Согласны с вами, неуязвимых систем не бывает. Однако совокупность технических мер, политик безопасности и выстроенного на всех этапах мониторинга информационной безопасности дает уверенность в невозможности реализации недопустимого события.
Да нахрен будут ломать вашу супер пупер защищённую систему.Сломают просто вашего хостера и дело с концом - проще, дешевле и результативнее ;) ;)
Действительно, для каких-то компаний взлом хостера может нанести сильный ущерб. Но в нашем случае взлом хостера не приведет к реализации недопустимого события.
"До сих пор исполнить сценарий полностью, включая финальный этап кражи, никто не смог. "
Во фразе «До сих пор исполнить сценарий полностью, включая финальный этап кражи, никто не смог» имели в виду, что мы видим попытки атак на нашу инфраструктуру, успешно ловим их и блокируем.
Привет! Согласно правилам багбаунти Positive Technologies, задействовать сотрудников компании запрещено. Все способы нелегального воздействия, такие как угрозы, шантаж и т. д., выходят за рамки багбаунти.
Если говорить про реальную ситуацию, действительно, социальная инженерия — это один из ключевых способов проникнуть внутрь организации. В любой системе, где человек является важным звеном, вероятность ошибки гораздо выше. Мы обучаем всех наших сотрудников основам кибербезопасности, регулярно проводим вебинары и курсы по правильному реагированию на атаки, рассказываем, когда надо обращаться в SOC компании.
Может кто-нибудь объяснить для такого необразованного виндузятника как я, что здесь написано?В моем понимании, шеллкод - это инструкции для shell, командного интерпретатора (их много, я в курсе). Как он может быть написан на ассемблере - языке для управления ЦП?
Привет!
Шелл-код — это двоичный исполняемый код. Свое название он получил из-за того, что обычно передает управление командной оболочке (shell на английском). Но в общем смысле это некий двоичный код, на который передается управление.
У шелл-кода нет таблицы импортов, поэтому для взаимодействия с Linux у него есть два пути:
Самостоятельно получить адреса необходимых функций;
Использовать системные вызовы. Авторы данного вредоносного ПО выбрали второй вариант. На языке ассемблера системный вызов выглядит следующим образом:
А зачем они там? На сервере никто браузером не пользуется, файлы им не качает, письма не открывает, бинари, скаченные с торрентов не запускает.
Привет, после успешной эксплуатации уязвимости в веб-сервисе или при боковом продвижении по хостам внутри сети злоумышленники могут устанавливать образцы вредоносного программного обеспечения на зараженные хосты для получения контроля над ними. Поэтому мы рекомендуем выполнять расширенный аудит всех хостов корпоративной инфраструктуры и использовать на них средства антивирусной защиты.
Трояны, не трояны, какая разница, что сделает взломщик с уже взломанным хостом?
Скомпрометировав хотя бы один хост корпоративной инфраструктуры, злоумышленники могут развивать атаку, дальше продвигаться внутри сети и реализовывать поставленные цели (осуществлять шпионаж, похищать данные, проводить атаки на другие сети или предпринимать деструктивные действия — шифровать или выводить инфраструктуру из строя).
но auditd настроить и банальную проверку бинарей на соответствие тем, что установлены из пакетов дистра реализовать же не сложно, верно?
Привет, установка и настройка auditd — несложный процесс, но без выстроенного процесса мониторинга на его основе это бесполезно, а сам по себе процесс мониторинга подразумевает сбор данных и их экспертный анализ, для чего нужны аппаратные, программные и человеческие ресурсы.
Группа действует достаточно аккуратно и оставляет минимальное количество следов на скомпрометированных хостах, но нам известно о случаях компрометации через публично доступные веб-сервисы, а также атакующие могут использовать украденные учетные записи для входа по протоколу SSH. Подробнее читайте в нашем полном отчете в разделе MITRE TTPs: https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/hellhounds-operaciya-lahat/
С внедрением метапродуктов компания приобретает уверенность в защите своего бизнеса с гарантированным результатом. Отсутствие их может привести к реализации недопустимых для компании событий, простою оборудования, необходимости расширения штата и неэффективному использованию средств защиты без ориентации на ключевые риски. Поэтому метапродукты надо воспринимать как окупаемую инвестицию в горизонте 3+ лет.
Привет! Про компрометацию Linux-хостов мы рассказываем в разделе "Вектор № 2. The Green Mile", где атакующим удалось скомпрометировать Citrix NetScaler Gateway под управлением ос FreeBSD. Еще больше подробностей можно найти в нашем полном отчете.
Привет. Все идентифицированные компании получили соответствующее уведомление и рекомендации по противодействию данному виду ВПО и стоящим за ним злоумышленникам. Наша задача добиться того, чтобы на уровне техники злоумышленник не имел шансов для атаки.
Не совсем так :) Доступ позволяет злоумышленникам развивать атаку во внутренней сети компании. Это может привести к недопустимым для организации событиям, например, краже денежных средств, нарушению и остановке бизнес-процессов на длительное время, утечке конфиденциальных данных, атаке на партнеров и клиентов.
Обнаружение и удаление стиллеров на рабочих станциях — это задача защиты конечных точек, которой занимается наш продукт MaxPatrol EDR. Он входит в состав MaxPatrol О2.
