फ़र्ज़ी रिक्रूटर ने दुर्भावनापूर्ण कोडिंग चैलेंज से एयरोस्पेस कर्मचारियों को फंसाया
(welivesecurity.com)- स्पेन की एक एयरोस्पेस कंपनी के कर्मचारियों से LinkedIn पर Lazarus ने Meta रिक्रूटर बनकर संपर्क किया, और कंपनी डिवाइस पर भर्ती टेस्ट जैसे दिखने वाली फ़ाइल चलाने से शुरुआती घुसपैठ हुई
- दुर्भावनापूर्ण असाइनमेंट
Quiz1.exeऔरQuiz2.exeके रूप में भेजे गए; “Hello, World!” और Fibonacci sequence आउटपुट के बाद ISO image के अंदर मौजूद अतिरिक्त payload की स्थापना ट्रिगर हुई - घुसपैठ के बाद DLL sideloading के जरिए NickelLoader, miniBlindingCan और नया RAT LightlessCan तैनात किए गए; ESET ने इसे उच्च भरोसे के साथ Operation DreamJob से जुड़ी Lazarus गतिविधि बताया
- LightlessCan, BlindingCan का अगला रूप लगता है; यह RAT के अंदर ही
ipconfig,net,ping,systeminfo,scजैसे Windows commands की functionality की नकल करता है ताकि console execution के निशान कम हों - हमले का लक्ष्य cyber espionage था, और commands को अंदर समाहित करने की तकनीक तथा payload को केवल पीड़ित की मशीन पर decrypt होने देने वाले execution guardrails की वजह से real-time detection और बाद की forensic analysis और कठिन हो गई
LinkedIn भर्ती के झांसे से शुरू हुई शुरुआती घुसपैठ
- Lazarus ने स्पेन की एयरोस्पेस कंपनी के कई कर्मचारियों से LinkedIn Messaging के जरिए संपर्क किया
- हमलावर ने खुद को Facebook, Instagram और WhatsApp की parent company Meta का recruiter बताया
- भर्ती प्रक्रिया के हिस्से की तरह C++ programming कौशल साबित करने की मांग की गई
- पीड़ित ने third-party cloud storage पर मौजूद
Quiz1.isoऔरQuiz2.isoडाउनलोड किए और उनके अंदर की executable files कंपनी डिवाइस पर चलायाQuiz1.exe: “Hello, World!” output करने वाले सरल task के रूप में छिपाया गयाQuiz2.exe: input value से छोटी सबसे बड़ी element तक Fibonacci sequence output करने वाले task के रूप में छिपाया गया- दोनों executable files ने सामान्य console application की तरह input और output संभालने के बाद अतिरिक्त malicious payload installation शुरू किया
- पहला payload ESET द्वारा NickelLoader नाम दिया गया HTTP(S) downloader है
- NickelLoader, पीड़ित के computer की memory में हमलावर की पसंद के programs deploy कर सकता है
Lazarus attribution के आधार और Operation DreamJob
- ESET ने स्पेन के इस हमले को उच्च भरोसे के साथ Lazarus, खासकर Operation DreamJob से जुड़ी गतिविधि बताया
- malware, infrastructure और targets पिछले Lazarus campaigns से overlap करते हैं
- LinkedIn संपर्क के बाद भर्ती test के रूप में छिपी malicious file चलवाने की तकनीक Operation DreamJob के बाद Lazarus द्वारा इस्तेमाल की जाती रही tactic है
- 2022 के Netherlands मामले में देखे गए intermediate loader और BlindingCan family backdoor के नए variants देखे गए
- tools में AES-128 और 256-bit key इस्तेमाल करने वाला RC6 encryption इस्तेमाल हुआ, जो Amazon theme वाले campaign में भी इस्तेमाल किया गया था
- हमलावरों ने first-stage C&C server सीधे बनाने के बजाय कमजोर सुरक्षा या कम maintenance वाली मौजूदा websites को compromise करके इस्तेमाल किया
- एयरोस्पेस कंपनियों की know-how चोरी करना Lazarus के long-term goals से मेल खाता है
- UN reports बताती हैं कि North Korea-linked APT groups संवेदनशील तकनीक और एयरोस्पेस ज्ञान तक पहुंच पाने के लिए aerospace companies पर हमला करते हैं
घुसपैठ के बाद tools की संरचना
- NickelLoader execution के बाद हमलावर ने पीड़ित system पर दो तरह के RAT deploy किए
- miniBlindingCan: Lazarus tool के रूप में ज्ञात BlindingCan backdoor का reduced-function variant
- LightlessCan: पहले public रूप से documented नहीं किया गया नया RAT
