Pull to refresh
0
Karma
0
Rating
Лада Розенкранц @Varonis

Пользователь

Использование Power Automate для эксфильтрации данных в Microsoft 365

Varonis Systems corporate blog Information Security *Microsoft Azure *
Translation

Служба Power Automate, ранее известная как Microsoft Flow, позволяет пользователям автоматизировать рабочие процессы между различными приложениями и сервисами. С помощью Power Automate вы можете создавать процессы («потоки») в Microsoft 365 для Outlook, SharePoint и OneDrive, чтобы автоматически открывать доступ к файлам или отправлять их, пересылать электронные письма и выполнять ряд других действий.

В то же время, используя этот мощный инструмент автоматизации повседневных процессов, злоумышленники могут автоматически осуществлять эксфильтрацию данных, взаимодействовать с серверами C2, перемещаться внутри сети и уклоняться от обнаружения средствами безопасности.

Читать далее
Rating 0
Views 1.3K
Comments 0

Разоблачение методов многофакторной аутентификации в Box (Часть 2)

Varonis Systems corporate blog Information Security *
Recovery mode
Translation

Исследовательская лаборатория Varonis обнаружила способ обхода многофакторной аутентификации в учетных записях Box, использующих SMS-коды для подтверждения входа.

Используя этот способ, хакер может применять украденные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальной информации без доступа к телефону жертвы атаки.

Мы сообщали об этой проблеме Box в ноябре 2021 г. через HackerOne; позже специалисты Box выпустили исправление. Это уже второй способ обхода MFA в Box, обнаруженный нами за последнее время. Ознакомьтесь с нашим способом обхода MFA с помощью аутентификатора.

С ростом потребности во внедрении и использовании многофакторной аутентификации многие SaaS-провайдеры начали предлагать несколько вариантов MFA, чтобы обеспечить пользователей дополнительной защитой от атак на учетные записи и пароли. Varonis Threat Labs анализирует разные виды MFA для оценки их безопасности.

По данным Box, 97 000 компаний, включая 68% предприятий из списка Fortune 500 используют решения Box для доступа к информации из любой точки мира и удобной совместной работы.

Подобно многим приложениям, Box дает возможность пользователям без системы единого входа (SSO) использовать приложение-аутентификатор, такое как Okta Verify или Google Authenticator, или SMS с одноразовым паролем для организации второго этапа аутентификации.

Читать далее
Total votes 1: ↑1 and ↓0 +1
Views 1.8K
Comments 4

Извлечение хэша NTLM с помощью профилей PowerShell

Varonis Systems corporate blog Information Security *PowerShell *
Recovery mode
Translation

Метод повышения привилегий, продемонстрированный в этой статье, является вариантом, используемым шпионскими группами. В нем описывается возможность использования злоумышленниками встроенных функций PowerShell для выполнения произвольных команд в контексте с повышенными правами (правами Администратора). Ниже приведена демонстрация извлечения хэшей NTLM.
Читать дальше →
Total votes 4: ↑3 and ↓1 +2
Views 7.4K
Comments 10

Обход многофакторной аутентификации Box с одноразовым паролем с ограниченным временем действия

Varonis Systems corporate blog Information Security *
Recovery mode
Translation

Обзор исполнительной среды

Исследовательская группа Varonis обнаружила способ обхода многофакторной аутентификации для учетных записей Box, которые используют такие аутентификационные приложения, как Google Authenticator.

Используя описанный ниже метод, злоумышленник может применить украденные учетные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальных данных без предоставления одноразового пароля.

Мы сообщили об этой проблеме Box в ноябре через HackerOne; позже Box выпустил обновление.

Читать далее
Rating 0
Views 2.1K
Comments 1

No Time to REST: Varonis предупреждает о возможных рисках ошибочных конфигураций Jira

Varonis Systems corporate blog Information Security *
Translation

Исследователи Varonis изучили список из 812 поддоменов и обнаружили 689 доступных экземпляров Jira. В этих экземплярах было обнаружено 3 774 общедоступных панелей управления, 244 проекта и 75 629 проблем (открытые адреса электронной почты, URL и IP-адреса).

