Технология моделирования угроз (TME – Threat Modeling Engine), которая лежит в основе метапродукта MaxPatrol Carbon и позволяет создать цифровую модель инфраструктуры с учетом возможностей передвижения хакера в ней – это наша собственная разработка. Данные об инфраструктуре мы берем из продукта Positive Technologies – MaxPatrol VM, для хранения данных – Postgres, но также тестируем различные графовые базы данных для дальнейшего развития. О принципах описания типов действий атакующих и об алгоритме поиска маршрутов расскажем в следующих статьях.
Спасибо за обратную связь. В серии статей мы подробнее расскажем о методике повышения киберустойчивости компании на основе поиска и нейтрализации потенциальных маршрутов кибератак на критически важные активы.
К сожалению, исправления уязвимостей и различных недочетов безопасности тоже происходят посредством обновления. Да и жить без новых фич тоже мало кто захочет.
Действительно хороший пример. Однако комплексная защита и Васяну проблем доставит. Отломать какой-нибудь isJB или rootbeer – много скилла не потребует. Но вот возиться с репаком мобильного банка, накрытого действительно хорошим протектором – это непростая задача
“Васян все равно сильнее” – это и правда и неправда одновременно. Полно мамкиных хакеров, которых отпугнет даже банальная проверка superSU на Android или схемы cydia в iOS. При этом даже топовые протекторы обходятся спустя достаточное количество потраченного времени крутых экспертов. Но спустя длительное время версия может оказаться уже не актуальной.
Хорошая защита сделает неинтересным для Васяна похек конкретно этого приложения, и тогда защиту можно считать успешной.
Это все равно, как по мне, уход от проблемы вместо решения ее причины. Если у вас большое доверие клиенту, то как ни обфусцируй код, все равно найдется упертый хакер, который это расковыряет и будет эксплуатировать. А если система спроектирована грамотно и на клиенте никаких решений не принимается, то можно хоть исходники в паблик выкладывать, это ничего не даст хакеру.
Вы рассуждаете как человек, умеющий писать безопасный код. В реальности таких людей - единицы. Фокус разработчика в первую очередь на фичах, которые помогают зарабатывать, а безопасность - это расходы. В идеальном мире все знают, как делать безопасно, но за 10 лет практики я редко встречал такие приложения.
Вот хороший пример, когда обфускация кода никак не поможет. Заметки должны храниться зашифрованными, а ключ должен лежать в системном хранилище, откуда его не достать, если подпись приложения и bundle id отличается. Все! Хоть в опенсорс эти заметки выкладывай, достать из них данные без взлома операционной системы не выйдет. Ну и если приложение хоть трижды обфусцировано, но при этом заметки в плейнтексте, даже пытаться расковыривать приложение не придется.
В вашем примере есть одно важное допущение: приложение не содержит других уязвимостей к описанной вами безопасной реализации у меня наберется с десяток примеров прочих уязвимостей, которые позволят сломать даже такую защищенную реализацию: манипулирование фрагментами, небезопасное межпроцессное взаимодействие во всех вариациях, атаки через диплинки, трюки с webview и многое-многое другое...
К чему я это все: предложенная вами схема действительно правильная, вот только на просторах мобильных приложений идеальных реализаций я не встречал еще ни разу.
Добрый день! Мы призываем исследователей выстраивать сотрудничество с производителями ПО согласно политике ответственного разглашения — сообщая об этом вендорам для своевременного устранения уязвимостей до того, как это станет известно реальным злоумышленникам.
Мы непрерывно работаем над повышением безопасности своих продуктов. В числе мер по улучшению их защищенности, например, наша программа вознаграждения за найденные уязвимости. В область действия программы входит и продукт MaxPatrol VM. За обнаруженные недостатки в защите исследователи могут получить до 2 млн рублей. С условиями участия можно ознакомиться на сайте.
Команда работает над решением данного вопроса. Пользователям продукта мы рекомендуем перед отправкой логов удалять чувствительные данные.
Да, всё так. Там в архиве явно не документы Word, и пользователь чаще всего не придает этому значение. Действительно, сценарий фишинга достаточно простой и часто используемый.
Не совсем. Пользователь под Windows должен скачать архив со зловредом, открыть его в 7-Zip, затем открыть вложенный архив и во вложенном архиве запустить зловредный файл. Тогда этот запуск не заблокируется функцией SmartScreen Microsoft Defender-а. То есть атака упрощается.
Спасибо за комментарий. Вообще, основная цель исследования в том, чтобы показать актуальное состояние именно рынка киберпреступных услуг и товаров. Хотим показать, как развивается преступный хакерский рынок и к чему может привести такое развитие. Также обращаем внимание в статье, к чему уже проявляют интерес киберпреступники. Так сказать, какие наметились тренды в этой сфере..