- execution chain अलग-अलग complexity के कई stages से बनी है, जिसमें final RAT execution से पहले droppers और loaders रखे जाते हैं
- dropper embedded payload रखता है और file system पर लिखे बिना भी memory से सीधे load करके execute कर सकता है
- loader embedded encrypted array के बिना file system से payload लोड करता है
- प्रमुख files में ज्यादातर legitimate executable द्वारा malicious DLL load कराने वाली DLL sideloading structure है
PresentationHost.exe+mscoree.dll: trojanized NppyPluginDll based, NickelLoader deliver करता हैcolorcpl.exe+colorui.dll: LibreSSL 2.6.5 based, miniBlindingCan deliver करता हैfixmapi.exe+mapistub.dll: Notepad++ के लिए Lua plugin 1.4.0.0 based, LightlessCan deliver करता हैtabcal.exe+HID.dll: Notepad++ के लिए MZC8051 3.2 based, LightlessCan deliver करता है
LightlessCan की मुख्य विशेषताएं
- LightlessCan Lazarus के HTTP(S) RAT BlindingCan का successor लगता है, और मौजूदा version का internal version number
1.0है - इसे अधिकतम 68 commands support करने के लिए configured किया गया है, और current version में उनमें से 43 commands में functionality implemented है
- बाकी commands placeholder के रूप में मौजूद हैं लेकिन actual functionality नहीं है
- shared commands का order काफी हद तक preserved है, इसलिए यह BlindingCan source code पर आधारित लगता है
- सबसे बड़ा बदलाव कई Windows built-in commands की functionality को RAT के अंदर mimic करने का तरीका है
- implemented command examples में
ipconfig,net,netsh advfirewall,netstat,ping,reg,sc,tasklist,wmic process call create,nslookup,schtasks,systeminfo,arp,mkdirआदि शामिल हैं - पिछले Lazarus attacks में ये commands हमलावर द्वारा system में foothold हासिल करने के बाद console से कई बार चलाए जाने के मामले देखे गए थे
- इस बार यह तरीका original console utilities को visibly execute किए बिना RAT के अंदर process करता है, जिससे EDR जैसे real-time monitoring और बाद के digital forensic tools के लिए detection मुश्किल हो जाता है
- implemented command examples में
- ESET का मानना है कि LightlessCan developers ने Windows core utilities की नकल करने के लिए closed-source binaries को reverse engineer किया होगा
- Wine project में भी कई programs की implementations हैं, लेकिन LightlessCan द्वारा mimic की गई कुछ functionality Wine implementation से अलग थी या मौजूद नहीं थी
NickelLoader intrusion chain
- NickelLoader infected system पर चलने वाला HTTP(S) downloader है, जिसका उपयोग आगे Lazarus payloads deliver करने के लिए होता है
- जब victim quiz executable को manually run करता है, तो
PresentationHost.exeautomatic run होता है और उसीC:\ProgramShared\path की maliciousmscoree.dllsideload होती हैmscoree.dll, 2011 में inactive हो चुके General Python Plugins DLL for Notepad++ project केNppyPluginDll.dllकी trojanized file है- इसमें legitimate
mscoree.dllके exports और originalNppyPluginDll.dllके exports शामिल हैं, औरCorExitProcessexport में malicious code है
- embedded encrypted array decryption के लिए तीन 16-character keywords चाहिए
- parent process name
PresentationHost - binary में hardcoded internal parameter
9zCnQP6o78753qg8 - command line से passed external parameter
‑embeddingObject - तीनों keywords को byte-wise XOR करके AES-128 decryption key बनाई जाती है
- parent process name
- NickelLoader 5-letter commands में 4 commands पहचानता है
abcde: सामान्य लंबे sleep delay के बिना तुरंत अगली command requestavdrq: received buffer की DLL load कर hardcoded exportinfoexecute करता हैgabnc: received buffer की DLL load करता हैdcrqv: खुद को terminate करता है