Мы также обнаружили, что Jira REST API раскрывает больше общедоступной информации, чем веб-интерфейс. В результате администратор может считать, что информация в безопасности, тогда как злоумышленники получают доступ к большему количеству данных через API.

Читать далее
Rating 0
Views 926
Comments 0

«Кротовая нора Эйнштейна» открывает доступ к данным календарей Outlook и Google

Varonis Systems corporate blog Information Security *
Recovery mode
Translation

Если ваша компания использует сообщества Salesforce и Einstein Activity Capture, вы могли неосознанно открыть доступ к событиям календаря Outlook или Google вашего администратора в интернете из-за ошибки под названием «кротовая нора Эйнштейна», которую обнаружила исследовательская команда Varonis. События календаря, к которым предоставлен несанкционированный доступ, могут содержать очень конфиденциальные данные, например имена и адреса электронной почты участников, URL-адреса и пароли, а также программы конференций и встреч, вложенные файлы и электронные сообщения, отправленные организатору. Получив уведомление, команда Salesforce оперативно исправила эту ошибку. Однако если ваше сообщество Salesforce было создано раньше лета 2021 г., вам необходимо закрыть несанкционированный доступ к событиям календаря

Вот что для этого нужно сделать.

Читать далее
Rating 0
Views 660
Comments 0

Обзор правил YARA: изучение инструмента исследования вредоносного ПО

Varonis Systems corporate blog Information Security *Antivirus protection *
Translation

Правила YARA используются для классификации и идентификации образцов вредоносных программ путем создания описаний их семейств на основе текстовых или двоичных шаблонов.

Читать далее
Rating 0
Views 10K
Comments 0

Как анализировать вредоносное ПО с помощью x64dbg

Varonis Systems corporate blog Information Security *Antivirus protection *
Translation

Это четвертая и заключительная статья в серии публикаций, посвященных x64dbg. В этой статье мы воспользуемся полученными знаниями, чтобы продемонстрировать некоторые методы, которые можно использовать при реверс-инжиниринге вредоносного ПО.

Читать далее
Total votes 5: ↑5 and ↓0 +5
Views 5.6K
Comments 0

Обзор Stack Memory

Varonis Systems corporate blog Information Security *
Translation

Стековая память — это раздел памяти, используемый функциями c целью хранения таких данных, как локальные переменные и параметры, которые будут использоваться вредоносным ПО для осуществления своей злонамеренной деятельности на взломанном устройстве.

Эта статья является третьей в серии из четырех частей, посвященных x64dbg:

Читать далее
Total votes 2: ↑2 and ↓0 +2
Views 5.2K
Comments 4

Как распаковать вредоносное ПО с помощью x64dbg

Varonis Systems corporate blog Information Security *System administration *Antivirus protection *Assembler *
Translation

Эта статья представляет собой руководство по x64dbg, в котором объясняется и демонстрируется методика реверс-инжиниринга вредоносных программ. Она является продолжением нашей серии публикаций, посвященных x64dbg:

Читать далее
Total votes 7: ↑7 and ↓0 +7
Views 6K
Comments 1

Что такое x64dbg и как им пользоваться?

Varonis Systems corporate blog Information Security *Assembler *
Translation

Введение и обзор применения x64dbg в качестве инструмента для анализа вредоносных программ. Этой публикацией мы открываем серию из четырех статей о x64dbg.

Читать далее
Total votes 2: ↑1 and ↓1 0
Views 17K
Comments 4

Как APT используют обратные прокси-серверы для Nmap-сканирования внутренних сетей

Varonis Systems corporate blog Information Security *Server Administration *
Translation

Поскольку обратные прокси-серверы могут обходить ограничения брандмауэра на входящий трафик, злоумышленники, проводящие APT, используют их для pivot-атак на защищенные среды. К примеру, не так давно жертвой такой атаки стала корпоративная сеть федерального агентства. Злоумышленники использовали модификацию Invoke-SocksProxy — скрипта с открытым исходным кодом для работы с обратными прокси, который можно найти на GitHub. Вот что пишет по этому поводу Агентство по кибербезопасности и инфраструктуре (СISA): Злоумышленник установил Persistence и C2 в сети жертвы через постоянный туннель SSH/обратный прокси-сервер SOCKS… Скрипт PowerShell [Invoke-SocksProxy.ps1] создал обратный прокси-сервер SMB SOCKS, который разрешил устанавливать соединения между управляемым злоумышленником VPS… и файловым сервером организации, выбранной в качестве жертвы… Invoke-SocksProxy.ps1 создает обратный прокси-сервер между локальным устройством и инфраструктурой хакера…

