a fost testat în Elveția și pare să atragă tot mai mulți alegători. Secțiile de votare tradiționale sunt din ce în ce mai puține, în avantajul e-mailurilor sau corespondenței, prin intermediul oficiului poștal. În 2018, guvernul a încheiat faza de testare și a inițiat un proces pentru ca votarea electronică să fie al treilea canal de votare. Acest lucru ar trebui să dureze doi ani. Rețineți că competiția este deschisă tuturor și va fi disponibilă în franceză, germană, italiană, romană, precum și documentație în limba engleză. Source : https://geeko.lesoir.be/
-
La ce iti trebuie ip-ul ?
-
Si eu l-am primit https://imgur.com/a/oVwtrVe
-
Ai început cu stângul .
-
Ma poate ajuta cineva cu un invite cod de Filelist?
ThaiFight replied to Cozby's topic in Cosul de gunoi
A treia varianta este potrivita pentru el -
@QuoVadis ce sa faci , n ai ce sa faci
-
Cum de mai trăiesti, nu știu
- 28 replies
-
- cafea
- energizante
-
(and 1 more)
Tagged with:
-
la ora asta ne urezi o zi frumoasa ?
-
Telefon greșit , piste greșite
-
Garda de iubeste
-
Perfect
-
Sunt perfect de acord cu tine @aismen și @rectisor o mare bataie de cap pentru prețurile care sunt acum la telefoane