- ESET ने 5-letter command structure से अमेरिकी 5-cent coin के slang nickel को ध्यान में रखते हुए इस payload को NickelLoader नाम दिया
miniBlindingCan execution chain
- NickelLoader द्वारा डाउनलोड और execute किए गए payloads में से एक miniBlindingCan है
- यह BlindingCan RAT का simplified version है, जिसे September 2022 में Mandiant ने पहली बार AIRDRY.V2 नाम से report किया था
- loading के लिए
C:\ProgramData\Adobe\से चलने वाला legitimatecolorcpl.exeऔर maliciouscolorui.dllइस्तेमाल होते हैंcolorui.dll64-bit malicious DLL है और VMProtect से obfuscated है- इसमें हजारों exports हैं, और
LaunchColorCplअगला stage execute करता है
- dropper execution की शुरुआत में analysis evasion functionality इस्तेमाल करता है
- PEB structure के
BeingDebuggedvalue की जांच करके anti-debugging करता है - sandbox environment detection से बचने के लिए anti-sandbox technique इस्तेमाल करता है
- parent process
colorcpl.exeहै या नहीं, यह स्पष्ट रूप से check करता है; नहीं होने पर तुरंत exit करता है
- PEB structure के
- final payload decryption में parent process name, dropper filename और external command-line parameter को जोड़कर बनी लंबी string XOR key के रूप में इस्तेमाल होती है
- result string example:
COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
- result string example:
- miniBlindingCan में BlindingCan जैसी command processing logic है लेकिन functionality काफी कम है
- यह system information भेजना, communication interval update करना, configuration भेजना और update करना, file download और decryption, तथा delivered shellcode execute करना support करता है
- decrypted configuration 9,392 bytes की है और इसमें maximum 260 wide character size के 5 URLs शामिल हैं
LightlessCan simple execution chain
- LightlessCan की simple chain
C:\ProgramData\Oracle\Java\से चलने वाले legitimatefixmapi.exeऔर maliciousmapistub.dllका उपयोग करती है mapistub.dll, Notepad++ के लिए Lua plugin 1.4 की trojanized DLL है- legitimate Windows
mapi32.dllके exports copy किए गए हैं FixMAPIexport अगले stage decryption और loading के लिए जिम्मेदार है- अन्य exports publicly available MineSweeper sample project के legitimate code से भरे गए हैं
- legitimate Windows
- इस dropper में scheduled task के जरिए persistence set की गई है
- ESET ने बताया कि इस task की details कम हैं, लेकिन parent process
%WINDOWS%\system32\svchost.exe -k netsvcs -p -s Scheduleलगता है
- ESET ने बताया कि इस task की details कम हैं, लेकिन parent process
- embedded data decryption में तीन keywords इस्तेमाल होते हैं
- parent process name
fixmapi.exe - internal parameter
IP7pdINfE9uMz63n - command-line external parameter
AudioEndpointBuilder - keywords byte-wise XOR होते हैं, और result 128-bit AES key बनता है
- parent process name
LightlessCan complex execution chain और execution guardrails
- अधिक complex LightlessCan chain legitimate application, initial dropper, full dropper, intermediate dropper, configuration file, system information file, intermediate loader और final LightlessCan RAT तक जाती है
- initial dropper malicious
HID.dllहै, जिसेC:\ProgramData\Adobe\ARM\से चलने वाला legitimatetabcal.exesideload करता हैHID.dll, Notepad++ के लिए 8051 C compiler plugin project केMZC8051.dllकी trojanized file हैHidD_GetHidGuidexport अगले stage drop के लिए जिम्मेदार है
- पहले decryption stage के लिए तीन keywords चाहिए
- parent process name
tabcal.exe - internal parameter
9zCnQP6o78753qg8 %WINDOWS%\system32\thumbs.dbfile contentLocalServiceNetworkRestricted- तीनों values को XOR करके 128-bit AES key बनाई जाती है
