Latest Security News

Show All

תרגיל פישינג חדש ב MSN!

לאחרונה אני מקבל מידידים ברשת MSN לינקים מוזרים כדוגמת: http://savycooper.catchedyou.com
מיתר לציין שידידי מתכחשים לשליחת הלינק .

הדף שנפתח כתוצאה מגלישה ללינק נראה ככה:הכנס EMAIL וסיסמה!
בבדיקת ה IP מתברר שהאתר ממוקם בסין או ליתר דיוק בהונג קונג מה שמעלה את החשד מיד לכוננות אדומה:)
בתחתית הדף מצויין במפורש שהאתר אינו אתר פישינג אלא אתר המבקש לעשות שימוש באמייל שלך לצורך קידום צרכים אחרים! קצת מזכיר את הבדיחה על ההוא שעושה את צרכיו ליד הלדת של השכן ואחר כך דופק בדלת ומבקש ניר טואלט .
ראו הוזהרתם!!!




פורסם על ידי
תוויות:

backdoor - יצירת משתמש אדמין אשר אינו מופיע בקבוצת administrators

נניח שהשגתי גישה לשרת ואני מעונין להשאיר לי backdoor לפעמים הבאות...
הדרך הפשוטה ביותר היא יצירת יוזר אדמיניסטרטיבי
אבל מה? במקרה של forensics אפשר לעלות על זה שהתווסף יוזר לקבוצת האדמיניסטרטורים.
אז מה עושים במצב כזה?
מסתבר שרמת ההרשאות שאתה מקבל נקבעת ברג'יטרי. אז מה שאני הולך לתאר פה זה איך אני יוצר יוזר אדמיניסטרטיבי בלי שהוא ימצא בקבוצת האדמיניסטרטורים.
שלב ראשון: צריך להפעיל את הregedit בהרשאת system
מכיוון שרק למשתמש system יש הרשאות לKEY הספציפי.
איך מריצים regedit תחת system ?
הצעה אחת היא להפעיל CMD דרך ה tesk scheduler תחת הרשאות system.





הערך F שאתה רואה מקנה לחשבון administrator המקורי את ההרשאות שלו.
אם תיצור יוזר חדש. תתווסף לך ספריה תחת users.








ועכשיו יש לבצע העתקה של הערך F לF של החשבון החדש.אחרי שתתחבר עם היוזר שיצרת, תקבל יוזר אאדמיניסטרטיבי.




אם רוצים להיות extra stelth , במקום ליצור מתשמש חדש - נשנה את ה GUEST או את ה SUPPORT_388945a0

tip by k-zee

פורסם על ידי
תוויות:

mRemote-All your remote connections in one place


mRemote allows you to manage all your remote connections in a single place. It currently

supports the RDP, VNC, SSH, Telnet, RAW, Rlogin, ICA and HTTP/S protocols


אחלה כלי חינמי המרכז לי את כל חיבורי ה REMOTE במקום אחד linux unix windows

בנוסף קיימת תמיכה בהעברת קבצים (SCP) , מהרו והורידו -הם תיכף יתחילו לקחת כסף!

mRemote- download

פורסם על ידי
תוויות: , ,

חקירת המצאות רוגלות במערכת באמצעות פקודות cmd פשוטות

קראתי מאמר של אד סקודיס (san instatute) המדבר על העובדה שחלק גדול מחקירת מחשבים החשודים כנגועים ב mallwares ניתנת לביצוע ע"י שימוש בפקודות built in במערכת ההפעלה.
מניסיוני כאיש אבטחת מידע בארגון גדול , אני נדרש לעתים תכופות לבדוק מחשבים החשודים כ"נגועים" ,ולעתים בזמן בדיקה זו אין ברשותי גישה לכילים מקצועיים וכלי GUI למיניהם. המאמר נותן הסברים לכל פקודה אך אני אחסוך את זה מימני ומימכם (אנחנו כבר מכירים את משמעות הפקודות...)
אז ברוח הOLD SCHOOL להלן מספר פקודות לזיהוי מהיר של יתכנות רוגלות במערכת.


