BI.ZONE BiZone_team

Статья подготовлена командой BI.ZONE Cyber Threat Research

Мы не первый раз натыкаемся на киберпреступные группировки, которые прикидываются легальными организациями и маскируют свою малварь под инструменты для анализа защищенности. Сотрудники таких компаний могут даже не подозревать, что работают на злоумышленников и используют самый настоящий вредоносный пакет.

FIN7 (также именуемая как Carbanak и Navigator Group), одна из знаменитых АРТ-группировок, для разведки и закрепления на зараженных системах разработала Lizar — якобы инструмент для пентеста сетей Windows. Мы заинтересовались им и провели исследование, результатами которого поделимся в статье.

Раньше инструмент назывался Tirion, но дальше по тексту мы будем использовать только новое название Lizar

Авторы статьи: Антон Медведев, Демьян Соколин, Вадим Хрыков

Microsoft Exchange — один из самых распространенных почтовых серверов, который используют сотни тысяч компаний по всему миру. Популярность и доступность из интернета делают его притягательной целью для злоумышленников.

С конца 2020 года мы наблюдаем резкий рост количества инцидентов, так или иначе связанных с компрометацией сервера MS Exchange и его различных компонентов, в частности OWA (Outlook Web Access). Учитывая 24-летнюю историю сервера MS Exchange, сложность его архитектуры, расположение на периметре и возросший к нему интерес со стороны исследователей по безопасности, можно предположить, что количество найденных уязвимостей в популярном почтовом сервере со временем будет только расти. Свидетельство тому — недавно обнаруженная исследователями из DEVCORE цепочка критических уязвимостей, известная под общим названием ProxyLogon.

Недавно мы расследовали АРТ-атаку на одну российскую компанию и нашли много занятного софта. Сначала мы обнаружили продвинутый бэкдор PlugX, популярный у китайских группировок, АРТ-атаки которых обычно нацелены на похищение конфиденциальной информации, а не денег. Затем из скомпрометированной сети удалось вытащить несколько других схожих между собой бэкдоров (nccTrojan, dnsTrojan, dloTrojan) и даже общедоступных утилит.

Программы, используемые в этой преступной кампании, не отличаются сложностью, за исключением, может быть, PlugX. К тому же три из четырех вредоносов использовали при запуске давно известную технику DLL hijacking. Тем не менее, как показало наше исследование, даже при таких условиях злоумышленники могут годами оставаться в скомпрометированных сетях.

Мы решили изучить обнаруженный софт и поделиться своими наблюдениями.

Автор: Мария Недяк

Вы наверняка видели в медицинском сериале, как интерны бьются над рентгеновским снимком пациента, а потом приходит их наставник и ставит диагноз по едва заметному пятнышку. В реальности такими остроглазыми диагностами становятся модели машинного обучения, применяемые в технологии medical imaging. Благодаря таким штукам можно гораздо быстрее выявить болезнь, например, определить, являются ли клетки на снимках опухолевыми или неопухолевыми.

Но есть одна проблема — в медицинских технологиях используются DICOM-протоколы, безопасность которых оставляет желать лучшего. О них и пойдет речь в этой статье.

Автор: Иннокентий Сенновский (rumata888)

Хочу поделиться опытом регистрации уязвимостей в продуктах компаний без Bug Bounty. У меня этот процесс занял целых два года, в течение которых я общался с вендорами, боролся с недопониманием и стучался в MITRE.

Проблемы мотивации и целесообразности поиска уязвимостей в таких продуктах оставим за рамками этой статьи. Обсудим, что делать, если баг уже обнаружен. Если вам не терпится сразу почитать советы, переходите к последней части.

^{Photo credit: https://www.deviantart.com/heroeswho}

Автор: Константин Молодяков

Структура файла — увлекательный мир со своими историей, тайнами и собственным цирком уродов, где выступают костыльные решения. Если в ней покопаться, можно найти много интересного.

Я наткнулся на одну особенность APK-файлов — специальную подпись с особым блоком метаданных, Frosting. Она позволяет однозначно определить, распространялся ли файл через Google Play. Эта подпись будет полезна для антивирусных вендоров и песочниц при анализе вредоносов. Кроме того, она может помочь криминалистам при поиске источника файла.

Информации об этом практически нет. Удалось найти только раздел Security metadata in early 2018 в Android Developers Blog и утилиту Avast, которая позволяет проверить данную подпись. Я решил изучить эту штуку, проверить корректность предположений разработчиков Avast о содержании Frosting-блока и поделиться своими выводами.