- parent process name
- बनने वाले full dropper के पास
AppResolver.dllनाम का InternalName resource है और इसमें दो encrypted data arrays शामिल हैं- 126-byte small array और 1,807,464-byte large array शामिल है
- small array 256-bit key इस्तेमाल करने वाले RC6 से decrypt होता है और
C:\windows\system32\oci.dllतथाC:\windows\system32\grpedit.datpaths देता है - large array decryption result में LightlessCan, intermediate dropper, और
%WINDOWS%\System32\wlansvc.cplमें drop होने वाली 14,948-byte encrypted configuration file शामिल होती है
- full dropper infected system की पहचान करने वाली कई characteristics
%WINDOWS%\System32\4F59FB87DF2Fमें save करता है- values मुख्यतः
Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOSregistry path से ली जाती हैं - इसमें
SystemBIOSDate,SystemBIOSVersion,SystemManufacturer,SystemProductName, और disk controller के अंतर्गतIdentifiervalues शामिल हैं - इन values की concatenated string file system में encrypted
grpedit.datdecryption के लिए जरूरी है
- values मुख्यतः
- यह structure execution guardrail की तरह काम करता है
- payload केवल intended victim computer पर ही decrypt हो, यह सुनिश्चित करता है, और security researcher के दूसरे devices पर decryption कठिन हो जाता है
detection evasion और analysis पर असर
- LightlessCan attack के बाद के stages में अक्सर इस्तेमाल होने वाले Windows command-line programs के execution traces को काफी कम कर सकता है
- command functionality को internal implementation से बदलकर original console utilities execution से बचता है
- command history logging और real-time detection में observable traces घट जाते हैं
- पूरे attack chain में कई defense evasion techniques जोड़ी गई हैं
- DLL sideloading
- VMProtect obfuscation
- dynamic Windows API resolution
- embedded payloads
- reflective DLL injection
- process injection
- debugger और sandbox evasion
- file system में encrypted tools और configurations
- C&C communication भी analysis और detection को मुश्किल बनाने के लिए design किया गया है
- LightlessCan और miniBlindingCan HTTP/HTTPS का उपयोग कर C&C से communicate करते हैं
- C&C traffic AES-128 से encrypted है
- traffic encoding में base64 इस्तेमाल होता है
- LightlessCan में data exfiltration functionality भी है और यह C&C server पर data बाहर भेज सकता है
IoC और MITRE ATT&CK summary
- प्रमुख initial file IoC
C273B244EA7DFF20B1D6B1C7FD97F343201984B3:%TEMP%\7zOC35416EE\Quiz1.exe, “Hello World” challenge के रूप में disguised initial dropper38736CA46D7FC9B9E5C74D192EEC26F951E45752:%TEMP%\7zOCB3CC96D\Quiz2.exe, Fibonacci sequence challenge के रूप में disguised initial dropperC136DD71F45EAEF3206BF5C03412195227D15F38:C:\ProgramShared\mscoree.dll, NickelLoader dropperE61672B23DBD03FE3B97EE469FA0895ED1F9185D: NickelLoader HTTPS downloader
- प्रमुख LightlessCan-related file IoC
0F33ECE7C32074520FBEA46314D7D5AB9265EC52:%ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, LightlessCan dropperC7C6027ABDCED3093288AB75FAB907C598E0237D:mapistub.dllद्वारा drop किया गया LightlessCanE18B9743EC203AB49D3B57FED6DF5A99061F80E0:%ALLUSERSPROFILE%\Adobe\ARM\HID.dll, complex chain का initial dropper3007DDA05CA8C7DE85CD169F3773D43B1A009318:%WINDIR%\system32\grpedit.dat, complex chain में drop किया गया LightlessCan247C5F59CFFBAF099203F5BA3680F82A95C51E6E:%WINDIR%\system32\oci.dll, intermediate dropper
- C&C compromised legitimate sites का उपयोग करता है
