При проведении тестирований на проникновение мы довольно часто выявляем ошибки в конфигурации домена. Хотя многим это не кажется критичным, в реальности же такие неточности могут стать причиной компрометации всего домена.

К примеру, по итогам пентеста в одной компании мы пришли к выводу, что все доступные машины в домене были не ниже Windows10/Windows Server2016, и на них стояли все самые свежие патчи. Сеть регулярно сканировалась, машины хардились. Все пользователи сидели через токены и не знали свои «20-символьные пароли». Вроде все хорошо, но протокол IPv6 не был отключен. Схема захвата домена выглядела так:

mitm6 -> ntlmrelay -> атака через делегирование -> получен хеш пароля локального администратора -> получен хеш пароля администратора домена.

К сожалению, такие популярные сертификации, как OSCP, GPEN или CEH, не учат проведению тестирования на проникновение Active Directory.

В этой статье мы рассмотрим несколько видов атак на Active Directory, которые мы проводили в рамках пентестов, а также используемые инструменты. Это ни в коем случае нельзя считать полным пособием по всем видам атак и инструментам, их действительно очень много, и это тяжело уместить в рамках одной статьи.

Итак, для демонстрации используем ноутбук на Kali Linux 2019 и поднятые на нем виртуальные хосты на VMware. Представим, что главная цель пентеста — получить права администратора домена, а в качестве вводных данных у нас есть доступ в корпоративную сеть компании по ethernet. Чтобы начать тестировать домен, нам понадобится учетная запись.

Приветы! Увидев на PHDays 9 достаточный интерес к тому, что происходит на The Standoff в рядах защитников, мы решили рассказать о том, как происходила подготовка и само «Противостояние» глазами Jet CSIRT как части команды Jet Security Team.

Многие привыкли ставить оценку фильму на КиноПоиске или imdb после просмотра, а разделы «С этим товаром также покупали» и «Популярные товары» есть в любом интернет- магазине. Но существуют и менее привычные виды рекомендаций. В этой статье я расскажу о том, какие задачи решают рекомендательные системы, куда бежать и что гуглить.

Третий год подряд сильнейшие ИБ-эксперты «Инфосистемы Джет» приняли участие в The Standoff на PHDays. Наши команды Jet Security Team и Jet Antifraud Team сражались плечом к плечу: кибербитва продолжалась нон-стопом целых 28 часов! По итогам «Противостояния» наши защитники стали лучшими, не позволив нападающим «взломать» весь город!

Банк из года в год становится особенной сущностью для итогов «Противостояния» на PHDays. В 2017 хакеры смогли вывести из банка больше денег, чем в нем было. В 2018 году успешность финальной атаки на банк при отключенном нами антифроде (по замыслу организаторов) обеспечила победу одной из команд.

Ежегодно системы защиты банка в виртуальном городе F отражают тысячи попыток вывода денег со счетов «мирных» жителей, но каждый раз эти попытки скорее напоминают брутфорс на банковский API, чем попытку провести операцию в обход антифрод-системы, о наличии которой знает каждая команда атаки.

Какие тенденции можно заметить при сравнении атакующих и «законопослушных граждан» на The Standoff – тема этой небольшой заметки. Она же является скромной подсказкой нападающей стороне, хотя, быть может, она не будет прочитана в эти напряженные последние дни подготовки всех участников :)

Нашумевшие атаки на норвежского производителя алюминиевых изделий Norsk Hydro и энергосистему Венесуэлы лишний раз показали, что промышленные предприятия по-прежнему уязвимы для хакеров. Мы решили разобраться, какие специализированные СОВы – системы обнаружения вторжений – помогают бороться с подобными киберпреступлениями и способны «увидеть» злоумышленников в сетевых сегментах АСУ ТП. Выбирая из пяти решений, мы остановились на двух – KICS for Networks от «Лаборатории Касперского» и ISIM от Positive Technologies – и сравнили их по 40 критериям. Что у нас получилось, вы сможете узнать под катом.

Как сообщает «Лаборатория Касперского», хакеры из APT-группировки ShadowHammer 5 месяцев контролировали сервис обновлений ASUS Live Update и заразили более полумиллиона компьютеров по всему миру.

Совсем скоро Positive Hack Days в очередной раз устроит зарубу, столкнув лицом к лицу хакеров, безопасников, аналитиков и экспертов ИБ на The Standoff.

В этом году мы, смелые и решительные парни из Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT, усилим команду Jet Security Team — будем помогать нашим защитникам давать отпор атакующим. Обычно наши будни состоят из непрерывного контроля, анализа и поддержания уровня ИБ защищаемого сегмента, но челлендж в виде крутой кибербитвы нам тоже не помешает.

Мы идем на «Противостояние» впервые, однако в целом задачи, поставленные на соревновании, приближены к нашей повседневной работе: необходимо на неизвестной инфраструктуре выстроить и наладить процессы по обнаружению и расследованию инцидентов, а также по реагированию на них. Под настройку инфраструктуры нам дается крайне мало времени – всего лишь месяц. А это значит, что все майские удовольствия – шашлыки, посадку картошки и другие приключения – нам придется отложить. Сегодня нам хочется поделиться ожиданиями от предстоящей кибербитвы.