Ошибки любого журнала могут означать разное и без совокупности всех журнальных данных продукта могут оказаться малоэффективными. В случае если у вас есть ошибки в работе продукта, рекомендуем обратиться на портал техподдержки. Мы обязательно поможем вам с их решением.
Согласны с вами, неуязвимых систем не бывает. Однако совокупность технических мер, политик безопасности и выстроенного на всех этапах мониторинга информационной безопасности дает уверенность в невозможности реализации недопустимого события.
Действительно, для каких-то компаний взлом хостера может нанести сильный ущерб. Но в нашем случае взлом хостера не приведет к реализации недопустимого события.
Во фразе «До сих пор исполнить сценарий полностью, включая финальный этап кражи, никто не смог» имели в виду, что мы видим попытки атак на нашу инфраструктуру, успешно ловим их и блокируем.
Привет! Согласно правилам багбаунти Positive Technologies, задействовать сотрудников компании запрещено. Все способы нелегального воздействия, такие как угрозы, шантаж и т. д., выходят за рамки багбаунти.
Если говорить про реальную ситуацию, действительно, социальная инженерия — это один из ключевых способов проникнуть внутрь организации. В любой системе, где человек является важным звеном, вероятность ошибки гораздо выше. Мы обучаем всех наших сотрудников основам кибербезопасности, регулярно проводим вебинары и курсы по правильному реагированию на атаки, рассказываем, когда надо обращаться в SOC компании.
Не забывайте делать скидку на возраст) Это работа DevOps-инженера глазами детей, которым не больше шести лет.
Согласны с вами!
Привет!
Шелл-код — это двоичный исполняемый код. Свое название он получил из-за того, что обычно передает управление командной оболочке (shell на английском). Но в общем смысле это некий двоичный код, на который передается управление.
У шелл-кода нет таблицы импортов, поэтому для взаимодействия с Linux у него есть два пути:
Самостоятельно получить адреса необходимых функций;
Использовать системные вызовы. Авторы данного вредоносного ПО выбрали второй вариант. На языке ассемблера системный вызов выглядит следующим образом:
Привет, после успешной эксплуатации уязвимости в веб-сервисе или при боковом продвижении по хостам внутри сети злоумышленники могут устанавливать образцы вредоносного программного обеспечения на зараженные хосты для получения контроля над ними.
Поэтому мы рекомендуем выполнять расширенный аудит всех хостов корпоративной инфраструктуры и использовать на них средства антивирусной защиты.
Скомпрометировав хотя бы один хост корпоративной инфраструктуры, злоумышленники могут развивать атаку, дальше продвигаться внутри сети и реализовывать поставленные цели (осуществлять шпионаж, похищать данные, проводить атаки на другие сети или предпринимать деструктивные действия — шифровать или выводить инфраструктуру из строя).
Привет, установка и настройка auditd — несложный процесс, но без выстроенного процесса мониторинга на его основе это бесполезно, а сам по себе процесс мониторинга подразумевает сбор данных и их экспертный анализ, для чего нужны аппаратные, программные и человеческие ресурсы.
Группа действует достаточно аккуратно и оставляет минимальное количество следов на скомпрометированных хостах, но нам известно о случаях компрометации через публично доступные веб-сервисы, а также атакующие могут использовать украденные учетные записи для входа по протоколу SSH. Подробнее читайте в нашем полном отчете в разделе MITRE TTPs: https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/hellhounds-operaciya-lahat/
Ознакомиться с циклом наших материалов про багхантинг
С внедрением метапродуктов компания приобретает уверенность в защите своего бизнеса с гарантированным результатом. Отсутствие их может привести к реализации недопустимых для компании событий, простою оборудования, необходимости расширения штата и неэффективному использованию средств защиты без ориентации на ключевые риски. Поэтому метапродукты надо воспринимать как окупаемую инвестицию в горизонте 3+ лет.
Привет! Про компрометацию Linux-хостов мы рассказываем в разделе "Вектор № 2. The Green Mile", где атакующим удалось скомпрометировать Citrix NetScaler Gateway под управлением ос FreeBSD. Еще больше подробностей можно найти в нашем полном отчете.
Хорошее предложение, в следующий раз обязательно сделаем.
Спасибо, поправили
Текущие кейсы мы рассматривали в рамках разных продуктов. Но конечно, реально все собрать в рамках одного, например в рамках метапродуктов.
Мы вычислили его по другим данным, в частности по имени и фотографии.
Привет. Все идентифицированные компании получили соответствующее уведомление и рекомендации по противодействию данному виду ВПО и стоящим за ним злоумышленникам. Наша задача добиться того, чтобы на уровне техники злоумышленник не имел шансов для атаки.
Не совсем так :) Доступ позволяет злоумышленникам развивать атаку во внутренней сети компании. Это может привести к недопустимым для организации событиям, например, краже денежных средств, нарушению и остановке бизнес-процессов на длительное время, утечке конфиденциальных данных, атаке на партнеров и клиентов.
Обнаружение и удаление стиллеров на рабочих станциях — это задача защиты конечных точек, которой занимается наш продукт MaxPatrol EDR. Он входит в состав MaxPatrol О2.
Ошибки любого журнала могут означать разное и без совокупности всех журнальных данных продукта могут оказаться малоэффективными. В случае если у вас есть ошибки в работе продукта, рекомендуем обратиться на портал техподдержки. Мы обязательно поможем вам с их решением.