Mr.Robot

EternalBlue ternalBlue (или ETERNALBLUE, CVE-2017-0144) — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 марта 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года, а также при распространении Petya в июне 2017 года. Эксплоит EternalBlue использует уязвимость в реализации протокола Server Message Block v1 (SMB). Злоумышленник, сформировав и передав на удалённый узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код. Компания-разработчик Microsoft подтвердила, что уязвимости подвержены все версии Windows, начиная с Windows XP и заканчивая Windows Server 2016, то есть уязвимость оставалась неисправленной на протяжении по крайней мере 16 лет. Уязвимость была устранена в серии обновлений MS17-010. Первое публичное использование эксплоита EternalBlue было зарегистрировано 21 апреля 2017 года, когда программа-бэкдор DoublePulsar, основанная на коде АНБ, поразила свыше 200 тысяч компьютеров в течение нескольких дней[12]. 12 мая 2017 года появился шифровальщик WannaCry, использовавший эксплоит EternalBlue и код DoublePulsar, который поразил десятки тысяч компьютеров в Интернете. Размах атаки был настолько обширен, что побудил Microsoft выпустить обновления к неподдерживаемым ОС Windows XP/Windows Server 2003 и Windows 8.

Фи́шинг (англ. phishing от fishing «рыбная ловля, выуживание») — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам. Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее. Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

Атака внешней сущностью XML, или просто атака XXE, - это тип атаки на приложение, которое анализирует входные данные XML. Эта атака происходит, когда входные XML-данные, содержащие ссылку на внешнюю сущность, обрабатываются слабо настроенным анализатором XML. Эта атака может привести к раскрытию конфиденциальных данных, отказу в обслуживании (DoS), подделке запросов на стороне сервера, сканированию портов с точки зрения компьютера, на котором расположен анализатор, и другим системным воздействиям. Стандарт XML 1.0, определяет структуру XML-документа. Стандарт определяет концепцию, которая называется лицо, которое является термином, который относится к нескольким типам данных блок. Одним из таких типов сущностей является внешняя сущность с общим анализом / параметрами, часто сокращаемая до external entity, которая может получать доступ к локальному или удаленному контенту через объявленный системный идентификатор. Предполагается, что системным идентификатором является URI, к которому может получить доступ XML-процессор при обработке сущности. Затем XML-процессор заменяет вхождения именованной внешней сущности содержимым, на которое ссылается системный идентификатор. Если системный идентификатор содержит зараженные данные и XML-процессор разыменовывает эти зараженные данные, XML-процессор может раскрыть конфиденциальную информацию, обычно недоступную приложению. Аналогичные векторы атак применяют использование внешних DTD, внешних таблиц стилей, внешних схем и т.д. которые, будучи включены, допускают аналогичные атаки в стиле включения внешних ресурсов.

Внедрение SQL-кода (англ. SQL injection / SQLi) — один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере. Атака типа внедрения SQL может быть возможна из-за некорректной обработки входных данных, используемых в SQL-запросах. Разработчик прикладных программ, работающих с базами данных, должен знать о таких уязвимостях и принимать меры противодействия внедрению SQL. Допустим, серверное ПО, получив входной параметр id, использует его для создания SQL-запроса. Рассмотрим следующий PHP-скрипт: $id = $_REQUEST['id']; $res = mysqli_query("SELECT * FROM news WHERE id_news = " . $id); Если на сервер передан параметр id, равный 5 , то выполнится следующий SQL-запрос: SELECT * FROM news WHERE id_news = 5 Но если злоумышленник передаст в качестве параметра id строку "-1 OR 1=1", то выполнится запрос: SELECT * FROM news WHERE id_news = -1 OR 1=1 Таким образом, изменение входных параметров путём добавления в них конструкций языка SQL вызывает изменение в логике выполнения SQL-запроса (в данном примере вместо новости с заданным идентификатором будут выбраны все имеющиеся в базе новости, поскольку выражение 1=1 всегда истинно — вычисления происходят по кратчайшему контуру в схеме).

Log4Shell (CVE-2021-44228) — это уязвимость нулевого дня в лог Log4j, популярной среде ведения журналов Java, включающая выполнение произвольного кода. Уязвимость — её существование не было замечено с 2013 года — была раскрыта в частном порядке Apache Software Foundation, проектом которой является Log4j, Чен Чжаоцзюнь из группы безопасности Alibaba Cloud 24 ноября 2021 года и публично раскрыта 9 декабря 2021 года Уязвимость использует то, что Log4j разрешает запросы к произвольным серверам LDAP и JNDI, а не проверяет ответы,позволяя злоумышленникам выполнять произвольный код Java на сервере или другом компьютере или передавать конфиденциальную информацию. Список уязвимых программных проектов был опубликован группой безопасности Apache. Затронутые коммерческие службы включают Amazon Web Services, Cloudflare, iCloud,Minecraft: Java Edition, Steam, Tencent QQ и многие другие. По данным Wiz и EY, уязвимость затронула 93 % корпоративных облачных сред.