Отгремело открытие PHDays, через наш виртуальный город прошло несколько тысяч человек и чуть меньше людей послушало доклады. Зал опустел, хакеры пытались взломать защитников. Защитники в свою очередь старались увидеть атаки, чтобы отбиться от хакеров. И все было как-то грустно, если даже не сказать уныло.

Я большой фанат «наступившего будущего». С момента появления первых роботизированных кофеен и магазинов без обслуживающего персонала каждый день видится мне как реализовавшиеся грезы об удобном и комфортном мире. Мы долго шли к возможности управлять машиной, домом, своей жизнью с телефона. Было много падений, взломов, утечек личных данных и судов, но вот будущее наступило. И я в восторге.

В последние годы возрос интерес к моделям машинного обучения, в том числе для распознавания зрительных образов и лиц. Хотя технология далека от совершенства, она уже позволяет вычислять преступников, находить профили в социальных сетях, отслеживать изменения и многое другое. Simen Thys и Wiebe Van Ranst доказали, что, внеся лишь незначительные изменения во входную информацию свёрточной нейронной сети, можно подменить конечный результат. В этой статье мы рассмотрим визуальные патчи для проведения атак на распознавание.

Шел 2014 год, доллар стоил 35 рублей, я заканчивала учебу в вузе. Специальность для девушки я выбрала довольно редкую – информационная безопасность. Приближалась последняя сессия, нужно было готовиться к госэкзаменам. Между парами я подрабатывала лаборантом на кафедре, да еще и записалась волонтером на Олимпиаду в Сочи. Скучать было совсем некогда, как вдруг мне на глаза попалось объявление о стажировке по специальности – в «Инфосистемы Джет» требовался пресейл-инженер по информационной безопасности. Решив, что такую возможность нельзя упускать, я бросила себе еще один вызов. Откликнулась на вакансию, выполнила тестовое задание, прошла собеседование – и продолжила покорять мир ИБ уже на практике.

Сегодня, спустя 5 лет, мне хочется поделиться, каково это – быть стажером и что происходит после. На моем пути было всякое: за первыми безмятежными днями последовали переживания, ошибки, слезы, выгорание, преодоление себя и попадание на доску почета. Но обо всем по порядку.

Несмотря на то, что новый стандарт WPA3 еще толком не введен в эксплуатацию, недостатки безопасности в этом протоколе позволяют злоумышленникам взломать пароль Wi-Fi.

Как часто вы покупаете что-то спонтанно, поддавшись крутой рекламе, а потом эта изначально желанная вещь пылится в шкафу, кладовке или гараже до очередной генеральной уборки или переезда? Как результат — разочарование из-за неоправданных ожиданий и впустую потраченных денег. Гораздо хуже, когда подобное случается с бизнесом. Очень часто маркетинговые трюки бывают настолько хороши, что компании приобретают дорогостоящее решение, не видя полной картины его применения. Между тем, пробное тестирование системы помогает понять, как подготовить инфраструктуру к интеграции, какой функционал и в каком объеме стоит внедрять. Так можно избежать огромного числа проблем из-за выбора продукта «в слепую». К тому же, внедрение после грамотного «пилота» принесет инженерам гораздо меньше разрушенных нервных клеток и седых волос. Разберемся, почему пилотное тестирование так важно для успешного проекта, на примере популярного инструмента для контроля доступа к корпоративной сети — Cisco ISE. Рассмотрим как типовые, так и совсем нестандартные варианты применения решения, которые встречались в нашей практике.

3 апреля при поддержке компании «Инфосистемы Джет» состоялась очередная встреча российского отделения сообщества OWASP, на которой собрались специалисты по информационной безопасности. Запись выступлений спикеров можно посмотреть в представленном ниже видеоролике.

Фото, источник — www.msspalert.com

В ночь с понедельника на вторник (примерно в 23:00 UTC 18.03.2019) специалисты Norsk Hydro заметили сбои в функционировании сети и ряда систем. Вскоре стало понятно, что сбои вызваны массовым заражением систем шифровальщиком, которое очень быстро распространялось по объектам инфраструктуры. После идентификации угрозы служба безопасности начала процесс изоляции, однако вредонос настолько глубоко успел распространиться по инфраструктуре, что пришлось перевести часть производства в ручной режим управления ("откат" к процедурам, принятым до компьютеризации производственных процессов). Расследование атаки потребовало привлечения местных властей и органов правопорядка (National Security Authority / NorCERT, Norwegian Police Security Service, National Criminal Investigation Service), а также ряда коммерческих компаний. Восстановление инфраструктуры еще не завершено и отдельные производства (например, по прессованию алюминиевых профилей) до сих пор функционируют на половину мощности.

Несмотря на то, что расследование инцидента не окончено и пока сложно спрогнозировать сроки его завершения, по имеющимся фактам можно понять механизм действия атакующих и проанализировать, что в Norsk Hydro сделали верно, а что нет, и как еще можно было улучшить защиту.