netstat –ano

קבלת מידע על מערך התקשורת TCP UDP +PID בנוסף, החל מ 2SP ניתן להשתמש ב b- המאפשר הצגת התכניות (EXE) המתקשרות על כל פורט בהתאמה .ניתן לזהות במהירות תקשורת על פורטים לא סטנדרטיים +חיפוש הפורט ב GOOGLE , אני ממליץ על חיפוש בסיגנון: insite:mcafee.com port 4444

טבלהזו מציינת פורטים סטנדרטיים של שירותי מערכת -חשוב לדעת למניעת fals positive

*

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce

reg query HKCU\Software\Microsoft\Windows\CurrentVersionRun

מקומות נפוצים ב REGISTRY להמצאות רוגלות - ניתן להסיר את הרשומות החשודות ( לא לשכוח לגבות לפני:))

*

dir /A "C:\Documents and Settings\All Users\Start Menu\Programs\Startup"

ישנם רוגלות הממקמות קבצים בספריה ידועה ונשכחת זו ...

*

'tasklist /svc'

מאפשרת צפיה בתהליכים ובתת תהליכים הרצים במערכת .

*

net users

net localgroup administrators

הצגת משתמשי המערכת - ישנם רוגלות ובוטים (BOTS) המוסיפים משתמשי מערכת - רצוי לבדוק זאת .

wmic startup list full

פקודה שהיתה חדשה לי עד לא מזמן ,מאפשרת קבלת נתונים מפורטים על כל התוכניות והתהליכים העולים ב startup . שימושי ביותר!

עד כאן.

לגבי פקודת WMIC - אני אפרט בפוסט נפרד

אני יותר שהזכרתי כאן נישכחות לחלק מהאנשים ,אך האמינו לי - הפקודות האלה שימושית ביותר .
פורסם על ידי
תוויות: , ,

Netrworking וזמישות...

בשבוע שעבר נכחתי בהרצאה מעניינת מאד NETWORKING בארגון, בתוך מחלקת ה IT ובכלל בחיים.
בגדול מדובר על יצירת קשרים אנושיים והרחבת הרשת החברתית של האדם במטרה ליצור "בני ברית" ושותפים טובים להנעת תהליכים בחברה בפרט ובחיים האישיים בכלל. רשמתי לי כמה נקודות לזכור מההרצאה:

המונח: agile - ז מ י ש - זרירזות וגמישות : מדד היכולת לקבל ולבצע שינויים בצורה זריזה וע"י כך להתמודד בצורה תחרותית וגמישה בשוק המשתנה.


  1. בכל מקום ובכל סיטואציה ניתן לעשות networking
  2. networking עושים עם מי שלא מכירים:)
  3. רוב האנשים חיים ב"בועת הנוחות שלהם" והפחד מהחדש או הדחיה מהחדש הם מה שמעקבים את ההתפתחות שלהם.
  4. networking מתבצע ע"י נתינה קודם כל , אין לחפש רווח אישי מידי - זו טעות!
  5. ע"י עשייה מרובה עבור האדם השני ,יכולה להווצר שותפות טובה ובן ברית לעתיד , יש לזכור שמחקרים מראים ששותפויות טובות אינם מבוססות על 50-50 אלא על עשייה " מעל ומעבר " והשקעה של1000% כל אחד בשני. מודל ה 50-50 ב95 אחוז מהמקרים קורס.
  6. אחת הדרכים להתקדמות ושבירת "תקרת הזכוכית" התעסוקתית היא דרך networking מול אנשים בדרגים גבוהים ממחלקות אחרות או תחומים אחרים .

זה מה שאני זוכר כרגע , לדעתי אוכל לצריך כאן את המצגת בקרוב.

צ'או



.
פורסם על ידי
Subscribe to: Posts (Atom)