Pull to refresh
202.2
Karma
4
Rating

Как не дать злоумышленникам повысить привилегии в системе после успешного заражения

Positive Technologies corporate blogInformation SecurityProgrammingReverse engineeringSoftware

Всем привет! Этой статьей мы открываем цикл материалов от экспертного центра безопасности Positive Technologies (PT Expert Security Center). Мы расскажем о том, какие техники применяют злоумышленники при разработке инструментов для целевых и массовых атак и какие технологии есть «под капотом» нашей песочницы PT Sandbox для их детектирования.

Из первой статьи вы узнаете про самые интересные и распространенные у злоумышленников техники получения полного контроля над системой в целевых атаках. Рассмотрим, какие приемы используют киберпреступники для выдачи себя за другого пользователя, техники обхода UAC и выполнения произвольного кода с максимальными правами, а также разберем, как обнаружить все эти действия злоумышленников в PT Sandbox. Подробнее читайте под катом.

Читать далее
Total votes 3: ↑3 and ↓0 +3
Views1.8K
Comments 0

News

Show more

The Standoff, май 2021 года. О пойманных зверьках в песочнице

Positive Technologies corporate blogInformation SecuritySport programmingIT InfrastructureConferences

С 18 по 21 мая 2021 года на киберполигоне The Standoff прошло очередное противостояние между атакующими и защитниками. Бои проходили в вымышленном городе FF, представляющем собой обширную инфраструктуру, моделирующую технологические и бизнес-процессы компаний в промышленности, энергетике, на транспорте, в финансах и других секторах. На протяжении всего времени соревнований работал security operation center (SOC), состоящий из нескольких команд PT Expert Security Center и наблюдавший за всем происходящим. Одной из команд, участвовавших в тщательном мониторинге, был наш отдел обнаружения вредоносного ПО — с помощью песочницы PT Sandbox мы анализировали входной поток файлов на предмет наличия вредоносного кода.

Давайте посмотрим, что интересного удалось обнаружить в этот раз, а также предлагаем сравнить результаты с «уловом» в песочнице с прошлого противостояния.

Читать далее
Rating 0
Views1K
Comments 0

Как и чем живет отдел обнаружения вредоносного ПО в Positive Technologies

Positive Technologies corporate blogInformation SecurityProgrammingReverse engineeringIT career

Привет, Хабр! Меня зовут Алексей Вишняков. Я возглавляю отдел обнаружения вредоносного программного обеспечения PT Expert Security Center. В одной из прошлых статей мы писали о том, что делают DevOps-инженеры у нас в компании, а сегодня я расскажу, чем занимается мой отдел и какие технические задачи нам приходится решать, поделюсь собственным опытом и выделю компетенции, которыми необходимо обладать, чтобы присоединиться к нашей команде.

Читать далее
Total votes 7: ↑4 and ↓3 +1
Views2.5K
Comments 0

thrEat reSearch Camp: большой технический defensive-трек на PHDays

Positive Technologies corporate blog

Изначально PHDays был в большей степени посвящен атакам, уязвимостям и техникам взлома, но мы считаем жизненно важным уделять внимание и способам защиты от кибератак. С 2019 года наравне с offensive-треком на форуме существует большой технический defensive-трек, который мы назвали thrEat reSearch Camp.

Этот трек, как и задумывала команда экспертного центра безопасности Positive Technologies (PT ESC), стал для defensive-специалистов площадкой для обмена опытом. За два дня российские и зарубежные эксперты расскажут о новых APT-группировках, поделятся эффективными методами и инструментами выявления инцидентов, мониторинга дарквеба и анализа открытых источников, разберут в деталях сложное вредоносное ПО.

«Кибератаки вышли на уровень первых лиц государств и стали актуальной повесткой любой компании. Но как и прежде, мало кто понимает, кáк эффективно с ними бороться. Наша площадка продолжит служить местом для обмена мнениями и знаниями об актуальных угрозах и методах защиты от них», — говорит Эльмар Набигаев, заместитель директора PT ESC, глава программного комитета thrEat reSearch Camp.

Старший специалист компании Group-IB по цифровой криминалистике Олег Скулкин в своем докладе объяснит участникам трека, как перестать заниматься анализом программ-вымогателей и начать поставлять для своей команды полезные киберразведывательные данные.

Руководитель службы информационной безопасности RBK.money Алексей Пронин разберет тактики и техники хакеров при атаках на финансовые организации, способы проникновения во внутренние информационные системы компании — а также методы защиты.