Авторы: Демьян Соколин (@_drd0c), Александр Большаков (@spacepatcher), Ильяс Игисинов (@ph7ntom), Хрыков Вадим (@BlackMatter23)

CVE-2020-1472, или Zerologon, уже получила звание одной из самых опасных уязвимостей, обнаруженных за последние годы. Она позволяет атакующему скомпрометировать учетную запись машинного аккаунта контроллера домена и получить доступ к содержимому всей базы Active Directory. Для эксплуатации достаточно наличия сетевой связности с контроллером домена организации.

Мы провели собственное исследование Zerologon и разработали различные методы обнаружения ее эксплуатации: по событиям журналов аудита Windows, по сетевому трафику и при помощи YARA-правил. В этой статье подробно остановимся на каждом из них.

Типичный парадокс из жизни безопасника:

• инцидентов быть не должно (потому что инциденты = потери для бизнеса);

• но инцидентов должно быть много (потому что без опыта реагирования будет трудно сохранять квалификацию и оперативно отражать атаки).

Для выхода из этого порочного круга крупные компании заказывают услуги Red Team: нанимают сторонних специалистов, которые пытаются взломать компанию. Но, во-первых, это довольно дорого; во-вторых, развернуться здесь трудно: мало кто позволит всерьез ломать бизнес-критичные сервисы.

Мы решили попробовать другой подход — практические учения — и год назад впервые организовали бесплатный тренинг для корпоративных команд Cyber Polygon. В роли Red Team мы атаковали сразу нескольких команд-участниц, причем все происходило в специальной тренировочной инфраструктуре, которую не жалко.

В июле прошел Cyber Polygon 2.0. В нем участвовали уже 120 команд из 29 стран, а сценарии тренинга включали и защиту инфраструктуры от активной атаки (Defence), и реагирование и расследование инцидентов (Response).

В этом райтапе мы расскажем о заданиях сценария Defence: идеи для него мы черпали из опыта подготовки attack-defence CTF.

Автор: Иннокентий Сенновский (rumata888)

Как заинтересовать студента скучным предметом? Придать учебе форму игры. Довольно давно кто-то придумал такую игру в области безопасности — Capture the Flag, или CTF. Так ленивым студентам было интереснее изучать, как реверсить программы, куда лучше вставить кавычки и почему проприетарное шифрование — это как с разбегу прыгнуть на грабли.

Студенты выросли, и теперь в этих «играх» участвуют и взрослые прожженные специалисты с детьми и ипотекой. Они многое успели повидать, поэтому сделать таск для CTF, чтобы «старики» не ныли, не самая простая задача.

А переборщишь с хардкором — и взвоют команды, у которых это непрофильная предметная область или первый серьезный CTF.

В статье я расскажу, как наша команда нашла баланс между «хм, нечто новенькое» и «это какая-то жесть», разрабатывая таск по крипте для финала CTFZone в этом году.

Финальный scoreboard CTFZone 2020

RDP — один из самых популярных протоколов для удаленного подключения к машинам Windows. Но при неправильной конфигурации он может стать ахиллесовой пятой любой инфраструктуры.

В конце мая мы обнаружили кампанию распространения ВПО класса Remote Access Trojan (RAT) — программ, которые позволяют злоумышленникам удаленно управлять зараженной системой.

Рассматриваемая нами группировка отличилась тем, что она не выбрала для заражения какое-то определенное семейство RAT. В атаках в рамках кампании были замечены сразу несколько троянов (все в широком доступе). Этой чертой группировка напомнила нам о крысином короле — мифическом животном, которое состоит из грызунов с переплетенными хвостами.


Оригинал взят из монографии К. Н. Россикова «Мыши и мышевидные грызуны, наиболее важные в хозяйственном отношении» (1908 г.)

В честь этого существа мы назвали рассматриваемую нами группировку RATKing. В этом посте мы расскажем подробно о том, как злоумышленники проводили атаку, какие инструменты они использовали, а также поделимся своими соображениями относительно атрибуции этой кампании.

Дисклеймер

Этот рассказ не о путешествиях по Неваде под Red Hot Chili Peppers — Californication, не о гигантских казино Лас-Вегаса или вечеринках в небоскребе Mandalay Bay. Это история о том, как мы стали частью DEF CON CTF — самых старинных и крупных соревнований по кибербезопасности, которые проходят каждый год в Лас-Вегасе. Но обо всем по порядку.

Привет, Хабр! Мы живем в интересное время: дипфейки, торговые войны, политические игрища, Грета Тунберг, и если вам этого казалось мало, то получите-распишитесь за новинку — коронавирусную инфекцию COVID-19.

Распространение коронавируса повлияло и на нашу конференцию по практической кибербезопасности OFFZONE 2020. Ее пришлось перенести до лучших времен.

