Pull to refresh
33
1.2
Jet CSIRT @CSIRT

Центр мониторинга и реагирования на инциденты ИБ

Открываем темные врата. Разбор вредоносного ПО DarkGate

Level of difficulty Medium
Reading time 9 min
Views 4.1K

0x0 Введение в предмет исследования

Работа аналитика киберразведки часто подбрасывает интересные задачи из совершенно разных областей жизни. Иногда мы в Jet CSIRT анализируем очередное ВПО, которое еще никто не разбирал «по косточкам», или того, что уже было написано, оказывается мало, и приходится выкручиваться как можем  находить решения и проводить настоящую исследовательскую работу. Так произошло и в нашем случае, когда коллеги из «Лаборатории Касперского» сообщили о возобновившем активность вредоносе DarkGate практически в тот же момент, когда мы проводили анализ семпла. Выяснилось, что существовавшие с 2017 года «Темные Врата» не просто оживили в 2023-м, но и оснастили дополнительным мощным инструментарием.

Изначально ничем не примечательный инцидент привел к исследованию, результатами которого мы решили поделиться с комьюнити.

Читать далее
Total votes 9: ↑9 and ↓0 +9
Comments 2

«Пароль неверный». Парольные менеджеры глазами хакера

Reading time 11 min
Views 28K

Привет, Хабр! На проектах по пентестам нам часто удается получить доступ к корпоративному компьютеру «жертвы», а затем и добыть из него плохо защищенные пароли. К чему это приводит, все понимают. А как происходит такая компрометация — сегодня попробуем раскрыть.

Подробности под катом

Читать далее
Total votes 61: ↑61 and ↓0 +61
Comments 91

Видеозаписи докладов CyberCamp. Разбираем вопросы безопасности Linux

Reading time 4 min
Views 4.7K

Привет, Хабр! В конце декабря мы командой CyberCamp провели митап, посвященный безопасности Linux. Прошлись по всей ОС — от ядра до логов. Плюсы в виде открытого кода, надежности, быстродействия и, казалось бы, повышенный уровень защищенности от киберугроз увеличивает пул активных пользователей. Но среди этих качеств нет неуязвимости. На митапе были разобраны вопросы, какие угрозы актуальны для Linux и как от них защититься.

Под катом мы собрали полный плейлист выступлений:

  Безопасность ядра Linux: в теории и на практике / Александр Попов, Positive Technologies

 Повышение привилегий на Linux / Владимир Ротанов, «Инфосистемы Джет»

 Анализ взлома общедоступных экземпляров баз данных / Александр Матвиенко, «Инфосистемы Джет»

 Особенности вредоносного ПО под Linux-системы / Ярослав Шмелёв, «Лаборатория Касперского»

 Анализ логов в Unix-системах / Артём Крикунов, «Инфосистемы Джет»

Харденинг Linux / Антон Велижанинов, «Инфосистемы Джет»

Читать далее
Total votes 9: ↑9 and ↓0 +9
Comments 0

Твоя работа в ИБ по мемасикам

Reading time 3 min
Views 5.2K

· Ты уважаемый CISO крупной нефтяной компании, но твой ребенок — блогер и зарабатывает больше тебя?
· Ты нашел уязвимость по программе Bug Bounty у мясомолочного завода, а у них нет денег, и они выплачивают тебе молочкой и мясом?
· Регулятор выдал новую порцию требований, а у тебя бюджет — три рубля и жвачка «Турбо»?

Эти и многие другие злободневные ситуации мы объединили в игре Jet Security Memes.

Переходи по кат и скачивай карточки!

Читать далее
Total votes 25: ↑20 and ↓5 +15
Comments 5

Биграммы и триграммы. Кейс сбора и анализа информации из аудио с непонятными словами

Reading time 4 min
Views 2.5K

Привет. Меня зовут Александр Родченков, я занимаюсь речевой аналитикой в центре машинного обучения «Инфосистемы Джет». Тут я расскажу о биграммах и триграммах на примере реального, хоть и довольно скромного, кейса. Что же это за «граммы» такие, с чем их «едят» и зачем они нам? Кейс решал задачу сбора и обработки данных одной из продовольственных компаний. Сложность задачи заключалась в том, что в речи было очень много специфических терминов и аббревиатур. Как мы с этим справились, и с какими неожиданностями столкнулись после, читай под катом.

Жми, не пожалеешь!
Total votes 10: ↑10 and ↓0 +10
Comments 1

Это не больно: как мы сделали свою платформу киберучений и научились контейнеризировать всё подряд

Reading time 14 min
Views 3.2K

Два года мы с командой строили платформу киберучений. Мы начали с пары виртуалок c 2 Гб RAM на борту в EVE-NG (причем это была вложенная в VMWare ESXi виртуализация) и домасштабировали до самостоятельной инфраструктуры с контейнеризованными сервисами для обучения по ИБ и возможностью подключения практически неограниченного количества обучающихся. Это статья о нестандартных решениях, самой платформе и участии в мероприятии CyberCamp, для которого предоставили виртуальную инфраструктуру.

