• OFFZONE 2018 приветствует новобранцев

      Когда: 15-16 ноября 2018 года
      Где: Digital October (Москва, Берсеневская набережная, 6, стр. 3)
      Официальный сайт: www.offzone.moscow
      CFP: offzone.moscow/cfp (до 5 октября 2018 года)
      Купить билет: offzone.moscow/ru/tickets



      Международная конференция OFFZONE 2018 впервые пройдёт 15-16 ноября в Москве и объединит на своей площадке профессионалов, признанных экспертов и исследователей в области практической кибербезопасности.

      Никаких пиджаков, никакого бизнеса — только hardcore research. В этом главный тезис конференции OFFZONE 2018. Она о знаниях, полученных на собственном опыте. Об исследованиях увлеченных людей. О труде, который позволил добиться серьезных результатов и, конечно, огромной любви к своему делу.

      Штаб конференции будет располагаться в одном из исторических центров Москвы — на территории пространства Digital October (ранее фабрика «Красный Октябрь»). На протяжении двух дней тематика постапокалипсиса и культовой игры Fallout будет сопровождать каждого, кому удастся попасть в штаб конференции.

      Участники – новые герои пространства OFFZONE, которые смогут не только получить уникальные опыт и знания специалистов-практиков, но и проверить свои навыки в деле. Но обо всем по порядку.
      Читать дальше →
    • Новая техника атак на основе Meltdown. Использование спекулятивных инструкций для детектирования виртуализации

        Атака Meltdown открыла новый класс атак на процессоры, использующий архитектурные состояния для передачи информации. Но спекулятивное исполнение, которое было впервые применено для атаки в Meltdown, позволяет не только выполнить код со снятием ограничений, но и узнать определенные детали работы процессора. Мы нашли новый способ реализации атаки с использованием архитектурных состояний. Он позволяет детектировать виртуализацию, опираясь на то, как процессор выбирает, отправлять инструкции на спекулятивное исполнение или нет. Мы сообщили о данном способе в Intel, и 21 мая 2018 года было выпущено оповещение об уязвимостях «Q2 2018 Speculative Execution Side Channel Update», в котором присутствует наша уязвимость CVE-2018-3640 или Spectre Variant 3a.
        Читать дальше →
      • Dimnie: от гиков с GitHub до корпоративных бухгалтеров

          Введение


          В то время как ИБ-сообщество России внимательно наблюдает за новыми атаками известных преступных групп Carbanak, Buhtrap и RTM, в стане финансовых угроз незаметно произошло пополнение. И вызвано оно не появлением совершенно нового банковского трояна, а добавлением банковского модуля к ранее известному шпионскому ПО Dimnie.

          Dimnie — троян для сбора информации (снимков экрана, клавиатурных нажатий и т.д.) и получения удаленного доступа к зараженным системам. Совсем недавно, в январе, нам попался один из его новых модулей для подмены платежей 1С, и тогда стало понятно, что авторы Dimnie кражей информации ограничиваться не хотят.

          Известность Dimnie приобрел еще в начале 2017 года, когда атаковал пользователей сервиса GitHub (более подробно об этом писали коллеги из Palo Alto Networks). Но согласно данным Virus Total, троян этот далеко не новый: злоумышленники вовсю используют его аж с середины 2014 года, — именно тогда впервые засекли образцы исполняемых файлов Dimnie.
          Читать дальше →
        • Результаты первого тура CTFzone

            На прошлых выходных, 15-16 июля, состоялся первый этап выборов президента CTFzone. Первый онлайн этап CTFzone является отборочным туром для основного круга президентских выборов, которые пройдут этой осенью в рамках конференции ZERONIGHTS 2017. В отборочном туре приняли участие 765 команд со всех уголков планеты – президентская компания CTFzone привлекла внимание участников из 81 страны мира.

            image
            Читать дальше →
          • PETYA malware. Recovery is possible


              27 июня в сети начали появляться сообщения о быстром распространении вредоносной программы – шифровальщика Petya, выполняющей шифрование данных на компьютере жертвы. Атаке подверглись крупные корпорации России, Украины, ЕС, США и ряда других стран. Специалисты компании BiZone провели подробный анализ работы вредоноса. Ниже приведены результаты исследования, а также рекомендации по его удалению с компьютера жертвы и восстановлению данных.
              Читать дальше →
            • BI.ZONE объявляет выборы президента CTFzone



                Последний год по праву можно назвать «годом выборов». Повсюду переполох и шум, страсти не стихают уже который месяц. Настала очередь CTFzone!

