0x0 Введение в предмет исследования

Работа аналитика киберразведки часто подбрасывает интересные задачи из совершенно разных областей жизни. Иногда мы в Jet CSIRT анализируем очередное ВПО, которое еще никто не разбирал «по косточкам», или того, что уже было написано, оказывается мало, и приходится выкручиваться как можем  находить решения и проводить настоящую исследовательскую работу. Так произошло и в нашем случае, когда коллеги из «Лаборатории Касперского» сообщили о возобновившем активность вредоносе DarkGate практически в тот же момент, когда мы проводили анализ семпла. Выяснилось, что существовавшие с 2017 года «Темные Врата» не просто оживили в 2023-м, но и оснастили дополнительным мощным инструментарием.

Изначально ничем не примечательный инцидент привел к исследованию, результатами которого мы решили поделиться с комьюнити.

Привет, Хабр! На проектах по пентестам нам часто удается получить доступ к корпоративному компьютеру «жертвы», а затем и добыть из него плохо защищенные пароли. К чему это приводит, все понимают. А как происходит такая компрометация — сегодня попробуем раскрыть.

Подробности под катом

Привет, Хабр! В конце декабря мы командой CyberCamp провели митап, посвященный безопасности Linux. Прошлись по всей ОС — от ядра до логов. Плюсы в виде открытого кода, надежности, быстродействия и, казалось бы, повышенный уровень защищенности от киберугроз увеличивает пул активных пользователей. Но среди этих качеств нет неуязвимости. На митапе были разобраны вопросы, какие угрозы актуальны для Linux и как от них защититься.

Под катом мы собрали полный плейлист выступлений:

•  Безопасность ядра Linux: в теории и на практике / Александр Попов, Positive Technologies

• Повышение привилегий на Linux / Владимир Ротанов, «Инфосистемы Джет»

• Анализ взлома общедоступных экземпляров баз данных / Александр Матвиенко, «Инфосистемы Джет»

• Особенности вредоносного ПО под Linux-системы / Ярослав Шмелёв, «Лаборатория Касперского»

• Анализ логов в Unix-системах / Артём Крикунов, «Инфосистемы Джет»

• Харденинг Linux / Антон Велижанинов, «Инфосистемы Джет»

· Ты уважаемый CISO крупной нефтяной компании, но твой ребенок — блогер и зарабатывает больше тебя?
· Ты нашел уязвимость по программе Bug Bounty у мясомолочного завода, а у них нет денег, и они выплачивают тебе молочкой и мясом?
· Регулятор выдал новую порцию требований, а у тебя бюджет — три рубля и жвачка «Турбо»?

Эти и многие другие злободневные ситуации мы объединили в игре Jet Security Memes.

Переходи по кат и скачивай карточки!

Привет. Меня зовут Александр Родченков, я занимаюсь речевой аналитикой в центре машинного обучения «Инфосистемы Джет». Тут я расскажу о биграммах и триграммах на примере реального, хоть и довольно скромного, кейса. Что же это за «граммы» такие, с чем их «едят» и зачем они нам? Кейс решал задачу сбора и обработки данных одной из продовольственных компаний. Сложность задачи заключалась в том, что в речи было очень много специфических терминов и аббревиатур. Как мы с этим справились, и с какими неожиданностями столкнулись после, читай под катом.

Два года мы с командой строили платформу киберучений. Мы начали с пары виртуалок c 2 Гб RAM на борту в EVE-NG (причем это была вложенная в VMWare ESXi виртуализация) и домасштабировали до самостоятельной инфраструктуры с контейнеризованными сервисами для обучения по ИБ и возможностью подключения практически неограниченного количества обучающихся. Это статья о нестандартных решениях, самой платформе и участии в мероприятии CyberCamp, для которого предоставили виртуальную инфраструктуру.

Переходи под кат, если интересно, как пробросить большое количество пользователей в виртуальную среду с помощью одного браузера, не давая им прямой RDP\VNC\ssh доступ, да еще и бесплатно. Также поделюсь нашими наработками и планами по развитию платформы Jet CyberCamp.

Привет, Хабр!

Правила игры простые: я рассказываю историю про аудит безопасности, а вы оцениваете, правда это или нет. Под спойлером — ответ.

1. «Суперпроводимость»

Проводим экспертный аудит в крупном производственном комплексе. Последнее время заказчики часто выбирают дистанционный формат сбора информации. Но в данном случае заказ был очный, то есть мы с аудиторской командой приезжаем на проходную, дальше планируется, что мы будем ходить по территории и искать всякие радости для внутреннего злоумышленника. И вот мы стоим и готовимся получить пропуск, а в это время по всему производству отключается электричество. Заодно останавливается вся производственная линия, что по масштабам проблемы примерно равняется дню П. Ни о каком аудите речи, конечно, уже нет. Мы около часа сидим на проходной, пытаемся дописаться до наших пентестеров (вдруг они «постарались»), а потом узнаём, что причиной инцидента стала полевая мышь: она залезла в щитовую и закоротила собой электрику.

