Привет. Все идентифицированные компании получили соответствующее уведомление и рекомендации по противодействию данному виду ВПО и стоящим за ним злоумышленникам. Наша задача добиться того, чтобы на уровне техники злоумышленник не имел шансов для атаки.
Не совсем так :) Доступ позволяет злоумышленникам развивать атаку во внутренней сети компании. Это может привести к недопустимым для организации событиям, например, краже денежных средств, нарушению и остановке бизнес-процессов на длительное время, утечке конфиденциальных данных, атаке на партнеров и клиентов.
Обнаружение и удаление стиллеров на рабочих станциях — это задача защиты конечных точек, которой занимается наш продукт MaxPatrol EDR. Он входит в состав MaxPatrol О2.
Ошибки любого журнала могут означать разное и без совокупности всех журнальных данных продукта могут оказаться малоэффективными. В случае если у вас есть ошибки в работе продукта, рекомендуем обратиться на портал техподдержки. Мы обязательно поможем вам с их решением.
Да, обновленный анализатор для Python уже в релизе.
Вызов метода __import__ встречается в пользовательском коде, необходимо его поддерживать. Привычный import работает с идентификаторами, а вызов метода __import__ принимает на вход строковый литерал, атакующие этим воспользовались. Учтем :)
Стоит упомянуть, что другие аргументы данного метода позволяют указать области видимости в контексте интерпретируемого пакета, список импортируемых объектов, абсолютный или относительный импорт. Результат импорта вместо добавления в текущий локальный скоуп является возвращаемым значением функции. Подробнее можно прочитать в документации.
Спасибо за интересный комментарий! Безусловно, это одна из сложностей, с которой придется столкнуться. Однако следует понимать, что в статье мы описываем подход к решению конкретной задачи. При его внедрении в тот или иной продукт он комбинируется с множеством других подходов, моделей и техник машинного обучения. В этом случае будут supervised-модели, которые не обучаются на трафике конкретных инфраструктур. Это позволит с большей долей вероятности обнаружить такие «сюрпризы» и очистить обучающую выборку в автоматическом или ручном режиме.
Приведем немного утрированный пример: умные фитнес-браслеты может носить человек, у которого показатели здоровья не в норме. Тем не менее есть общепринятые усредненные цифры, по которым можно судить, что температура тела 38°C определенно является отклонением от нормы.
Добрый день, PyAnalysis ищет только вредоносное ПО. Более того, мы видим, что поиск уязвимостей в коде занимает особое место в процессе безопасной разработки, в то время как выявлению вредоносного кода во внешних зависимостях уделяется мало внимания.
PowerShell не поставляется в виде пакетов, и у него нет публичного репозитория скриптов. На данный момент мы не планируем охватывать PowerShell. Если требуется проверить его на предмет закладок, лучше воспользоваться песочницей.
В случае сторонних продуктов атака, скорее всего, не будет иметь успеха даже при благополучной загрузке шаблона — RTF-документа с эксплойтом, который нацелен на конкретный программный компонент Office Word, в частности на редактор формул в RTF. Поэтому этот эксплойт не отработает.
Если речь идет о безопасном режиме Microsoft Word, нагрузка будет скачана в любом случае, так как она загружается на начальном этапе открытия документа.
Докладов, посвященных теме баз данных, у экспертов Positive Technologies нет. На HighLoad++ вы можете посмотреть выступления наших специалистов по другим темам. Мы подготовили много всего интересного :)
В каждой исследованной организации был обнаружен хотя бы один вектор атаки, связанный с эксплуатацией уязвимостей или недостатков конфигурации веб-приложений (техника exploit public-facing application). Самым распространенным из таких векторов оказалась эксплуатация уязвимостей в CMS Bitrix: эти уязвимости стали отправной точкой для получения доступа во внутренние сети десяти организаций.
На всякий случай поправили в полной версии отчета формулировку из врезки, вызвавшую вопросы 🙂.
При подготовке отчета мы рассматривали только сценарии атаки на инфраструктуру организаций. Об этом мы говорим в самом начале нашего исследования (рекомендуем ознакомиться с полной его версией). Атаки с использованием техник социальной инженерии не входили в скоуп нашего исследования.
Добрый день. Во второй сноске указано, что нами было проанализировано 53 проекта по внутреннему, внешнему и комплексному тестированию на проникновение, проведенных в 30 организациях во втором полугодии 2021 года и первом полугодии 2022 года.
Ознакомиться с полной версией нашего отчета вы можете по ссылке.
Добрый вечер!
Сканер bbs (https://bbs.ptsecurity.com/) был доступен для использования с 2017 года, в том числе и российским пользователям.
В ближайшее время on-premise продукт PT Black Box тоже будет включен в реестр отечественного ПО. Спасибо за интерес к продукту!