bug.restoroad[.]comhurricanepub[.]comturnscor[.]commantis.quick.net[.]plwww.radiographers[.]orgkapata-arkeologi.kemdikbud.go[.]idbarsaji.com[.]mxwww.keewoom.co[.]krkerstpakketten.horesca-meppel[.]nlkittimasszazs[.]hunrfm[.]lk
- MITRE ATT&CK के अनुसार इसमें social media reconnaissance, spearphishing links और services, malicious file user execution, scheduled tasks, DLL sideloading, execution guardrails, command history logging weakening, web protocol C&C, symmetric encrypted channel, और C2 channel के जरिए exfiltration mapped हैं
1 टिप्पणियां
Hacker News की राय
घर से किए जाने वाले LeetCode असाइनमेंट के जरिए घुसपैठ करना काफ़ी चतुराई भरा है
मैं Apple सॉफ़्टवेयर डेवलप करता हूँ, और Xcode प्रोजेक्ट काफ़ी गहराई तक जा सकते हैं। Apple डाउनलोड किए गए प्रोजेक्ट खोलते समय चेतावनी तो दिखाता है, लेकिन अगर आप इसे घर से करने वाला असाइनमेंट समझ रहे हों, तो उसे लगभग नज़रअंदाज़ कर देते हैं
ऑनलाइन असाइनमेंट भी पेचीदा access permissions मांग सकते हैं, और ऐसे targets के पास कंपनी के मुख्य assets तक काफ़ी ऊँचा access होने की संभावना भी अधिक होती है। बेशक नौकरी खोजने के लिए कोई कंपनी resources इस्तेमाल नहीं करेगा, लेकिन अगर कहा जाए कि ऐसा काफ़ी बार होता है, तो यहाँ सब लोग बहुत संवेदनशील प्रतिक्रिया देंगे
एक applicant अपने ही project का REPL तक शुरू नहीं कर पाया, और जूझते-जूझते बड़बड़ाया, “काश कंपनी वाला computer ही इस्तेमाल कर लिया होता।” अपने personal computer पर सबसे बुनियादी run भी न हो पाना मतलब उसने assignment company computer पर किया था
यह ध्यान रखना चाहिए कि 1996 में personal email addresses आज जितने आम नहीं थे, फिर भी यह एक शुरुआती स्तर की गलती थी। बहुत पहले से मैं company computer पर personal काम नहीं करते वाला सिद्धांत मानता आया हूँ, लेकिन यह आम रवैया नहीं था
यह perfect solution तो नहीं होगा, लेकिन अच्छा होगा अगर project को ऐसे mode में खोला जा सके जहाँ सभी build steps sandbox में चलें। अगर fail हो, तो देख सकते हैं कि वह क्या करने की कोशिश कर रहा था
सच कहूँ तो लगता नहीं कि मेरे ज़्यादातर colleagues इसी level की due diligence करते हैं
जब भी मैं लोगों को मौजूदा company equipment से home assignment, headhunter emails, और दूसरी कंपनियों के interview calls करते देखता हूँ, हैरान रह जाता हूँ
कई लोगों ने कहा है कि वे ऐसा करते हैं, लेकिन मुझे समझ नहीं आता। संभावित नतीजे बहुत ज़्यादा हैं। एक overly motivated manager ने कभी personal contacts के जरिए मेरे future employer को मुझे hire न करने के लिए मनाने की कोशिश भी की थी, सिर्फ़ इसलिए कि उसे पता चल गया था
भले ही यह unethical या illegal हो, ऐसी चीज़ें सच में होती हैं, और बड़ी tech companies में भी होती हैं। job search की details अपने employer के साथ voluntarily share करने की बात सोचें तो अजीब लगता है। काम और personal life को धर्म और राज्य के अलगाव की तरह अलग नहीं होना चाहिए क्या
वे software developers हैं और laptop खरीदने की हैसियत पूरी तरह रखते हैं। मैं इतना ही mix करता हूँ कि छोटा, हल्का और Bluetooth वाला company laptop इस्तेमाल करके बर्तन धोते समय harmless YouTube videos देख लेता हूँ। पहले कभी-कभी office में print करने के लिए भी इस्तेमाल किया था
मैं पूरी तरह सहमत हूँ कि risk बड़ा है और ऐसा नहीं करना चाहिए, लेकिन अगर लोग गहराई से नहीं सोचते या लगातार alert नहीं रहते, तो यह आसानी से हो सकता है
बेवजह risk क्यों बढ़ाना। शायद उन्हें वही thrill पसंद हो
क्या attacker ने यह बहाना बनाकर .exe file भेजी कि victim को functionality C++ में replicate करनी है? जैसे ही कोई आपको .exe file भेजता है, यह attack होने का, या कम से कम sender के अविश्वसनीय रूप से technically incompetent होने का strong signal होना चाहिए
