- Kaspersky Antivirus és Internet Security Fórum
- Sorra osztja a dollármilliárdokat az USA a chipgyártóknak
- Kanada big tech-adót zúdít az amerikai cégek nyakába
- Alternatív kriptopénzek, altcoinok bányászata
- Milyen routert?
- DIGI kábel TV
- ASUS routerek
- WLAN, WiFi, vezeték nélküli hálózat
- DIGI internet
- Nem bírják kiszolgálni az AI energiaigényét
Új hozzászólás Aktív témák
-
Jinxb1rd
addikt
Pedig bőven elég a Windows alap védelmi rendszere, biztos kikapcsolták.
We are only Stardust...
-
atti_2010
nagyúr
A folyamat azzal indult el, hogy a támadók egy eredeti, legális TeamViewert telepítettek az áldozat gépére,
Mire elég, ha fel tudták telepíteni a Team Viewert a gépre onnantól már szabad préda.
1.Asrock FM2A88X+ Killer,A10-5800K,Kingston 2x4Gb 2400Mhz,Int X25-V SSD,SF Pro S.F.-450P14XE. 2.MSI-A75A-G55,A8-3870, Kingston 2x2GB2000, MSI R9-270, Zen 400.
-
atti_2010
nagyúr
Ha megváltoztatták a DLL-t akkor erre már nem volt szükség, sőt szerintem azt sem tudták hogy a szoftver a gépen van.
1.Asrock FM2A88X+ Killer,A10-5800K,Kingston 2x4Gb 2400Mhz,Int X25-V SSD,SF Pro S.F.-450P14XE. 2.MSI-A75A-G55,A8-3870, Kingston 2x2GB2000, MSI R9-270, Zen 400.
-
domi007
őstag
-
szilard28
aktív tag
"
a vizsgálat azt is kimutatta, hogy a nem magyar célpontok különösen fontosak voltak, például megtámadtak egy iráni, kormányzati támogatással működő elektronikai vállalatot is"Vajon melyik ország írhatta ezt a vírust?
-
#06658560
törölt tag
Amikor a rendszergizdai jogokat gyakorlók külsö cégbe vannak szervezve, s kell párszor belépni ide-oda amoda problémamegoldáskor is, mert pont a belépés a gond, akkor igen egyszerü ilyet összehozni. Ráadásul pár értelmes msn program e téren kezd kikopni, hogy végképp teljes legyen a szopatás.
-
"...Bizonyosnak látszik az is, hogy a támadások célja információszerzés volt: a fertőzött gépek jó része átlagfelhasználóké..."
Na végre, egy támadás, amely bebizonyítja az átlagusernek is, hogy miért fontos az ő gépe elleni akció.
https://www.coreinfinity.tech
-
atti_2010
nagyúr
válasz #06658560 #10 üzenetére
Azért ott is vannak számítógépek nem kell annyira lenézni őket csak hatalmasak az életszínvonal béli különbségek egyik régióból a másikba nézve.
1.Asrock FM2A88X+ Killer,A10-5800K,Kingston 2x4Gb 2400Mhz,Int X25-V SSD,SF Pro S.F.-450P14XE. 2.MSI-A75A-G55,A8-3870, Kingston 2x2GB2000, MSI R9-270, Zen 400.
-
-
#25954560
törölt tag
erdekes h a .vmdk fajlokat is hasznaljak. gondolom felmountoljak es vegignezik azt is, csak nem tudom miert jott nekik az otlet. allami szervezeteknel tipikus h vindozon futtatnak tobb virtualis gepet munkahoz?
-
Alchemist
addikt
Amikor a rendszergizdai jogokat gyakorlók külsö cégbe vannak szervezve, s kell párszor belépni ide-oda amoda problémamegoldáskor is
Kényes adatokkal rendelkező intézményeknél ilyen megoldás főbenjáró bűn.
[ Szerkesztve ]
Éppen olvasok egy érdekes könyvet az antigravitációról... képtelen vagyok lerakni.
-
Alchemist
addikt
Azt hiszem, ez az egész történet nem a hackerek varázslatos képességeiről szól, hanem az áldozatok rendszerein tátongó biztonsági lyukakról.
Mintha valaki a páncélszekrény kulcsát a lábtörlő alatt tartaná vagy talpig felékszerezve sétálgat éjjel a nyócker bugyraiban...Éppen olvasok egy érdekes könyvet az antigravitációról... képtelen vagyok lerakni.