К сожалению, это значит, что текстолитовый бейдж, который мы разрабатывали с декабря, в текущем виде не состоится. Данная статья — своеобразная эпитафия его концепции. Под катом рассказываем, как мы боролись за эргономику, добывали компоненты при закрытых границах, расчехляли магию DIY против дефицита и какие обстоятельства оказались сильнее нас.

Несмотря на перенос конференции OFFZONE 2020, финалу соревнований CTFZone быть! В этом году он впервые пройдет в онлайн-режиме и будет активно транслироваться в социальных сетях.

О подробностях мы объявим позже, а пока предлагаем изучить райтап веб-таска с отборочного этапа. Разбор решения нам прислал Devand MacLean из Канады. Специально для «Хабра» мы перевели текст райтапа и приглашаем узнать, с какой цепочкой уязвимостей столкнулись участники и при чем здесь курица.

Silence — группировка, которая специализируется на краже средств у клиентов банков и атаках на банковские системы. В отличие от других группировок (RTM, Carbanak, Buhtrap) Silence наиболее избирательно подходит к выбору жертвы, а также имеет богатый арсенал инструментов, который использует в зависимости от ситуации и жертвы. 6 февраля мы зафиксировали интересную рассылку вредоносного ПО (ВПО), нацеленную на клиентов банков. В результате анализа цепочки заражения нами была получена и проанализирована новая версия загрузчика Silence.

До третьей международной конференции по практической кибербезопасности OFFZONE 2020 остался всего 71 день. У организаторов кипит работа, но и участникам есть чем себя занять в ожидании. В сегодняшнем посте мы расскажем о фишке, которая позволит посетителям OFFZONE обеспечить себе бейдж участника с уникальными дизайном и конфигурацией.

При подготовке конференции мы уделяем самое пристальное внимание концепции бейджа. В прошлом году мы сделали его в виде интерактивной печатной платы в форме дискеты 3,5 дюйма. Плату можно было тюнинговать: участники напаивали на нее дисплей, ИК-приемник и другие интересные штуки прямо на мероприятии. Подробнее об этом мы писали в посте.

30 ноября — 1 декабря прошел квалификационный этап турнира CTFZone, на который зарегистрировались 1043 команды со всего мира. По нашим данным, задачи решали даже в Зимбабве (26 уникальных IP). Если копать глубже, это была университетская сборная из города Булавайо.

В этом году CTFZone стал отборочным этапом DEF CON CTF, поэтому команда, которая победит в финале (он состоится на OFFZONE 16–17 апреля 2020 года), поедет на турнир в Лас-Вегас. Чтобы счастливчики точно успели оформить визы, даты конференции даже передвинули на более ранний срок.

DEF CON CTF — это самые старые и авторитетные соревнования для безопасников, куда хотят попасть многие команды. Пальмовую ветвь победителям не дают, но и без нее все складывается хорошо. Сейчас в мире всего 6 турниров, через которые можно отобраться на DEF CON CTF.

Недавно BI.ZONE приняла участие в конференции HighLoad++. Понятное дело, что мы приехали туда не просто поглазеть на чужие стенды, а привезли кое-что интересное. Сотрудники из разных отделов компании приготовили для гостей конференции задачи, за решение которых мы предлагали призы. Одна из задач по Golang была посвящена распознаванию звука. Мы попросили ее автора рассказать о ней.

Постановка задачи

В нашей задаче требуется проиндексировать некоторое количество треков и научиться искать в базе оригинал композиции по ее сэмплу. При этом образец вполне может быть зашумлен, записан на плохой микрофон, у него может быть другая частота. За участника уже написана большая часть кода, ему нужно только реализовать функцию fingerprint, которая снимает с трека отпечаток.

Привет, Хабр! В прошлый раз мы рассказали, каким вышел бейдж международной конференции по кибербезопасности OFFZONE 2019 и с чем его есть. Сегодня мы поделимся закулисными историями: как пришли к его созданию и чего нам стоило изобрести и произвести серию из 2000 устройств. Хронология событий, подводные камни разработки, закупки, монтажа и прочих радостей из мира электроники под катом. Поехали!

С чего начинается конференция? Конечно, с бейджа! Это первое, что ты получаешь на входе, целый день (или несколько) вы с ним неразлучны, а потом он висит над твоим столом, напоминая окружающим о твоей космической крутизне и профессионализме.

Поэтому бейдж для международной конференции по практической безопасности OFFZONE мы стараемся сделать запоминающимся. Бейдж-карты OFFZONE 2018 были полноценными компьютерами на базе 8-битного процессора с JVM на борту. А на OFFZONE 2019 (17–18 июня) роль бейджа участника играла интерактивная печатная плата, выполненная, в согласии с общим стилем конференции, в виде дискеты 3,5 дюйма. Олды тут?!