Pull to refresh

Технология борьбы с MiniDuke. Простая защита от сложных угроз?

«Лаборатория Касперского» corporate blog Information Security *
Всего год назад многие были уверены, что целевые атаки (не путать с кибероружием) были направлены исключительно на американские и западноевропейские компании. Однако, разоблачение кибер-операции Red October экспертами «Лаборатории Касперского» позволило развеять миф об узкой географической направленности подобных угроз.

Очередное доказательство масштабности не заставило себя долго ждать. 27 февраля «Лаборатория Касперского» опубликовала новый отчёт об исследовании ряда инцидентов, связанных с кибершпионажем против правительственных учреждений и научных организаций по всему миру. Вредоносная программа MiniDukе и сегодня продолжает атаковать своих жертв из Украины, Бельгии, Португалии, Румынии, Чехии, Ирландии и других стран. Специально для Хабра отчет об этой новой угрозе подготовил заместитель руководителя глобального центра исследований, руководитель отдела технологического позиционирования «Лаборатории Касперского» Владимир Заполянский.

image
Твит аккаунта, созданного операторами командных серверов и содержащий определенный тег, которым помечен зашифрованный URL-адрес, предназначенный для использования бэкдорами.
Читать дальше →
Total votes 32: ↑16 and ↓16 0
Views 6.2K
Comments 9

Возвращение Shamoon: охота за саудовской нефтянкой

«Лаборатория Касперского» corporate blog Information Security *
Помните, как в 2012 году мы препарировали интересного зловреда Shamoon, действующего на Ближнем Востоке? Если не помните, то коротко напомню: то был сетевой червь, уничтожающий содержимое жестких дисков зараженных машин. В коде полно ошибок и, мягко говоря, неоптимальных решений, однако ж Shamoon записал на свой счет более 30 тысяч машин, принадлежащих нефтяным компаниям Saudi Aramco и RasGas, а после залег на дно. Так вот, он вернулся, и не один.
Читать дальше →
Total votes 17: ↑16 and ↓1 +15
Views 11K
Comments 3

По следу Cobalt: тактика логической атаки на банкоматы в расследовании Group-IB

Group-IB corporate blog Information Security *Payment systems *Reverse engineering *
image

В июле 2016 года работа First Bank, одного из крупнейших банков Тайваня, была парализована. Банк столкнулся с масштабной атакой: люди в масках одновременно опустошили три десятка банкоматов на $2 млн. Полиция терялась в догадках: на корпусах банкоматов не было ни следов взлома, ни накладных устройств — скиммеров. Злоумышленники даже не использовали банковские карты.

Как все происходило, зафиксировали видеокамеры: люди в масках подходили к банкоматам, звонили по мобильному — банкомат выдавал деньги, преступники складывали их в рюкзаки и убегали. После такого масштабного налета восемь крупнейших банков страны приостановили выдачу наличных в 900 банкоматах.

То, с чем столкнулся First Bank, называется логической атакой. Ее суть в том, что киберпреступники получают доступ к локальной сети банка и из нее устанавливают полный контроль над банкоматами. Удаленно они получают команду на выдачу денег. Сообщники взломщиков — “мулы” — забирают деньги и передают их организаторам атаки. Таким образом Cobalt — самая активная и опасная преступная группа — меньше чем за год атаковала банки в двух десятках стран мира.
Читать дальше →
Total votes 24: ↑24 and ↓0 +24
Views 40K
Comments 17

Lazarus вездесущий

«Лаборатория Касперского» corporate blog Information Security *
Взлом Sony Entertainment, ограбление центробанка Бангладеш и дерзкие атаки на систему SWIFT по всему миру, уничтожение данных южнокорейских медиа- и финансовых компаний. Казалось бы, между этим акциями нет ничего общего. И каждый раз это были одни и те же ребята из группы Lazarus.