-
Kaiku
senior tag
-
Én azt nem értem, hogy hogy a jóistenbe telepítenek egy kormányzati gépre egy akármilyen legális progit csak úgy? Az én céges gépemre szigorúan azokat az appokat engedik fel, amik a munkához kellenek, semmi egyéb. És mit keres egy távoli elérést biztosító progi egy alkalmazott gépén???
Illetve otthon, ha nem adminként használom a gépem, kíváncsi vagyok, hogy tudnak ilyet nekem telepíteni, úgy, hogy ne vegyem észre, és hogy működön a távvezérlés?
OK, az UAC-t és frissítéseket kilövő + gépet admin módban használó pistikéknél, és az enter gombot nem találó nagymamáknál nem csodálkozom az ilyesmin.
[ Szerkesztve ]
Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.
-
#06658560
törölt tag
válasz Alchemist #15 üzenetére
Ezt én tudom, de döntéseket nem én hozok. amúgy tudom ofkozni, még országilag is máshol vannak, mint mi.
#11 atti_2010: A) tudom. B) mennyi? -> megéri energiát feccölni ott nem állami, hanem magángépek basztatásába?
#13 sh4d0w: a megjegyzésed alapján a cikkben szereplö térképet ifgyelembe véve gondolkodtam hangosan.
[ Szerkesztve ]
-
#06658560
törölt tag
válasz t72killer #20 üzenetére
"Én azt nem értem, hogy hogy a jóistenbe telepítenek egy kormányzati gépre egy akármilyen legális progit csak úgy? Az én céges gépemre szigorúan azokat az appokat engedik fel, amik a munkához kellenek, semmi egyéb. És mit keres egy távoli elérést biztosító progi egy alkalmazott gépén???"
Ha rendszergizdának adják ki magukat és felhívják akkor már könnyü meglépni. Cégek szoktak korlátozott telepítési jogokat adni, vagy adott géphez rendszergizdait is láttam már. Mely appok kellenek adott munkához? Egy foxit reader az adobe reader helyett? Egy NexusFile intézö helyett nem járható út? Egy képernyökép készítö program?
Távoli elérés miért kell? Mindig ott ül a rendszergizda a dolgozó mellett? Több telephely esetén is? Központi menedzselésnél sem kell távoli elérés? -
válasz #06658560 #22 üzenetére
Nálunk is külföldön van a rendszergazda - de ezek a remote desktop és remote telepítés dolgok régóta be vannak járatva, nem egyik napról a másikra találják ki, hogy új remote kliens kell.
Amúgy nálunk a telepítésbe a usernek nem sok beleszólása van, reggel beindítom a gépet, elmegyek reggelizni a kollégákkal, közben ő frissíti magát, telepít ezt-azt.Igazából nem látom azt a támadási vektort, amivel a useren keresztül exploit nélkül bármit is telepíteni lehetne. Ha egy vadidegen engem felhív, attól még neki nem lesz adminjelszava.
#23: ehhez exploit kell. Pl az acrobatban volt nemrég, de azt is javították. Illetve ahhoz, hogy egy képbe injektált kártevő települjön, kell még egy csúnya right-elevation exploit az OS részéről - lévén nem adminként fogom megnyitni az ominózus doksit.
Amúgy meg az r=1 user ne nyitogasson meg mindenféle vackot és ne pornózzon az adófizető/munkaadó pénzén. Ezutóbbira találták ki a szigorú tartalomszűrést.
[ Szerkesztve ]
Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.
-
#06658560
törölt tag
válasz t72killer #24 üzenetére
Nem feltétlen kell júzer nélkülinek lennie. Nem minden oldható meg júzer beavatkozás nélkül- pl. mikor nekem MSO összeomlásokat, java és flash problémákt kellett korrigálni akkor rendre be kellett lépnem adott szolgáltatásba, hogy kiderüljön müködik-e. Ha a gépre adott program telepíthetö, s abban van az exploit, akkor meg elég csaj a júzer felületéhez hozzáférni.
-
rt06
veterán
válasz t72killer #20 üzenetére
a tv-t nem kell telepiteni, portable modban is mukodik
azt, hogy sikit-e az uac nem tudom, mert - bar nem istvannak hivnak - kikapcsoltam, meg admin is vagyok (de legalabb a frissiteseket nem tiltom)Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
tigerscorpio
aktív tag
én inkább ezekkel a letöltenél valamit rapidrol vagy akármiről, és letölt egy alkalmazást, hogy aztán az töltse le az adott programot nah azokban nem bízok. miért nem lehet azt letölteni amit akarok egyből?