Мы вычислили его по другим данным, в частности по имени и фотографии.
Привет. Все идентифицированные компании получили соответствующее уведомление и рекомендации по противодействию данному виду ВПО и стоящим за ним злоумышленникам. Наша задача добиться того, чтобы на уровне техники злоумышленник не имел шансов для атаки.
Не совсем так :) Доступ позволяет злоумышленникам развивать атаку во внутренней сети компании. Это может привести к недопустимым для организации событиям, например, краже денежных средств, нарушению и остановке бизнес-процессов на длительное время, утечке конфиденциальных данных, атаке на партнеров и клиентов.
Обнаружение и удаление стиллеров на рабочих станциях — это задача защиты конечных точек, которой занимается наш продукт MaxPatrol EDR. Он входит в состав MaxPatrol О2.
Ошибки любого журнала могут означать разное и без совокупности всех журнальных данных продукта могут оказаться малоэффективными. В случае если у вас есть ошибки в работе продукта, рекомендуем обратиться на портал техподдержки. Мы обязательно поможем вам с их решением.
Да, обновленный анализатор для Python уже в релизе.
Вызов метода
__import__встречается в пользовательском коде, необходимо его поддерживать. Привычныйimportработает с идентификаторами, а вызов метода__import__принимает на вход строковый литерал, атакующие этим воспользовались. Учтем :)Стоит упомянуть, что другие аргументы данного метода позволяют указать области видимости в контексте интерпретируемого пакета, список импортируемых объектов, абсолютный или относительный импорт. Результат импорта вместо добавления в текущий локальный скоуп является возвращаемым значением функции. Подробнее можно прочитать в документации.
Та самая команда:
__import__(b"\xff\xfes\x00u\x00b\x00p\x00r\x00o\x00c\x00e\x00s\x00s\x00".decode('utf-16').check_output(*CMD*).decode()Спасибо за интересный комментарий! Безусловно, это одна из сложностей, с которой придется столкнуться. Однако следует понимать, что в статье мы описываем подход к решению конкретной задачи. При его внедрении в тот или иной продукт он комбинируется с множеством других подходов, моделей и техник машинного обучения. В этом случае будут supervised-модели, которые не обучаются на трафике конкретных инфраструктур. Это позволит с большей долей вероятности обнаружить такие «сюрпризы» и очистить обучающую выборку в автоматическом или ручном режиме.
Приведем немного утрированный пример: умные фитнес-браслеты может носить человек, у которого показатели здоровья не в норме. Тем не менее есть общепринятые усредненные цифры, по которым можно судить, что температура тела 38°C определенно является отклонением от нормы.
Некоторым командам мы отправили специальные приглашения.
Добрый день, PyAnalysis ищет только вредоносное ПО. Более того, мы видим, что поиск уязвимостей в коде занимает особое место в процессе безопасной разработки, в то время как выявлению вредоносного кода во внешних зависимостях уделяется мало внимания.
PowerShell не поставляется в виде пакетов, и у него нет публичного репозитория скриптов. На данный момент мы не планируем охватывать PowerShell. Если требуется проверить его на предмет закладок, лучше воспользоваться песочницей.
В случае сторонних продуктов атака, скорее всего, не будет иметь успеха даже при благополучной загрузке шаблона — RTF-документа с эксплойтом, который нацелен на конкретный программный компонент Office Word, в частности на редактор формул в RTF. Поэтому этот эксплойт не отработает.
Если речь идет о безопасном режиме Microsoft Word, нагрузка будет скачана в любом случае, так как она загружается на начальном этапе открытия документа.
В абзаце над врезкой в нашем отчете отмечено:
На всякий случай поправили в полной версии отчета формулировку из врезки, вызвавшую вопросы 🙂.
В исследование не вошли кейсы атак с использованием социальной инженерии и атак на беспроводные сети.
Все виды атак представлены на рисунках ниже.Подробнее о результатах проведенных пентестов можно прочитать здесь.
При подготовке отчета мы рассматривали только сценарии атаки на инфраструктуру организаций. Об этом мы говорим в самом начале нашего исследования (рекомендуем ознакомиться с полной его версией). Атаки с использованием техник социальной инженерии не входили в скоуп нашего исследования.
Добрый день. Во второй сноске указано, что нами было проанализировано 53 проекта по внутреннему, внешнему и комплексному тестированию на проникновение, проведенных в 30 организациях во втором полугодии 2021 года и первом полугодии 2022 года.
Ознакомиться с полной версией нашего отчета вы можете по ссылке.
Сканер bbs (https://bbs.ptsecurity.com/) был доступен для использования с 2017 года, в том числе и российским пользователям.
В ближайшее время on-premise продукт PT Black Box тоже будет включен в реестр отечественного ПО. Спасибо за интерес к продукту!