Читать далее
Total votes 4: ↑3 and ↓1 +2
Views128
Comments 0

Технические доклады на PHDays: от приемов OSINT до ИБ в видеоиграх

Positive Technologies corporate blogInformation Security

Всего неделя остается до «Positive Hack Days 10: Начало», и мы продолжаем знакомить вас с нашими спикерами и самыми ожидаемыми техническими докладами из различных треков конференции.

Практические приемы OSINT в цифровом мире

Генеральный директор Avalanche Андрей Масалович на реальных примерах покажет приемы OSINT, позволяющие эффективно добывать приватную и даже секретную информацию, не прибегая к взлому. В докладе исследуются методы поиска открытых разделов в облачных хранилищах, сканирование незащищенных баз на основе PostgreSQL, MongoDB и Elasticsearch, восстановление секретных данных по глобальным логистическим базам, сбор данных по закрытым профилям в социальных сетях, деанонимизация пользователей мессенджеров.

Социнженерия-2021

Специалист по ИБ Дмитрий Андреев расскажет о фундаментальных принципах социальной инженерии, о различных сценариях ее применения, а также поделится опытом противодействия социотехникам в корпоративной среде.

Приоритизация CVE-уязвимостей с помощью Vulristics

Vulristics (от слов vulnerability и heuristics) — это расширяемый фреймворк с открытым исходным кодом для анализа общедоступной информации о публичных CVE-уязвимостях. Независимый эксперт Александр Леонов расскажет об использовании Vulristics для приоритизации уязвимостей, а также о том, почему важно уметь приоритизировать известные уязвимости и какие дополнительные источники данных можно для этого использовать.

Microsoft Active Directory: техники повышения привилегий

Эксперт по безопасности приложений Егор Богомолов (Singleton Security) формализовал все техники повышения привилегий, которые предоставляет Microsoft Active Directory вместе с первоначальной настройкой в локальной сети. Он расскажет об уязвимостях в сетях под управлением AD «из коробки» и о том, как администраторам локальной сети под управлением AD защищаться от них.

Читать далее
Total votes 5: ↑4 and ↓1 +3
Views620
Comments 0

DevSecOps. PT Application Inspector в разработке ПО: блокировка релиза

Positive Technologies corporate blogInformation SecurityStudying in ITDevOpsSoftware

Всем привет! Меня зовут Тимур Гильмуллин, я работаю в отделе технологий и процессов разработки Positive Technologies. Неформально нас называют DevOps-отделом, а наши ребята занимаются автоматизацией различных процессов и помогают программистам и тестировщикам работать с продуктовыми конвейерами. Из этой статьи вы узнаете:

●      как организованы DevSecOps-процессы в нашей компании, как построена архитектура размещения сканера PT Application Inspector в CI-конвейере и как изменилась схема типовой сборки при добавлении сканирования;

●      что такое Security Gates, как группировать уязвимости по степени важности и как при помощи шаблонов сканирования настроить блокирование мердж-реквестов в GitLab;

●      как программисты работают со сборочным конвейером, как патчат найденные уязвимости и что поменялось для них в процессе разработки после внедрения сканирования кода в сборки.

Читать далее
Total votes 2: ↑2 and ↓0 +2
Views1.2K
Comments 2

Готовимся к The Standoff 2021, или Назад в будущее

Positive Technologies corporate blogInformation SecuritySport programmingIT InfrastructureConferences

Что бы вы сделали, если бы у вас была машина времени? Отвечать за всех не будем, но можем предположить, что команды атакующих, защитников и SOC, а также другие участники The Standoff 2021 были бы не прочь перенестись на предстоящую битву и посмотреть, как будут разворачиваться события на самом большом в мире открытом киберполигоне, когда и где произойдет самое интересное и кто выиграет сражение.

До The Standoff (и международного форума по кибербезопасности «Positive Hack Days 10: Начало») осталось совсем немного – новые киберучения пройдут с 18 по 21 мая. Все билеты уже проданы, НО не расстраивайтесь. С самого утра следить за кибербитвой в прямом эфире на сайте The Standoff сможет любой желающий (добавьте себе в закладки, чтобы не забыть). Там же вы сможете послушать все доклады с PHDays – полная программа форума здесь.

Построить машину времени так быстро мы не сможем, так же как и узнать заранее, что удастся взломать хакерам и как будут отражать атаки защитники, но предлагаем вспомнить, как это происходило на прошлой кибербитве. Это отличный способ освежить впечатления и прокачать скилы перед грядущим противостоянием. Все самое важное с шестидневных киберучений The Standoff 2020 – ниже.