В данном случае речь шла не о правилах детектирования вредоносных файлов endpoint-решениями, а о правилах обнаружения аномалий и поиска угроз средствами киберразведки. Подходы указанных направлений к обнаружению угроз несколько отличаются и имеют свою собственную специфику.
Сертификаты Х.509, использованные APT-группировкой DarkGaboon, являются именно поддельными, т.к. в действительности они не выпускались никаким из удостоверяющих центров и были изготовлены с использованием специализированных утилит, дублирующих содержимое оригинальных валидных сертификатов. Подобные утилиты доступны как в Интернете в виде исполняемых файлов и Python-скриптов, так и в рамках пакета услуг, предоставляемых сервисами-крипторами. Исследование показало, что обнаруженные сертификаты являются изготовленными подобным образом поддельными дубликатами оригинальных сертификатов, использованных при подписании программного кода легитимного программного обеспечения, в т.ч. доступного в настоящий момент на официальных сайтах ряда российских разработчиков, бренды которых были незаконно использованы APT-группировкой DarkGaboon. Факт подделки вскрывается при проверке валидности сертификатов. Подобная техника способна ввести в заблуждение ряд средств защиты информации.
А также две статьи про багхантинг (летящие жуки), несколько статей с упоминанием матрицы MITRE ATT&CK (зеленый код на экране ноута), рубрику «Оголяемся технологически» (скелет на экране планшета), статьи про методологию ХардкорИТ (гитара с надписью Rock&Roll Forever) и EDR (щит). Черные коты встречаются в названиях и в картинках сразу в трех статьях – «Почему котику лучше в коробке», «Killchain из восьми шагов и котики», а также «Создание GitHub бота для сообщества»:
7. Тату. С татуировками не принято пускать в японские бани, такая у них борьба с якудза, у которых есть татуировки. Людей с татушками как бы отфильтровывают на входе, это похоже на работу файрвола. С другой стороны, и на файрвол бывает проруха, поэтому недопуск европейца с татухой похоже на типичное ложное срабатывание, считает наш коллега. Вот здесь подробнее можно почитать про другие занятные сравнения и параллели:
Понимаем, что абсолютно точно ответить на все вопросы, включая зашифрованную обложку, сложно, поэтому мы и решили, что победит тот, кто максимально полно ответит на вопросы.
Итак, абсолютно точно победителями становятся fnatikjke и DiaTDS111. Оба сразили наповал редакцию блога упорством и волей к победе, а fnatikjke еще и оказался очень близок к разгадке «пасхалки от дизайнера», как мы ее тут у себя назвали. Нужно было просто идти от обратного и вспомнить музыкальный стиль, противопоставленный рок-н-роллу, и найти/вспомнить материалы про одну там методологию.
С третьи победителем было сложно, и все-таки мы решили, что это AVX. Пусть ответы были неполные, «ленивые» как коалы :) и местами неверные, но внимание к статье в канун Нового года само по себе заслуживает уважения и подарка.
По-здра-вля-ем!
Дорогие победители, присылайте в личку свои контакты.
Еще раз спасибо всем участникам. Было весело, как-нибудь обязательно повторим.
Видим правильные ответы:) Спасибо всем, кто участвует и отвечает, особенно так подробно.
Кстати, с черным котом получается целых три правильных ответа, и все они были на обложках к статьям (две статьи уже назвали). И ещё на картинке пока никто не обратил внимание на особенного жука. Играем дальше!
зы а вот гитара на обложке -- это уже наш прекрасный иллюстратор, кажется, решил поиграть с модератором :)
Технология моделирования угроз (TME – Threat Modeling Engine), которая лежит в основе метапродукта MaxPatrol Carbon и позволяет создать цифровую модель инфраструктуры с учетом возможностей передвижения хакера в ней – это наша собственная разработка. Данные об инфраструктуре мы берем из продукта Positive Technologies – MaxPatrol VM, для хранения данных – Postgres, но также тестируем различные графовые базы данных для дальнейшего развития. О принципах описания типов действий атакующих и об алгоритме поиска маршрутов расскажем в следующих статьях.
Спасибо за обратную связь. В серии статей мы подробнее расскажем о методике повышения киберустойчивости компании на основе поиска и нейтрализации потенциальных маршрутов кибератак на критически важные активы.
К сожалению, исправления уязвимостей и различных недочетов безопасности тоже происходят посредством обновления. Да и жить без новых фич тоже мало кто захочет.