हालांकि शायद मैं ऐसा इसलिए सोचता हूँ क्योंकि मैंने Windows 95 वाला दौर देखा है। लगता है कुछ lessons हर generation को फिर से सीखने पड़ते हैं
कितने लोगों से अजीब test करने को कहा गया और उन्होंने “तो मैं नहीं करूँगा” कहा, यह हमें पता नहीं। आजकल applications को sandbox में चलाना काफ़ी आसान है, फिर भी न करना मूर्खता है। Sandboxie free है और हमेशा काम करने की guarantee नहीं, लेकिन यह शायद successful हो सकता था, या कम से कम अजीब behavior को noticeable बना देता। Windows Pro में भी कुछ समय तक executable को sandbox में चलाने का right-click menu option था
title देखकर पहले मुझे लगा था कि infection IDE के जरिए हुआ होगा। “क्या आप इस project author पर भरोसा करते हैं” जैसे सवाल होने की वजह होती है, और VS Code के मामले में Git settings trick से prompt से पहले code execution तक संभव है
मैं program चलाने में सावधान रहूँगा, लेकिन अगर recruiter Git repository में अधूरे project के रूप में coding assignment भेजे, तो “allow code execution” button दबाने की संभावना काफ़ी है। खासकर remote interview में अगर वे live code देखते हुए कहें कि “हम problem approach देखना चाहते हैं,” तो यह और plausibly हो सकता है। यह attack बहुत basic है, लेकिन initial infection को समय पर detect करना मुश्किल बनाना कठिन नहीं है
downloaded या attached executable चलवाना simple है, लेकिन अभी भी effective लगता है। इससे ज़्यादा शातिर और effective तरीका यह होगा कि “assignment” project वाली GitHub repository की तरफ point किया जाए, और victim जब अपना solution test करे तो वह ऐसी compromised package को reference करे जो attacker की मनचाही चीज़ कर दे
मुझे पता है कि वे साधारण script kiddies नहीं हैं, लेकिन अगर counterattack की कोशिश की जाए तो वे कैसे react करेंगे, यह जानने की उत्सुकता है। अगर वे .exe देकर run करने को कहें, तो मैं उसे run नहीं करूँगा और hex editor में खोलकर inspect करूँगा। अगर “hello world” या Fibonacci generator बताई गई file expected से बहुत बड़ी हो, या उसमें encrypted जैसी दिखने वाली data या obfuscation attempts हों, तो मैं उसे नहीं चलाऊँगा
अगर source को lock किया जा सके और हर candidate के लिए details बदली जा सकें, तो online posted solutions मददगार नहीं होंगे
सरकारी प्रोग्राम्स की consulting करते समय मैंने जानबूझकर अपना résumé इंटरनेट पर नहीं डाला था
मेरे पास ऐसा कोई access नहीं था जो किसी spy के काम आए, लेकिन कुछ keywords देखकर ऐसा लग सकता था। LinkedIn पर keyword search में दिखने वाले हर व्यक्ति को spam भेजने वाले recruiters की तरह
मुझे पता था कि किसी भी security incident की report करनी होती है, और मुझे लगा कि कोई सतर्क bureaucracy incident को handle करते-करते contract और income रुकवा सकती है। इसलिए मैंने online résumé हटा दिया, और यह सुनिश्चित करने के उपाय भी किए कि कोई random चोर गलती से work laptop न चुरा ले
अब मैं वह काम छोड़ चुका हूँ, इसलिए बाकी लोगों की तरह LinkedIn पर Junior Python Leetcode Hazing Engineer जैसी recruitment spam का आनंद ले रहा हूँ
कुछ roles या industries में employment status को public न करना targeted attacks रोकने के लिए एक सामान्य security measure हो सकता है। real world में देखें तो CIA agents विदेश में CIA की मुहर वाले business cards बाँटते नहीं फिरेंगे
मैं भी कुछ हद तक नहीं चाहता कि कुछ लोगों को पता चले कि मैं कहाँ काम करता हूँ, लेकिन मुझे लगता है कि current job का ज़िक्र न करने वाला पुराना résumé online रहने देना ठीक है। मैंने HR head से यह भी कहा था कि public “हमारी team” page पर मेरा नाम कभी न डाला जाए
side effect यह है कि targeted attack response methods और phishing email examples दिखाने वाली mandatory corporate security training में हर बार हँसी आ जाती है। अब तक penetration testing vendor के tests को छोड़कर मुझे एक भी targeted phishing नहीं मिली