Читать далее
Total votes 4: ↑4 and ↓0 +4
Views1.5K
Comments 0

Открытое письмо исследовательскому сообществу

Positive Technologies corporate blog

Всем привет!

Произошедшие события обернулись для нас в первую очередь огромным количеством слов поддержки. Мы видим поддержку в комментариях к сообщениям в соцсетях, в личных сообщениях, звонках. Вы не представляете, насколько мы вам за это благодарны.

За годы работы мы обнаружили и помогли исправить огромное количество уязвимостей в приложениях и аппаратных системах, разработанных практически всеми известными вендорами, включая Cisco, Citrix, Intel, Microsoft, Siemens, VMware.

Мы бы не смогли этого сделать без привлечения лучших исследователей в области информационной безопасности, а также без активной позиции вендоров и готовности работать с исследовательскими центрами наподобие нашего для исправления всех этих уязвимостей. Нам в этом очень помогало разделение принципов ответственного разглашения (responsible disclosure), согласно которым все данные об обнаруженных уязвимостях уходят во внешний мир только по согласованию с вендором и после того, как вендор эту уязвимость исправит и доставит исправления своим клиентам.

В результате наших с вами действий мир становится чуточку лучше и безопаснее.

Для того чтобы сплотить наше с вами комьюнити, мы организовали крупнейший в России международный форум по информационной безопасности — Positive Hack Days, и смогли привлечь к диалогу на этой площадке как специалистов по ИБ из разных компаний и руководителей бизнеса, небезразличных к кибербезу, так и «парней в футболках» — белых (white hat) хакеров и исследователей, реально понимающих, как тестировать системы на проникновение, и готовых делиться своим опытом.

Читать далее
Total votes 30: ↑23 and ↓7 +16
Views4.2K
Comments 2

Официальное заявление Positive Technologies по санкциям США

Positive Technologies corporate blog

Мы, как компания, отвергаем безосновательные обвинения, выдвинутые в наш адрес министерством финансов США: за почти двадцатилетнюю историю нашей работы нет ни одного факта использования результатов исследовательской деятельности Positive Technologies вне традиций этичного обмена информацией с профессиональным ИБ-сообществом и прозрачного ведения бизнеса.

Читать далее
Total votes 76: ↑66 and ↓10 +56
Views16.2K
Comments 78

Как работает команда DevOps в Positive Technologies

Positive Technologies corporate blogInformation SecurityDevOps

Всем привет! Меня зовут Тимур Гильмуллин, я работаю в отделе технологий и процессов разработки Positive Technologies. Внутри компании нас неформально называют DevOps-отделом. Мы занимаемся автоматизацией внутренних процессов и помогаем разработчикам и тестировщикам. В прошлой статье я уже писал, как выстроен карьерный рост у инженеров, а сегодня хочу рассказать про «внутреннюю кухню» — о том, что делают DevOps-инженеры у нас в компании. Вы узнаете, что лежит в основе идей DevOps, какие плюсы дает бизнесу работа по принципам DevOps и как при этом изменяется процесс разработки.

Читать далее
Total votes 5: ↑5 and ↓0 +5
Views3.2K
Comments 0

Исследование: какие способы обхода антивирусов используют хакеры

Positive Technologies corporate blogInformation SecurityAntivirus protectionReverse engineeringResearch and forecasts in IT

Создание уникального вредоносного ПО требует больших ресурсов, поэтому многие хакерские группировки используют в своих атаках массовое, часто публично доступное ВПО. Широкое использование неизбежно приводит к тому, что такой инструмент попадает на радары антивирусных компаний, а его эффективность снижается.

Для решения этой проблемы хакеры используют техники упаковки, шифрования и мутации кода. Такие техники часто реализуют отдельные инструменты — «крипторы» (crypters) или просто «пакеры». В этой статье на примере банковского трояна RTM мы рассмотрим, какие «пакеры» могут использовать злоумышленники и как эти «пакеры» осложняют обнаружение ВПО.

Полная версия данного исследования доступна по ссылке.

Читать далее
Total votes 12: ↑12 and ↓0 +12
Views6.3K
Comments 4

Как мы обошли bytenode и декомпилировали байткод Node.js (V8) в Ghidra

Positive Technologies corporate blogInformation SecurityC++Node.JSReverse engineering

«Да я роботов по приколу изобретаю!» Рик Санчес

Многим известно, что в 2019 году АНБ решило предоставить открытый доступ к своей утилите для дизассемблирования (реверс-инжиниринга) под названием Ghidra. Эта утилита стала популярной в среде исследователей благодаря высокой «всеядности». Данный материал открывает цикл статей, посвященных плагину ghidra_nodejs для Ghidra, разработанному нашей командой (https://github.com/PositiveTechnologies/ghidra_nodejs). Задача плагина — десериализовать содержимое jsc-файлов, дизассемблировать байткод функций и декомпилировать их. В первой статье мы обсудим сущности и байткод движка V8, а также тезисно опишем сам плагин, про который подробно расскажем в последующих статьях.