Впечатляют и масштаб кампаний, и разнообразие, и объем затрат – только наши исследователи смогли увязать с Lazarus более 150 вредоносных инструментов! Фактически для каждой атаки хакеры писали новые инструменты – от эксплойтов до стирателей. Код был новый, но не полностью, что в конечном итоге их и выдало. Подробный отчет об известной деятельности Lazarus содержит 58 страниц, здесь же я приведу наиболее любопытные моменты.
Читать дальше →
Total votes 35: ↑32 and ↓3 +29
Views 15K
Comments 23

Как выглядят современные целевые атаки

Trend Micro corporate blog Information Security *
image

Целевые кибератаки отличаются от массовых хакерских атак тем, что направлены на конкретную компанию или организацию. Такие атаки максимально эффективны, поскольку спланированы и персонализированы с использованием собранной о жертве информации. Всё начинается со сбора сведений. Как правило, это самая длительная и трудоёмкая часть операции. А далее нужно подготовить и провести нападение. Со стороны всё выглядит довольно сложно и кажется, что провернуть такое под силу лишь элитным взломщикам. Однако реальность выглядит иначе.
Читать дальше →
Total votes 13: ↑10 and ↓3 +7
Views 5.1K
Comments 1

Расследуем целевую шпионскую атаку на российский ТЭК

Доктор Веб corporate blog Spamming and anti-spamming Information Security *Antivirus protection *


Наш опыт расследования инцидентов в сфере компьютерной безопасности показывает, что электронная почта по-прежнему является одним из самых распространенных каналов, используемых злоумышленниками для первичного проникновения в атакуемые сетевые инфраструктуры. Одно неосмотрительное действие с подозрительным (или не очень) письмом становится точкой входа для дальнейшего заражения, поэтому киберпреступники активно применяют методы социнженерии, пусть и с переменным успехом.

В этом посте мы хотим рассказать о нашем недавнем расследовании спам-кампании, нацеленной на ряд предприятий топливно-энергетического комплекса России. Все атаки происходили по одному сценарию с использованием поддельных электронных писем, при этом над текстовым содержанием этих писем, кажется, никто особо не старался.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 5.2K
Comments 1

Сравниваем код модульных APT-бэкдоров

Доктор Веб corporate blog Information Security *Antivirus protection *Reverse engineering *


В июле 2020 года мы выпустили исследование целевых атак на государственные учреждения Казахстана и Киргизии с подробным разбором вредоносных программ, найденных в скомпрометированных сетях. Список тогда получился настолько внушительный, что одни только IoC’и заняли несколько страниц текста. В процессе расследования этих инцидентов среди прочего ВПО мы изучили образцы мультимодульных бэкдоров PlugX, которые использовались для первичного заражения локальных сетей пострадавших организаций. Применение программ этого семейства свидетельствует о возможной причастности к атакам китайских APT-групп.

Главный объект изучения сегодняшней статьи — бэкдор ShadowPad — попал в нашу вирусную лабораторию с одного из зараженных компьютеров локальной сети госучреждения Киргизии. Различные модификации этого семейства являются известным инструментом Winnti — APT-группы предположительно китайского происхождения, активной как минимум с 2012 года. В ходе экспертизы мы также обнаружили несколько модификаций PlugX, установленных на том же компьютере.

Рассмотрим некоторые алгоритмы работы обоих бэкдоров и уделим внимание сходствам в коде, а также некоторым пересечениям в их сетевой инфраструктуре.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 1.6K
Comments 0

Исследование целевых атак на российские НИИ

Доктор Веб corporate blog Information Security *Antivirus protection *Reverse engineering *

В конце сентября 2020 года в вирусную лабораторию «Доктор Веб» за помощью обратился один из российских научно-исследовательских институтов. Сотрудники НИИ обратили внимание на ряд технических проблем, которые могли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети. В ходе расследования мы установили, что на НИИ была осуществлена целевая атака с использованием ряда специализированных бэкдоров. Изучение деталей инцидента показало, что сеть института была скомпрометирована задолго до обращения к нам и, судя по имеющимся у нас данным, — не одной APT-группой.