                Компания BI.ZONE объявляет о проведении выборов президента CTFzone. Выборы будут максимально свободными и независимыми – никаких партий и звезд политической арены, только Вы и Ваш кандидат. Командам предлагается сыграть роль избирательного штаба и помочь своему кандидату одержать победу.
                Читать дальше →
              • Недокументированные возможности Windows: регистрация событий доступа к ключам реестра

                  Начиная с Windows 8 пользователи операционной системы могут заметить в журнале системных событий такое сообщение: «The access history in hive […] was cleared updating [...] keys and creating [...] modified pages». Что же скрывается за этим сообщением?
                  Читать дальше →
                  • +16
                  • 7,6k
                  • 3
                • Недокументированные возможности Windows: скрываем изменения в реестре от программ, работающих с неактивным реестром

                    Можно ли создать такой ключ реестра, который будет виден в Windows в составе активного (подключенного) реестра, но не будет виден программам, работающим с неактивным (отключенным) реестром? Оказывается, если у вас есть возможность изменить лишь одну переменную ядра (например, с помощью драйвера), то да, способ есть.
                    Читать дальше →
                  • Так ли безопасно использование абсолютного пути в *nix системах, как мы привыкли считать?

                      image


                      Идея редактирования переменных окружения пользователя для повышения прав при тестировании на проникновение стара как мир. По этой теме написано множество статей, и даже в книгах начали появляться советы по использованию абсолютного пути вместо относительного. Вот пример такого совета из довольно известной книги Unix и Linux. Руководство системного администратора (4 издание):


                      …
                      Рекомендуем взять за правило при вводе команды указывать полное имя, например /bin/su или /usr/bin/su, а не просто su. Это послужит определенной защитой от тех программ с именем su, которые преднамеренно были прописаны в переменной среды path злоумышленником, намеревавшимся собрать хороший “урожай” паролей.
                      …

                      Но так ли это безопасно? Если вы тоже задавались этим вопросом, то добро пожаловать под кат.


                      Читать дальше →
                    • Недокументированные возможности Windows: точки остановки для ключей реестра

                        Иногда в процессе обратной разработки какой-либо программы (в том числе драйвера) может потребоваться прервать ее исполнение в момент совершения некоторого действия с определенным ключом реестра, в такой ситуации можно воспользоваться недокументированной функциональностью точек остановки для ключей реестра.

                        Впервые точки остановки для ключей реестра появились в Windows XP, где была реализована возможность исполнения ядром инструкции int 3 при открытии ключа реестра с пометкой (отладочным флагом) BREAK_ON_OPEN или при создании подключа в составе такого ключа.
                        Читать дальше →
                        • +31
                        • 11,8k
                        • 4
                      • Аппаратные или программные блокираторы записи — что надежнее?

                          Являются ли аппаратные блокираторы записи более надежными по сравнению с программными?


                          Предисловие


                          Проведение криминалистических исследований при расследовании инцидентов информационной безопасности, производство судебных экспертиз и многие другие направления деятельности, связанные с компьютерной криминалистикой, требуют максимально возможного сохранения целостности исследуемых данных. Для этого используются блокираторы записи — программы или устройства, не позволяющие записать что-либо на исследуемый накопитель. Необходимость применения таких средств происходит как из требований процессуального законодательства (например, УПК РФ), так и из различных рекомендаций методического и иного характера, а также из стандартов (например, СТО БР ИББС-1.3-2016). Некоторые аспекты функционирования блокираторов записи и будут рассмотрены в настоящей статье.


                          Один из ранних аппаратных блокираторов записи (2002 год)
                          Читать дальше →
                          • +15
                          • 8,2k
                          • 9
                        • CTFzone write-ups — Grand Finale

                            image


                            Друзья, настало время раскрыть последнюю тайну CTFzone. Мы готовы опубликовать райтап на одно из самых сложных заданий соревнований – OSINT на 1000 очков. Как и в случае с Reverse 1000, мы решили вынести последнее задание ветки в отдельный пост ввиду большого размера и сложности.


                            Решения на таски попроще мы публиковали ранее, и теперь пришло время финального аккорда. Мы постарались сделать наш заключительный райтап максимально подробным, поэтому статья получилась длинной и интересной. Все готовы? ;)


                            Читать дальше →
                          • CTFzone write-ups — Deeper into the WEB

                              image


                              Друзья, надеемся, что выходные у всех прошли хорошо, и вы снова готовы немного поломать голову над заданиями CTFzone. Мы продолжаем публиковать райтапы к таскам, и сегодня мы разберем ветку WEB. На всякий случай запасайтесь кавычками и вперед ;)


                              Направление WEB было вторым по популярности после Forensics, в общей сложности хотя бы одно задание решили 303 человека. Кстати, из них задание на 1000 решили всего пять участников, поэтому ему мы уделим особое внимание. Задания на 50 и на 100 уже публиковались, так что мы сразу перейдем к таскам посложнее.