Читать далее
Total votes 3: ↑2 and ↓1 +1
Views 5.8K
Comments 0

Как использовать AutoRuns для обнаружения и удаления вредоносных программ в Windows

Varonis Systems corporate blog Information Security *System administration *
Translation

Если вы будете четко понимать, как использовать AutoRuns, вы всегда сможете определить, заражен ли ваш компьютер нежелательным ПО.

Примечание: в этой статье рассказано, как можно обнаружить вредоносные программы на домашнем ноутбуке или ПК. Для выявления и удаления вредоносных программ в организации необходимо следовать корпоративному плану реагирования на инциденты.

Читать далее
Total votes 10: ↑8 and ↓2 +6
Views 17K
Comments 9

Ключевая информация об атаке вирусом-вымогателем REviL на компанию Kaseya

Varonis Systems corporate blog Information Security *Server Administration *
Translation

3 июля в 10:00 по североамериканскому восточному времени серверы VSA компании Kaseya выпустили зараженное вирусом исправление, которое распространилось на управляемые компанией Kaseya cерверы, что привело к компрометации и шифрованию тысяч узлов на сотнях различных предприятиях.

 Это исправление содержало вирус-вымогатель под названием Sodinokibi, разработанный печально известной группировкой REvil, что привело к шифрованию сервера и папок с общим доступом.

 Kaseya VSA — популярное программное обеспечение для удаленного управления сетью, используемое многими поставщиками услуг по управлению ИТ-инфраструктурой (Managed Security Providers, или MSP). ПО для управления сетью — идеальное место для организации бэкдора, поскольку у таких систем обычно широкие возможности доступа и множество задач, что затрудняет контроль над ними.

 В отличие от атаки логистической цепочки компании SolarWinds, при которой были скомпрометированы серверы обновлений SolarWinds, какие-либо признаки взлома инфраструктуры Kaseya отсутствуют.

 Злоумышленники использовали уязвимые серверы VSA с выходом в Интернет, обычно предшествующие многим устройствам-жертвам  в сетях MSP, используя их в качестве бэкдоров, что затруднило (или даже сделало невозможным) обнаружение либо предотвращение заражения жертвами по мере того, как вирус перемещался от серверов к подключенным устройствам.

 Кроме того, поскольку обновления обычно распространяются на множество узлов, для зараженных организаций процесс восстановления может оказаться непростым. Радиус поражения одного скомпрометированного пользователя или конечной точки обычно очень большой, поскольку у среднестатистического пользователя, как правило, есть доступ к миллионам файлов, которые ему не нужны. У администраторов или серверов с административными правами масштабы поражения просто огромны.

Читать далее
Total votes 1: ↑1 and ↓0 +1
Views 3.7K
Comments 1

Готовы ли вы к атаке на цепочку поставок? Почему управление рисками в цепочке поставок так важно

Varonis Systems corporate blog Information Security *


Сейчас всё в мире как никогда взаимосвязано, а облачные и цифровые технологии позволяют компаниям из разных стран процветать и достигать успеха. Однако эта взаимосвязанность сопряжена с повышенным риском: партнеры, поставщики и третьи стороны могут раскрыть конфиденциальную информацию компании, а хакеры — атаковать организации через их цепочку поставок. Управление рисками атаки на цепочку поставок становится одним из важнейших компонентов стратегии кибербезопасности любой компании.