2. «Новогодняя ёлка»
Тест на проникновение. Задача — получить доступ из корпоративного сегмента в технологический, по возможности — к серверам АСУ ТП. Неделю мы его колупали, а потом прошли. Оформили доказательства, отправили заказчику. Но скриншоты в отчёте с чёрным фоном из терминала Kali с перечислениями уязвимостей и подробным описанием оказались для заказчика не очень убедительными: в систему защиты были вложены деньги, всего этого просто не может быть! В очередной раз получив комментарий «Это к ничему страшному не приведет», наш пентестер психанул и нарисовал лампочками на пульте управления SCADA-системой (в тестовом сегменте) ёлочку. Вопросов у заводчан сразу не осталось.

Привет, Хабр! В данной статье мы рассмотрим процесс настройки мониторинга массивов семейства HP EVA (Enterprise Virtual Array) с помощью Open Source продукта Zabbix, объясним, как получать и обрабатывать данные с массива, покажем, с какими проблемами можно столкнуться при настройке, а также расскажем о двух вариантах реализации системы мониторинга.

Привет, Хабр! Меня зовут Герман Холмов, долгое время я работал в Positive Technologies в должности Digital Marketing Director. На Хабре многие знают эту компанию, а если нет - то вот ее блог. Но речь сейчас не о компании, а об организации двух онлайн-ивентов для специалистов по кибербезопасности. Я вместе с командой отвечал за запуск. В ходе реализации проекта пришлось решать немало проблем, которые возникали как до организации мероприятий, так и во время. Думаю, что мой опыт будет полезен, поэтому и решил написать статью. О подробностях - под катом.

Вот и прошла онлайн-конференция CyberCamp 2022: итоги подведены, подарки и благодарности отправлены.

Под катом вы найдете пять лучших выступлений по итогам трех дней кэмпа. Выступления стали самыми популярными по итогам опроса зрителей. Enjoy!

Сегодня в ТОП-3 — новые способы применения ВПО Prilex, исследование кибератак на основе вредоносных DLL и взлом серверов Microsoft SQL с помощью ВПО FARGO.

Новости собирал Ильяс Садыков, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

В последнее время почти на каждом проекте по внутреннему пентесту я встречаю уязвимость PetitPotam. И почти всегда она помогает в получении привилегий администратора домена. При наличии доменной учетной записи (в некоторых случаях возможна эксплуатация уязвимости без аутентификации) атакующий может с помощью специально сформированного запроса заставить уязвимый хост выполнить обращение к произвольному хосту с передачей аутентификационных данных.

В этой статье я расскажу, как использую эту уязвимость и как мне удалось получить привилегии администратора домена пятью разными способами в реальных проектах.

Подробнее — под катом.

В сентябре мы организовали в онлайне кибертренинг в рамках CyberCamp 2022. В нем приняли участие 40 команд со всей России, а с нашей стороны более 40 человек придумывали задания, тестили платформу, мониторили инфраструктуру, курировали команды. О полученном опыте, эмоциях и набитых шишках рассказываем в этом посте.

Сегодня в ТОП-3 — обновление безопасности GitLab, уязвимость в приложении TikTok и пять расширений Google Chrome, крадущих данные пользователей.

Новости собирал Евгений Тюрин, старший специалист по информационной безопасности Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Мы продолжаем делать видеоконтент, который может быть полезным как начинающим безопасникам, студентам, так и ИБ-и ИТ-специалистам. Сегодня публикуем 2 новых ролика Security Small Talk. В первом смотрите об управлении секретами в DevOps-окружениях, во втором найдете интересные факты о реагировании на инциденты и их расследовании.

В данной статье рассмотрим уязвимости, которые легко проэксплуатировать в Active Directory — так называемые «низко висящие фрукты». Они часто встречаются и в результате дают возможность атакующему продвинуться вглубь инфраструктуры или получить дополнительную информацию.

Комбинация таких участков часто позволяет достичь полного контроля над средой Active Directory с правами администратора домена или расширить исходные привилегии.

Не углубляясь в технические дебри, я хочу показать, какие типовые проблемы существуют в домене Active Directory, что они из себя представляют и какие меры защиты стоит применить либо принять во внимание.

Подробнее — под катом.

Заходите под кат смотреть видео о защите сред контейнерной оркестрации. Спецы по DevSecOps упаковали в пятиминутный ролик выжимку из NIST SP 800-190, официальной документации Kubernetes, десятки страниц материалов производителей средств защиты и свой опыт на проектах.

Будет полезно и тем, кто пишет код, и тем, кто следит за его секьюрностью.

Добро пожаловать под кат, если не всегда успеваете следить за теми направлениями ИБ, в которых сейчас не делаете ничего руками.

Самая улыбчивая на рынке ИБ Лера Суворова и пять узких специалистов за пять минут освежат ваши знания и дополнят их своим практическим опытом. Полезно будет и начинающим безопасникам, и перегруженным ИБ-шникам, и ИТ-специалистам, и студентам. Уже ждут просмотров ролики о Deception, защите данных в облаках, киберполигонах, автопентесте и Digital Risk Protection.

Не можете разобраться, что происходит в сетевой инфраструктуре? Создание Access Control List (ACL) давно стало рутиной, но по-прежнему отнимает очень много времени? Приходится управлять несколькими межсетевыми экранами разных вендоров одновременно? Скоро придет аудитор, чтобы проверить, насколько написанные вами правила доступа соответствуют требованиям регулятора или отраслевому стандарту? Если вы узнали себя хоть в одном вопросе, этот текст для вас.

В общем, добро пожаловать под кат все ищущие унификации в анализе и контроле настроек межсетевых экранов (МСЭ) и сетевых устройств.