कौन-सा बेवकूफ company equipment पर personal काम करता है, यही सोचता हूँ
बात गरीब लोगों की नहीं है, बल्कि उन लोगों की है जिनके पास अपनी personal equipment खरीदने के लिए पर्याप्त पैसे हैं
मेरा personal computer एक तरह का heater है जो video games भी चला सकता है, इसलिए उसे default रूप से इस्तेमाल नहीं करता। तीसरा device खरीदने की हैसियत है, लेकिन उस पैसे से बेहतर काम किए जा सकते हैं
हाँ, company के security rules follow करने की कोशिश करता हूँ। मैं company पर भरोसा करता हूँ। ऐसी company में काम नहीं करना चाहता जिसे मैं अपने browser cookies नहीं सौंप सकता। जिस jurisdiction में मैं रहता हूँ वहाँ law भी मेरे पक्ष में है। company सिर्फ इसलिए मुझे fire नहीं कर सकती कि मैंने company laptop पर कुछ ऐसा किया जो उसे पसंद नहीं है; इसके लिए बहुत valid reason चाहिए
जब मैं college intern था और बहुत ज्यादा गरीब था, तब मैंने भी यही किया था
login नहीं करता, और work laptop पर movie देखने तक सीमित रहने में मज़ा आता है
इस मामले में victim aerospace company में काम करता था। मैं उस industry के कुछ लोगों को जानता हूँ, वहाँ सभी बेहिसाब लंबे hours काम करते हैं। ऊपर से यह Spanish company थी, तो शायद 10 घंटे से ज्यादा काम करना सामान्य माना जाता हो
थोड़ा अलग विषय है, लेकिन अगर North Koreans को government employee बनने से पहले internet access भी मुश्किल से मिलता है, तो मैं सोचता हूँ कि Lazarus/HIDDEN COBRA इतने sophisticated state-sponsored attackers कैसे बन जाते हैं
modern security research, open source projects, programming material और असली फैल रहे malware तक access न हो तो बेहतरीन hackers की पीढ़ी तैयार होना मुश्किल नहीं होगा? शायद वे firewall bypass करने वालों को पकड़कर unit jobs offer करते हों
और मुझे यह भी जानना है कि लोग hackers को train कैसे किया जाता है, ऐसा क्या सोचते हैं। React nightly build से to-do app बनाना सिखाने से काम नहीं चलता। वे शायद Ethernet और TCP/IP stack बनाने वालों से भी बेहतर इन्हें रटकर, उल्टा भी सुना सकते होंगे, और सिर्फ इतना ही बहुत सी चीजें hack करने के लिए काफी है
जिस देश में food, electricity आदि बहुत सी चीजों की कमी है, वहाँ यह बेहद coveted job है। और जानना हो तो Lazarus Heist podcast सुन सकते हैं
हमारे इलाके की 300 staffing agencies में से सिर्फ 23 के पास service के रूप में legally operate करने का permit है, इसलिए यह हैरानी की बात नहीं
कौन fake है और कौन real, इसे verify करने की कोशिश करना एक ऐसा धागा है जिसे ज्यादातर companies और applicants खींचना नहीं चाहेंगे
fake recruitment scams भी होते हैं। employee को attractive compensation package देकर निकाल लेते हैं, फिर competitor data निकालता है और evaluation period खत्म होने से पहले, आमतौर पर 6–10 महीनों के अंदर, उसे बाहर कर देता है। कई malicious actors बढ़ा-चढ़ाकर promises के साथ infected PDFs भी फैला रहे हैं
सावधान रहना चाहिए, और 86Box Bochs/kvm की तरह read-only backing images और sessions support करता है: https://github.com/86Box/86Box/releases
Apple M1 laptop पर भी चलता है, लेकिन slow है
ऐसी बुरी चीजें सच में होती हैं
2019 में head office द्वारा दिए गए free Wi-Fi के जरिए laptop hack हो गया था और सभी SSH keys बदलनी पड़ी थीं
“दो malicious executables… पहला Hello World project… दूसरा input value से छोटे सबसे बड़े element तक Fibonacci sequence print करता है” — यह पहला संकेत होना चाहिए था कि कुछ गड़बड़ है
Meta होता तो LeetCode medium या hard से शुरू करता
इस website की security शानदार है
page content scroll करते समय arrow keys इस्तेमाल करने से रोक रखा है। यकीनन keyboard के जरिए किसी unknown attack vector की वजह से होगा। कमाल है