В этой статье мы восстановим хронологию заражения сети, идентифицируем обнаруженные бэкдоры и обратим внимание на выявленные пересечения в их коде и сетевой инфраструктуре. Также мы попробуем ответить на вопрос: кто стоит за атаками?   

Читать далее
Total votes 14: ↑12 and ↓2 +10
Views 5.4K
Comments 10

Бесплатный сыр в Docker — как поднять сотни сетевых ловушек на одной машине

Бастион corporate blog Information Security *System Analysis and Design *Virtualization *Network technologies *


Привет, Хабр! На связи Бастион. Мы занимаемся информационной безопасностью и, в том числе, разрабатываем систему предупреждения о вторжениях. В этом посте мы расскажем, зачем нужна такая защита, как поднять на одном компьютере сотни фейковых сервисов и превратить их в сетевые ловушки. И почему этого недостаточно, чтобы чувствовать себя в безопасности.

Читать дальше →
Total votes 28: ↑28 and ↓0 +28
Views 13K
Comments 23

Взламываем ТВ-приставку, чтобы получить плацдарм для хакерских атак

Бастион corporate blog Information Security *Development for Android *Manufacture and development of electronics *IOT

Под катом вас ждет профессиональный экскурс в безопасность низкоуровневого ПО от одного из наших сотрудников. Вы узнаете, как получить доступ к Nand-памяти без программатора, обмануть загрузчик нулевого уровня и превратить Android-приставку в зомби за десять секунд.

Читать далее
Total votes 64: ↑61 and ↓3 +58
Views 25K
Comments 18

Внедрение агентов и конфликт с антивирусами — как мы делаем собственную Deception-систему, и как она работает

Бастион corporate blog Information Security *System Analysis and Design *Network technologies *Software

На старте проекта у нас были: пять разработчиков, большая идея, перспективная технология и очень смутное представление о том, как должен выглядеть конечный продукт.



Уже больше двух лет мы разрабатываем Bastion Security Platform. В прошлой статье мы рассказали, как научились создавать дешевые сетевые ловушки в больших количествах. Но ловушки — всего лишь базовый компонент эффективной сетевой защиты.


Сегодня мы расскажем, как сделали из них полноценный продукт. Ведь Deception-система — нечто большее, чем набор ловушек, которые детектируют соединения и сообщают о вторжении.

Читать дальше →
Total votes 19: ↑18 and ↓1 +17
Views 2.4K
Comments 2

«Золотой стандарт» или что умеют современные Deception-решения: ловушки и приманки. Часть 1

R-Vision corporate blog Information Security *Network technologies *
Tutorial

"Золотой стандарт" или что умеют современные Deception-решения: ловушки и приманки. Часть 1

Читать далее
Total votes 3: ↑3 and ↓0 +3
Views 1.5K
Comments 0

ML под ударом: противодействие атакам на алгоритмы машинного обучения

Бастион corporate blog Information Security *Machine learning *Artificial Intelligence

Ежегодно выходят тысячи научных работ об атаках на алгоритмы машинного обучения. Большая часть из них рассказывает о взломе компьютерного зрения, ведь на его примере можно наглядно продемонстрировать последствия атаки. На деле первыми под удар попадают спам-фильтры, классификаторы контента, антивирусные сканеры и системы обнаружения вторжений. Например, достается базе VirusTotal. Туда уже давно пробуют загружать безобидные файлы, которые распознаются, как вредоносные и вызывают цепочки ложных срабатываний.

Среда, в которой выполняются алгоритмы машинного обучения, подвержена большинству стандартных векторов атак, но это еще не все. Подобно тому, как реляционные базы данных привели к появлению SQL-инъекций, а веб-скрипты к XSS, алгоритмы машинного обучения подвержены особым угрозам, от которых плохо помогают стандартные меры защиты.

Читать далее
Total votes 16: ↑16 and ↓0 +16
Views 2.3K
Comments 0