Переходи под кат, если интересно, как пробросить большое количество пользователей в виртуальную среду с помощью одного браузера, не давая им прямой RDP\VNC\ssh доступ, да еще и бесплатно. Также поделюсь нашими наработками и планами по развитию платформы Jet CyberCamp.

Читать далее
Total votes 10: ↑10 and ↓0 +10
Comments 0

Байки по кибербезопасности: играем в «Правда или ложь»

Reading time 9 min
Views 16K

Привет, Хабр!

Правила игры простые: я рассказываю историю про аудит безопасности, а вы оцениваете, правда это или нет. Под спойлером — ответ.

1. «Суперпроводимость»

Проводим экспертный аудит в крупном производственном комплексе. Последнее время заказчики часто выбирают дистанционный формат сбора информации. Но в данном случае заказ был очный, то есть мы с аудиторской командой приезжаем на проходную, дальше планируется, что мы будем ходить по территории и искать всякие радости для внутреннего злоумышленника. И вот мы стоим и готовимся получить пропуск, а в это время по всему производству отключается электричество. Заодно останавливается вся производственная линия, что по масштабам проблемы примерно равняется дню П. Ни о каком аудите речи, конечно, уже нет. Мы около часа сидим на проходной, пытаемся дописаться до наших пентестеров (вдруг они «постарались»), а потом узнаём, что причиной инцидента стала полевая мышь: она залезла в щитовую и закоротила собой электрику.

2. «Новогодняя ёлка»
Тест на проникновение. Задача — получить доступ из корпоративного сегмента в технологический, по возможности — к серверам АСУ ТП. Неделю мы его колупали, а потом прошли. Оформили доказательства, отправили заказчику. Но скриншоты в отчёте с чёрным фоном из терминала Kali с перечислениями уязвимостей и подробным описанием оказались для заказчика не очень убедительными: в систему защиты были вложены деньги, всего этого просто не может быть! В очередной раз получив комментарий «Это к ничему страшному не приведет», наш пентестер психанул и нарисовал лампочками на пульте управления SCADA-системой (в тестовом сегменте) ёлочку. Вопросов у заводчан сразу не осталось.

Читать далее
Total votes 59: ↑59 and ↓0 +59
Comments 25

Как бесплатно мониторить массивы HP EVA с помощью Zabbix: два варианта решения

Reading time 11 min
Views 2.8K

Привет, Хабр! В данной статье мы рассмотрим процесс настройки мониторинга массивов семейства HP EVA (Enterprise Virtual Array) с помощью Open Source продукта Zabbix, объясним, как получать и обрабатывать данные с массива, покажем, с какими проблемами можно столкнуться при настройке, а также расскажем о двух вариантах реализации системы мониторинга.

Читать далее
Total votes 10: ↑10 and ↓0 +10
Comments 0

Кибербезопасность в массы: как мы в Positive Technologies проводили крупнейшие мероприятия по инфобезу

Reading time 8 min
Views 3K

Привет, Хабр! Меня зовут Герман Холмов, долгое время я работал в Positive Technologies в должности Digital Marketing Director. На Хабре многие знают эту компанию, а если нет - то вот ее блог. Но речь сейчас не о компании, а об организации двух онлайн-ивентов для специалистов по кибербезопасности. Я вместе с командой отвечал за запуск. В ходе реализации проекта пришлось решать немало проблем, которые возникали как до организации мероприятий, так и во время. Думаю, что мой опыт будет полезен, поэтому и решил написать статью. О подробностях - под катом.

Читать далее
Total votes 10: ↑10 and ↓0 +10
Comments 0

От MITRE ATT&CK до форензики: видеозаписи ТОП-5 докладов CyberCamp 2022

Reading time 2 min
Views 3.5K

Вот и прошла онлайн-конференция CyberCamp 2022: итоги подведены, подарки и благодарности отправлены.

Под катом вы найдете пять лучших выступлений по итогам трех дней кэмпа. Выступления стали самыми популярными по итогам опроса зрителей. Enjoy!

Читать далее
Total votes 4: ↑4 and ↓0 +4
Comments 0

ТОП-3 ИБ-событий недели по версии Jet CSIRT

Reading time 2 min
Views 595

Сегодня в ТОП-3 — новые способы применения ВПО Prilex, исследование кибератак на основе вредоносных DLL и взлом серверов Microsoft SQL с помощью ВПО FARGO.

Новости собирал Ильяс Садыков, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Читать далее
Total votes 1: ↑1 and ↓0 +1
Comments 0

5 способов, как взять домен с помощью PetitPotam

Reading time 11 min
Views 15K

В последнее время почти на каждом проекте по внутреннему пентесту я встречаю уязвимость PetitPotam. И почти всегда она помогает в получении привилегий администратора домена. При наличии доменной учетной записи (в некоторых случаях возможна эксплуатация уязвимости без аутентификации) атакующий может с помощью специально сформированного запроса заставить уязвимый хост выполнить обращение к произвольному хосту с передачей аутентификационных данных.

В этой статье я расскажу, как использую эту уязвимость и как мне удалось получить привилегии администратора домена пятью разными способами в реальных проектах.