Действительно хороший пример. Однако комплексная защита и Васяну проблем доставит. Отломать какой-нибудь isJB или rootbeer – много скилла не потребует. Но вот возиться с репаком мобильного банка, накрытого действительно хорошим протектором – это непростая задача “Васян все равно сильнее” – это и правда и неправда одновременно. Полно мамкиных хакеров, которых отпугнет даже банальная проверка superSU на Android или схемы cydia в iOS. При этом даже топовые протекторы обходятся спустя достаточное количество потраченного времени крутых экспертов. Но спустя длительное время версия может оказаться уже не актуальной. Хорошая защита сделает неинтересным для Васяна похек конкретно этого приложения, и тогда защиту можно считать успешной.
Вы рассуждаете как человек, умеющий писать безопасный код. В реальности таких людей - единицы. Фокус разработчика в первую очередь на фичах, которые помогают зарабатывать, а безопасность - это расходы. В идеальном мире все знают, как делать безопасно, но за 10 лет практики я редко встречал такие приложения.
В вашем примере есть одно важное допущение: приложение не содержит других уязвимостей к описанной вами безопасной реализации у меня наберется с десяток примеров прочих уязвимостей, которые позволят сломать даже такую защищенную реализацию: манипулирование фрагментами, небезопасное межпроцессное взаимодействие во всех вариациях, атаки через диплинки, трюки с webview и многое-многое другое...
К чему я это все: предложенная вами схема действительно правильная, вот только на просторах мобильных приложений идеальных реализаций я не встречал еще ни разу.
Добрый день! Мы призываем исследователей выстраивать сотрудничество с производителями ПО согласно политике ответственного разглашения — сообщая об этом вендорам для своевременного устранения уязвимостей до того, как это станет известно реальным злоумышленникам.
Мы непрерывно работаем над повышением безопасности своих продуктов. В числе мер по улучшению их защищенности, например, наша программа вознаграждения за найденные уязвимости. В область действия программы входит и продукт MaxPatrol VM. За обнаруженные недостатки в защите исследователи могут получить до 2 млн рублей. С условиями участия можно ознакомиться на сайте.
Команда работает над решением данного вопроса. Пользователям продукта мы рекомендуем перед отправкой логов удалять чувствительные данные.
Мы не нарочно, заголовок поменяли.
По сути, Themida, используемая криптором, не имеет каких-то модификаций, следовательно он поддается распаковке с помощью open-source утилит.
Да, всё так. Там в архиве явно не документы Word, и пользователь чаще всего не придает этому значение. Действительно, сценарий фишинга достаточно простой и часто используемый.
Не совсем. Пользователь под Windows должен скачать архив со зловредом, открыть его в 7-Zip, затем открыть вложенный архив и во вложенном архиве запустить зловредный файл. Тогда этот запуск не заблокируется функцией SmartScreen Microsoft Defender-а. То есть атака упрощается.
Спасибо за комментарий. Вообще, основная цель исследования в том, чтобы показать актуальное состояние именно рынка киберпреступных услуг и товаров. Хотим показать, как развивается преступный хакерский рынок и к чему может привести такое развитие.
Также обращаем внимание в статье, к чему уже проявляют интерес киберпреступники. Так сказать, какие наметились тренды в этой сфере..
Спасибо за внимание к статье. Она посвящена именно инфобезу. Расширенную версию можно посмотреть здесь: https://www.ptsecurity.com/ru-ru/research/analytics/rynok-kiberprestupnosti/
В данном случае речь шла не о правилах детектирования вредоносных файлов endpoint-решениями, а о правилах обнаружения аномалий и поиска угроз средствами киберразведки. Подходы указанных направлений к обнаружению угроз несколько отличаются и имеют свою собственную специфику.
Сертификаты Х.509, использованные APT-группировкой DarkGaboon, являются именно поддельными, т.к. в действительности они не выпускались никаким из удостоверяющих центров и были изготовлены с использованием специализированных утилит, дублирующих содержимое оригинальных валидных сертификатов. Подобные утилиты доступны как в Интернете в виде исполняемых файлов и Python-скриптов, так и в рамках пакета услуг, предоставляемых сервисами-крипторами. Исследование показало, что обнаруженные сертификаты являются изготовленными подобным образом поддельными дубликатами оригинальных сертификатов, использованных при подписании программного кода легитимного программного обеспечения, в т.ч. доступного в настоящий момент на официальных сайтах ряда российских разработчиков, бренды которых были незаконно использованы APT-группировкой DarkGaboon. Факт подделки вскрывается при проверке валидности сертификатов. Подобная техника способна ввести в заблуждение ряд средств защиты информации.