" A Pokol Üres, mert Minden Ördög a Felszinen Van" ****Eladó cuccaim a az adatlapom/honlap link alatt****
-
Kaiku
senior tag
válasz tigerscorpio #27 üzenetére
Ne is bízz. Sok embernek viszont lövése sincs az egész Internetről, hálózatról, stb. Pont ugyan az a felfogása mint otthon a sütővel vagy a robotgéppel. Egy eszköz amivel dolgozik, kommunikál. Mint annó a levél papír meg a dosszié.
-
A portable appok sztorija más: én is használok portable appot a céges gépemen (a melóhoz találtam egy hasznos kis cuccot) - de ez semmilyen rendszerbeállításhoz nem fér hozzá, és a legkevésbbé sem tud remote desktopot nyitni a gépemre.
Admin mód, UAC=0 - ha az ember belegondol, sokunk van ezen a biztonsági szinten: ha feljön az uac ablak, sokszor gondolkodás nélkül írjuk bele a jelszót - illetve, ha akarjuk, hogy működjön valami, akkor nincs sok választása az embernek.
#30, Kaiku: Ha álca lenne, akkor nem működne portable-ként, lévén bármilyen rendszerpiszkáláshoz adminjogok kellenek, az meg nekem a mhelyin nincs.
[ Szerkesztve ]
Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.
-
válasz t72killer #24 üzenetére
És exploittal nem mehet fel a cucc? Minden alkalmazásban vannak hibák, egyesekben 0day-ek, amiket a támadók kihasználhatnak pl. privilégiumszint-emelésre. Ez a támadássorozat ráadául 2010 óta aktív, azóta meg bőven volt lyukas Adobe, lyukas Windows és lyukas Java.
https://www.coreinfinity.tech
-
tigerscorpio
aktív tag
a másik kedvencem amikor rakok fel valamit legyen az böngésző, , vagy mind1, hogy mi, és ottvan még 6ezer kipipált tooolbar, azt nem szokták sokan kikapcsolni... azt csodálkoznak, hogy 6x olyan vastag a a böngésző menüsávja...
..." A Pokol Üres, mert Minden Ördög a Felszinen Van" ****Eladó cuccaim a az adatlapom/honlap link alatt****
-
válasz tigerscorpio #32 üzenetére
Ha még kiveheted a pipát, az hagyján, nade ez...
https://www.coreinfinity.tech
-
Dehogynem. Csak arra akartam fentebb kilyukadni, hogy csak két útját látom a fertőződésnek: 1. user error, 2. exploit.
A cikkben nem volt exploitról szó, ezért inkább az első változatra gyanakszom, ami vállalatnál inkább a corporate IT sara, mint a felhasználóé.
#32, tigerscorpio: +1...
#33: ... nem elég, hogy maga a java is shitware/holeware...
[ Szerkesztve ]
Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.
-
rt06
veterán
válasz t72killer #29 üzenetére
pont ezert irtam, hogy a tv megy portable modban es remote access-t biztosit a gepedhez
ahhoz pedig, hogy ne a windzoe dll-jet hasznalja, elegendo annyi, hogy a program futasi konyvtaraban ott van egy dll pont olyan neven, mint a keresett, ugyanis win-en elobb nezi a munkakonyvtarat es csak aztan a path-etigaz nem tudom pontosan, hogy itt a path-et nezi-e, vagy valami mas alapjan keres, de a lenyeg, hogy ha teszel a program melle egy kernel32.dll-t, akkor azt fogja a program hasznalni, nem pedig a windoze/system32 konyvtarban levot
ezalol kivetel persze, ha abszolut eleresi uttal hivatkozik a program a dll file-ra)Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
-
-
rt06
veterán
-
-
Penge_4
veterán
Annyira nem fejlett, hogy sikítson sima programindításkor. Ha a programban nincs implementálva még akár a Windows mappát is megkísérelheti törölni (természetesen sikertelenül) anélkül, hogy eleválást kérne.
Sok patchet is jobbklikk -> Run As-szal kell futtatni, mert nem kér eleválást, de meg se patchel semmit usermódban.
Tehát egy user jogosultságú könyvtárba telepített szoftver esetén (lásd: Chrome) megpatchelhet bármilyen folyamat bármilyen fájlt (beleértve a DLL-t), onnantól van egy fertőzött szoftvered, ami viszont szintén usermódban használhatja a hálózatot és indíthat DDoS támadásokat a user tudta nélkül. Bár a remote access-t én sem tudom, hogy ahhoz kell-e admin jog, de durva lenne, ha nem.