Подробнее — под катом.

Читать далее
Total votes 14: ↑12 and ↓2 +10
Comments 2

CyberCamp 2022: от идеи до первого крупного кибертренинга

Reading time 5 min
Views 1.6K

В сентябре мы организовали в онлайне кибертренинг в рамках CyberCamp 2022. В нем приняли участие 40 команд со всей России, а с нашей стороны более 40 человек придумывали задания, тестили платформу, мониторили инфраструктуру, курировали команды. О полученном опыте, эмоциях и набитых шишках рассказываем в этом посте.

Читать далее
Total votes 14: ↑14 and ↓0 +14
Comments 0

ТОП-3 ИБ-событий недели по версии Jet CSIRT

Reading time 2 min
Views 769

Сегодня в ТОП-3 — обновление безопасности GitLab, уязвимость в приложении TikTok и пять расширений Google Chrome, крадущих данные пользователей.

Новости собирал Евгений Тюрин, старший специалист по информационной безопасности Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Читать далее
Total votes 5: ↑5 and ↓0 +5
Comments 0

Старт 2 сезона Security Small Talk: ролики для профи и новичков в ИБ

Reading time 1 min
Views 2.1K

Мы продолжаем делать видеоконтент, который может быть полезным как начинающим безопасникам, студентам, так и ИБ-и ИТ-специалистам. Сегодня публикуем 2 новых ролика Security Small Talk. В первом смотрите об управлении секретами в DevOps-окружениях, во втором найдете интересные факты о реагировании на инциденты и их расследовании.

Читать далее
Total votes 14: ↑14 and ↓0 +14
Comments 1

Низко висящие фрукты Active Directory

Reading time 7 min
Views 9.4K

В данной статье рассмотрим уязвимости, которые легко проэксплуатировать в Active Directory — так называемые «низко висящие фрукты». Они часто встречаются и в результате дают возможность атакующему продвинуться вглубь инфраструктуры или получить дополнительную информацию.

Комбинация таких участков часто позволяет достичь полного контроля над средой Active Directory с правами администратора домена или расширить исходные привилегии.

Не углубляясь в технические дебри, я хочу показать, какие типовые проблемы существуют в домене Active Directory, что они из себя представляют и какие меры защиты стоит применить либо принять во внимание.

Подробнее — под катом.

Читать далее
Total votes 14: ↑13 and ↓1 +12
Comments 2

Для секьюрной разработки: ролик о защите сред контейнерной оркестрации

Reading time 1 min
Views 1.9K

Заходите под кат смотреть видео о защите сред контейнерной оркестрации. Спецы по DevSecOps упаковали в пятиминутный ролик выжимку из NIST SP 800-190, официальной документации Kubernetes, десятки страниц материалов производителей средств защиты и свой опыт на проектах.

Будет полезно и тем, кто пишет код, и тем, кто следит за его секьюрностью.

Читать далее
Total votes 11: ↑10 and ↓1 +9
Comments 1

5 коротких видеороликов, которые зайдут и профи, и новичку в ИБ

Reading time 2 min
Views 9.8K

Добро пожаловать под кат, если не всегда успеваете следить за теми направлениями ИБ, в которых сейчас не делаете ничего руками.

Самая улыбчивая на рынке ИБ Лера Суворова и пять узких специалистов за пять минут освежат ваши знания и дополнят их своим практическим опытом. Полезно будет и начинающим безопасникам, и перегруженным ИБ-шникам, и ИТ-специалистам, и студентам. Уже ждут просмотров ролики о Deception, защите данных в облаках, киберполигонах, автопентесте и Digital Risk Protection.

Смотреть ролики
Total votes 19: ↑16 and ↓3 +13
Comments 1

Как управлять сетью — класс решений Firewall management. Часть 1. Skybox

Reading time 17 min
Views 7.9K

Не можете разобраться, что происходит в сетевой инфраструктуре? Создание Access Control List (ACL) давно стало рутиной, но по-прежнему отнимает очень много времени? Приходится управлять несколькими межсетевыми экранами разных вендоров одновременно? Скоро придет аудитор, чтобы проверить, насколько написанные вами правила доступа соответствуют требованиям регулятора или отраслевому стандарту? Если вы узнали себя хоть в одном вопросе, этот текст для вас.

В общем, добро пожаловать под кат все ищущие унификации в анализе и контроле настроек межсетевых экранов (МСЭ) и сетевых устройств.

Читать далее
Total votes 9: ↑9 and ↓0 +9
Comments 4

ТОП-3 ИБ-событий недели по версии Jet CSIRT

Reading time 2 min
Views 885
Уходящая неделя запомнилась нам новой ошибкой в Windows 10, вызывающей синий экран смерти, атаками на Linux-устройства с использованием нового вредоноса FreakOut и фишинговой кампанией, в результате которой злоумышленникам удалось похитить несколько тысяч учетных записей Microsoft Office 365. Подробности расскажем под катом.


Читать дальше →
Total votes 5: ↑4 and ↓1 +3
Comments 0

Information

Rating
1,098-th
Location
Россия
Works in
Registered
Activity