В этой статье мы рассмотрим угрозы атак на цепочку поставок, способы защиты и минимизации риска последствий для организаций из-за атаки на цепочку поставок.
Читать дальше →
Rating 0
Views 2.4K
Comments 1

Отравление ARP: что это такое и как предотвратить ARP-спуфинг

Varonis Systems corporate blog Information Security *System administration *IT Infrastructure *Network technologies *
Translation


«Отравление» ARP (ARP Poisoning) — это тип кибератаки, которая использует слабые места широко распространенного протокола разрешения адресов (Address Resolution Protocol, ARP) для нарушения или перенаправления сетевого трафика или слежения за ним. В этой статье мы вкратце рассмотрим, зачем нужен ARP, проанализируем его слабые места, которые делают возможным отравление ARP, а также меры, которые можно принять для обеспечения безопасности организации.
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 20K
Comments 0

Что такое Command and Control? Описание инфраструктуры управления и контроля

Varonis Systems corporate blog Information Security *IT Infrastructure *
Translation


Cегодня мы рассмотрим инфраструктуру управления и контроля (C2), используемую злоумышленниками для управления зараженными устройствами и кражи конфиденциальных данных во время кибератаки.
Успешная кибератака — это не просто вторжение в систему ничего не подозревающей об этом организации. Чтобы получить реальную выгоду, злоумышленник должен поддерживать постоянное функционирование вируса в целевой среде, обмениваться данными с зараженными или скомпрометированными устройствами внутри сети и потенциально извлекать конфиденциальные данные. Для выполнения всех этих задач требуется надежная инфраструктура управления и контроля, или C2. Что такое C2? В этом посте мы ответим на этот вопрос и посмотрим, как злоумышленники используют скрытые каналы связи для проведения изощренных атак. Мы также рассмотрим, как обнаруживать атаки на основе C2 и защищаться от них.
Читать дальше →
Total votes 1: ↑1 and ↓0 +1
Views 6.3K
Comments 0

Как хакеры подменяют DNS-запросы с помощью «отравления» кэша

Varonis Systems corporate blog Information Security *System administration *DNS *
Translation


Подмена сервера доменных имен (DNS) — это кибератака, с помощью которой злоумышленник направляет трафик жертвы на вредоносный сайт (вместо легитимного IP-адреса). Злоумышленники используют метод «отравления» кэша DNS для перехвата интернет-трафика и кражи учетных данных или конфиденциальной информации. Отравление кэша DNS и подмена DNS — тождественные понятия, часто используемые как синонимы. Хакер хочет обманом заставить пользователей ввести личные данные на небезопасном сайте. Как ему этого добиться? С помощью отравления кэша DNS. Для этого хакер подменяет или заменяет данные DNS для определенного сайта, а затем перенаправляет жертву на сервер злоумышленника вместо легитимного сервера. Таким образом хакер добивается своей цели, ведь перед ним открываются широкие возможности: он может совершить фишинговую атаку, украсть данные или даже внедрить в систему жертвы вредоносную программу.
Читать дальше →
Total votes 3: ↑2 and ↓1 +1
Views 19K
Comments 4

Darkside возвращается: анализ крупномасштабной кампании по хищению данных

Varonis Systems corporate blog Information Security *Antivirus protection *Data recovery *Data storage *
Translation

Наша команда недавно провела несколько резонансных расследований атак, приписываемых группировке киберпреступников Darkside. Эти узконаправленные кампании проводились в несколько этапов и длились от нескольких недель до нескольких месяцев, а их целью было хищение и шифрование конфиденциальных данных, включая резервные копии. В этой статье мы рассмотрим замеченные нами тактики, техники и процедуры (ТТП).
Читать дальше →
Total votes 1: ↑1 and ↓0 +1
Views 5.5K
Comments 0

Как предотвратить проникновение программ-вымогателей: основные советы

Varonis Systems corporate blog Information Security *Data recovery *Data storage *


Согласно отчету Verizon Data Breach Report программы-вымогатели являются вторыми по частоте атаками вредоносных программ после атак категории «Командование и управление» (C2). Основным механизмом внедрения всех вредоносных программ, включая программы-вымогатели, по-прежнему является электронная почта. Так как же научить пользователей не переходить по фишинговым ссылкам?
Мнение профессионалов: никак. Люди будут делать то, что присуще их природе. Таким образом, мы должны подойти к проблеме программ-вымогателей по-другому. В этой статье мы рассмотрим основные особенности и методы борьбы с программами-вымогателями.
Читать дальше →
Total votes 1: ↑1 and ↓0 +1
Views 7.2K
Comments 5

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Date of birth
Registered
Activity