Persze valami csak feltűnik, ha más nem, akkor egy oda nem illő processz. Én már az indokolatlan CPU terheltségre vagy homokórára is felfigyelek (aztán látom, hogy pl. TrustedInstaller.exe vagy MsMpEng.exe)
Azt már nem tudom, hogy adminmód megkerülésével pl. ékelődhet-e svchost fájlba (hogy a Task Managerben is rejtve maradjon), de az átlagusernek úgyse tűnik fel egy idegen processz. De még a magas CPU használat is csak akkor, ha már a user experience rovására megy vagy túl hangos a ventilátor.
De a kérdés inkább az, hogy egy program el tud-e indulni úgy, hogy a böngésző cache-ében landol opr00000.tmp nevű fájlként. Windows alatt kétlem, mivel itt a kiterjesztéstől függ, hogy hogyan/mivel akar megnyílni egy fájl szemben pl. a Linux-szal, de ott meg hiába tudna, nem kap futási jogot a cache-ben lévő fájl, Windows-on meg tudtommal majdnem mindenhol a userspace-ben van futásjoga minden létrehozott fájlnak, még egy Untitled.txt.exe-nek is.
Itt ismételten megjegyezném a Chrome default "Download to predefined download folder without asking user" beállításának és a Windows "mindenhol futtatási jogod van" kombinációjának veszélyeire. Mert Operában is veszélyes lehet ennél fogva a letöltés automatikus elindulása, de itt legalább a .tmp kiterjesztésű fájl nem fog elindulni még ha le is töltődik, amíg le nem okézom, meg nem keresem a mentési helyét, hogy oda, immáron .exe kiterjesztéssel mentsem. Ott meg maximum azt a hülye toolbart dobja fel, hogy Downloading xy.exe
Bár a hülye usert semmilyen oprendszer nem védi meg, mert Linuxot is ugyanúgy megfektet egy sudo dpkg -i /verpista/home/downloadedmalware.deb paranccsal.
"ezalol kivetel persze, ha abszolut eleresi uttal hivatkozik a program a dll file-ra"
És ilyenkor az a mellékhatás, hogy ha a következő Windows verzióban megváltozik az elérési út, a fejlesztő adhat ki új verziót, mert a régi emiatt nem fog futni.
(#27) tigerscorpio: Milyen Rapidról? A valóban veszélyeseket nem ott terjesztik, HTTP szerverről húzhatod le nagy sebességgel például a WatchPremierHollywoodMovies_Player.exe-t és azonnal el is indul a letöltés, amennyiben rákattintasz a lejátszás gombra a Flash playeren.
(#33) sh4d0w: Még ez is hagyján, a kedvencem, mikor a Next-Next-Finish fázist "Next-Finish"-re rövidítő telepítőkön a 8-as betűtípussal kék linkként szereplő "Advanced"-re kattintás hiányában minden szar felmászik. Egyrészt nagyon megtévesztő, másrészt ha már sokadszor frissíted a szoftvert úgy gondolnád, hogy megjegyzi a default beállításokat és aszerint települ. Én is véletlenül jöttem rá, mivel mindig az Advancedre mentem már csak azért is, mert pl. sosem rakok a Desktopra ikont, az meg alapból be volt pipálva mindenhol. Mikor megláttam a bepipált Chrome-ot egyszer azóta fokozottan ügyelek mindenhol.
Lassan már sok komponenst számláló cocec pack-ekben (pl. K-Lite) is ott lesz majd legalul a Chrome checkbox.
-
-
rt06
veterán
olvass sokat, es idovel rajosz (hint: nem vagyok sem anyad, sem apad, korrepetalasert meg nem fizetsz)
shadow: nincs automatikus update, ha uj verzio kell, azt magam teszem fel a meglevok melle (java-ban fejlesztek, ezert fontos, hogy ugyanazzal fejezzem be, mint amivel elkezdtem dolgozni)
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
-
Új hozzászólás Aktív témák
- NVIDIA GeForce RTX 4080 /4080S / 4090 (AD103 / 102)
- Kaspersky Antivirus és Internet Security Fórum
- EAFC 24
- gban: Ingyen kellene, de tegnapra
- AMD CPU-k jövője - amit tudni vélünk
- PlayStation 5
- Eredeti játékok OFF topik
- MILC felhasználók szakmai topikja
- xDefiant - Néhány nap múlva újra tesztelhetjük a játékot
- Bugok, problémák a PROHARDVER lapcsaládon
- További aktív témák...