                              Читать дальше →
                            • CTFzone write-ups — MISC it all up

                                image


                                Друзья, по сложившейся за последний месяц традиции мы предлагаем вам начать новую неделю с нового райтапа. В этом посте мы подробно разберем задания из направления MISC, куда вошли все задания, не подходящие ни под какую другую категорию. Тут был нужен особенный креатив ;)


                                Ветка MISC нашла отклик в душе наших игроков — за время соревнований мы получили около 300 флагов. Заметим, что из всех тасков на 1000, задание из этой категории было наиболее популярным — над ним ломали голову многие, но успеха достигли всего несколько человек. Поэтому мы решили пропустить задания на 50 и 100 очков и сразу перейти к более сложным и интересным заданиям. Поехали!


                                Читать дальше →
                                • +10
                                • 4,2k
                                • 2
                              • CTFzone write-ups – Shall I reverse it?

                                  image


                                  Друзья, бурные выходные прошли, и мы готовы представить вам новую партию райтапов – на этот раз мы подробно разберем задания ветки Reverse. Надеемся, вы уже разобрались с двумя заданиями из OSINT и готовы полностью погрузиться в процесс реверс-инжиниринга. Обещаем, будет интересно ;)


                                  Это направление имело большую популярность среди участников — одно только задание на 100 решили 103 человека. Однако, таск на 1000 так и остался нерешенным. Поэтому, как и в случае с OSINT, райтап на самое сложное задание CTFzone будет опубликован несколько позже в отдельном посте. А сейчас бросайте все свои дела, и полный вперед!


                                  Читать дальше →
                                  • +11
                                  • 4,8k
                                  • 6
                                • CTFzone write-ups – Going 300, going 500, OSINT sold

                                    image


                                    Друзья, спасибо за проявленную активность в чате и по ссылке с заданиями – ваши заинтересованность и увлеченность мотивируют нас работать по 25 часов в сутки, и это не предел! В связи с увеличением нашего светового дня мы уже готовы представить вам следующую партию райтапов – на этот раз мы рассмотрим ветку OSINT.


                                    Судя по количеству решенных заданий, данное направление оказалось довольно сложным и требовало проявления максимума изобретательности. Примечателен тот факт, что задание на 500 решили всего два человека, а с таском на 1000 справился только один участник. Поэтому в этой статье мы опубликуем решения только на два задания – на 300 и на 500 очков, а райтап на 1000 будет несколько позже в отдельном посте. Следите за обновлениями ;)


                                    Читать дальше →
                                    • +16
                                    • 6,8k
                                    • 2
                                  • CTFzone write-ups – First comes Forensics



                                      Прошло несколько дней после окончания CTFzone от компании BI.ZONE, а наши смартфоны до сих пор разрываются от уведомлений Telegram – чат с участниками битвы после конференции стал еще более оживленным. По отзывам игроков, многие задания CTFzone были очень нестандартными и действительно непростыми. Во время соревнования мы пообещали участникам, что, как только наши разработчики отоспятся и придут в себя, мы выложим райтапы для всех заданий в нашем блоге.

                                      Начнем мы с направления Forensics, и в этой статье представляем вам решения на все таски – от задания на 50 до 1000. Мы знаем, что hackzard опередил нас и уже выложил райтапы к заданиям на 50 и 100, но с более крутыми тасками будет сложнее ;)
                                      Читать дальше →
                                      • +10
                                      • 7,1k
                                      • 2
                                    • Решение пасхалки из анонса CTF от Bi.Zone


                                        За несколько недель перед стартом регистрации на CTF, организованный компанией BI.Zone, на различных информационных порталах был выложен анонс этого мероприятия.

                                        Если посмотреть на анонс, например, на сайте ZN2016, то можно заметить некоторую странность в форматировании текста.
                                        Читать дальше →
                                      • CTF от Bi.Zone на ZeroNights2016

                                          Capture Your Chance – регистрация на CTFzone от BI.ZONE объявляется открытой.




                                          «Форензика вся? Где дескрипшн реверса на 100? Почему опять лагает регистрация?!» — в двадцатых числах октября подобные возгласы слышались с утра до вечера. Бессонные ночи, несколько чашек кофе каждое утро, стопки коробок из-под пиццы и пирамиды пустых банок энергетиков – так выглядела жизнь разработчиков компании BI.ZONE последние несколько месяцев. Никто не жалел себя, чтобы подготовить интереснейший ивент, проводимый в рамках международной конференции по кибербезопасности ZERONIGHTS 2016 – соревнование Capture the Flag (CTF) от компании BI.ZONE.
                                          Читать дальше →

                                        Самое читаемое