Правильные ответы такие:
1. Группировка называется «Ленивые коалы»:
https://habr.com/ru/companies/pt/articles/805087/
2. Рубрика называется «Оголяемся технологически»:
https://habr.com/ru/companies/pt/articles/829956/
https://habr.com/ru/companies/pt/articles/831106/
https://habr.com/ru/companies/pt/articles/857760/
3. По подсчетам наших экспертов, самыми опасными уязвимостями отличились продукты Microsoft
4. Мы не зря дали подсказку скрытым текстом. Всё написано на обложке к статье:
https://habr.com/ru/companies/pt/articles/840266/
Это, конечно, частный случай, и отрезок времени для каждого бизнеса будет свой.
5. В иллюстрации мы зашифровали такие статьи:
- «Баг в ВК, или Как поступить на факультет пиратов»
https://habr.com/ru/companies/pt/articles/864616/
- «Любовь в каждой атаке…» (конверт с сердечком)
- https://habr.com/ru/companies/pt/articles/807393/
- «Почту на прокачку…» (буквы MS на сугробе :))
- «Профессия “Белый хакер”» (на кнопке перехода написано «Следуй за белым хакером», ну, а дальше ассоциации с белым кроликом и – погнали!)
https://habr.com/ru/companies/pt/articles/813137/
- «Опасное цифровое наследство» (бегущая, или пьяная (?) «симка»)
https://habr.com/ru/companies/pt/articles/856538/
- «Ледибаг в деле…» (божья коровка)
https://habr.com/ru/companies/pt/articles/847740/
А также две статьи про багхантинг (летящие жуки), несколько статей с упоминанием матрицы MITRE ATT&CK (зеленый код на экране ноута), рубрику «Оголяемся технологически» (скелет на экране планшета), статьи про методологию ХардкорИТ (гитара с надписью Rock&Roll Forever) и EDR (щит). Черные коты встречаются в названиях и в картинках сразу в трех статьях – «Почему котику лучше в коробке», «Killchain из восьми шагов и котики», а также «Создание GitHub бота для сообщества»:
https://habr.com/ru/companies/pt/articles/802697/
https://habr.com/ru/companies/pt/articles/841072/
https://habr.com/ru/companies/pt/articles/851940/
6. Это «Хулиномика», можете проверить:
https://habr.com/ru/companies/pt/articles/835758/
7. Тату. С татуировками не принято пускать в японские бани, такая у них борьба с якудза, у которых есть татуировки. Людей с татушками как бы отфильтровывают на входе, это похоже на работу файрвола. С другой стороны, и на файрвол бывает проруха, поэтому недопуск европейца с татухой похоже на типичное ложное срабатывание, считает наш коллега. Вот здесь подробнее можно почитать про другие занятные сравнения и параллели:
https://habr.com/ru/companies/pt/articles/828472/
8. Стеганография, а причем тут романтика можно почитать здесь:
https://habr.com/ru/companies/pt/articles/807393/
9. Тут требовалась смелость ответить «Все три пункта подходят».
https://habr.com/ru/companies/pt/articles/793648/
10. В железе. Таня сама задаётся этим вопросом в названии:
https://habr.com/ru/companies/pt/articles/854290/
Привет всем!
Понимаем, что абсолютно точно ответить на все вопросы, включая зашифрованную обложку, сложно, поэтому мы и решили, что победит тот, кто максимально полно ответит на вопросы.
Итак, абсолютно точно победителями становятся fnatikjke и DiaTDS111. Оба сразили наповал редакцию блога упорством и волей к победе, а fnatikjke еще и оказался очень близок к разгадке «пасхалки от дизайнера», как мы ее тут у себя назвали. Нужно было просто идти от обратного и вспомнить музыкальный стиль, противопоставленный рок-н-роллу, и найти/вспомнить материалы про одну там методологию.
С третьи победителем было сложно, и все-таки мы решили, что это AVX. Пусть ответы были неполные, «ленивые» как коалы :) и местами неверные, но внимание к статье в канун Нового года само по себе заслуживает уважения и подарка.
По-здра-вля-ем!
Дорогие победители, присылайте в личку свои контакты.
Еще раз спасибо всем участникам. Было весело, как-нибудь обязательно повторим.
Всем привет! Стоп, игра! Спасибо большое за участие всем. Мы изучим ответы и вернемся в скором времени.
зы. все-таки пасхалку дизайнеров не разгадали:)
Bingo!
Видим правильные ответы:) Спасибо всем, кто участвует и отвечает, особенно так подробно.
Кстати, с черным котом получается целых три правильных ответа, и все они были на обложках к статьям (две статьи уже назвали). И ещё на картинке пока никто не обратил внимание на особенного жука. Играем дальше!
зы а вот гитара на обложке -- это уже наш прекрасный иллюстратор, кажется, решил поиграть с модератором :)
Спасибо, дельное замечание. Расскажете подробнее?