Рано или поздно все сталкиваются с программами на языке JavaScript, их так и называют скриптами. JavaScript — это полноценный язык со своим стандартом ECMA Script, скрипты которого выполняются не только в браузере, но и на сервере.

Скрипты исполняются с помощью специальной программы, которую называют движком (engine) JavaScript. За годы движкостроения их понапридумывали предостаточно: V8, SpiderMonkey, Chakra, Rhino, KJS, Nashorn и т. д.

Читать далее
Total votes 26: ↑26 and ↓0 +26
Views3.9K
Comments 6

Как выявить кибератаку и предотвратить кражу денег

Positive Technologies corporate blogInformation Security

По данным Positive Technologies, 42% кибератак на компании совершаются с целью получения прямой финансовой выгоды. Выявить атаку можно на разных ее этапах — от проникновения в сеть и до того момента, когда хакеры приступят к выводу денег. Разбираем, как распознать злоумышленников на каждом из этапов и свести риски к минимуму.

Читать далее
Rating 0
Views2.2K
Comments 0

Открыт набор атакующих и защитников для участия в кибербитве The Standoff на Positive Hack Days

Positive Technologies corporate blogInformation SecuritySport programmingIT Infrastructure

18 мая начинаются киберучения на полигоне The Standoff, который в этом году станет полноправным партнером форума Positive Hack Days 10 (пройдет 20 и 21 мая). Все меньше времени остается до обоих событий, и мы рады сообщить, что открыли набор команд атакующих и защитников, которые будут бороться друг с другом в мегаполисе.

Читать далее
Total votes 1: ↑1 and ↓0 +1
Views1.1K
Comments 1

Как атаковали промышленную инфраструктуру на The Standoff: анализ трафика с помощью PT ISIM

Positive Technologies corporate blogInformation SecurityIT Infrastructure

На прошедшем The Standoff эксперты PT Expert Security Center, в данном случае представляющие команду глобального SOC киберполигона, мониторили действия команд атакующих и защитников цифровой копии мегаполиса FF, противостояние проходило в режиме реального времени и длилось 123 часа. Ранее мы писали о том, как глобальный SOC следил за всем происходящим в инфраструктуре виртуального города, как отдел обнаружения вредоносного ПО вылавливал и исследовал троянские программы «редтимеров» с помощью песочницы PT Sandbox и как мы следили за всеми веб-ресурсами киберполигона с помощью PT Application Firewall. Теперь поговорим о защищенности технологических сетей объектов виртуального города и результатах мониторинга, проведенного с помощью системы глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM).

В этой статье мы расскажем о том, какие атаки на технологический сегмент сети объектов города детектировала система, и отметим, насколько эти угрозы соответствуют реальному уровню защищенности промышленных систем.

Читать далее
Total votes 2: ↑1 and ↓1 0
Views1.8K
Comments 6

Как мы искали хакеров в сетевом трафике на The Standoff

Positive Technologies corporate blogInformation SecurityIT Infrastructure

Мы продолжаем освещать работу команды SOC (подробнее о ней на habr.com) на прошедшей кибербитве The Standoff. Сегодня пойдет речь о результатах мониторинга с помощью NTA-системы PT Network Attack Discovery (PT NAD), разработанной компанией Positive Technologies и выявляющей атаки на периметре и внутри сети.

За шесть дней PT NAD зафиксировал больше 8 млн атак, среди которых 778 — уникальных. Большинство обнаруженных атак — результат активности различных сетевых сканеров и автоматизированных сканеров уязвимостей. В нашем случае под атакой подразумевается срабатывание правила обнаружения на вредоносный сетевой трафик. 

Читать далее
Total votes 5: ↑5 and ↓0 +5
Views4.4K
Comments 0

Вердикт WAF, или Что происходило с веб-ресурсами цифровых двойников компаний на The Standoff

Positive Technologies corporate blogInformation SecuritySport programming

На прошедшем The Standoff мы, команда PT Expert Security Center, параллельно с участниками противостояния со стороны защиты мониторили инфраструктуру площадки и отдельных офисов цифровой копии мегаполиса, развернутой на нашем киберполигоне. Для этого мы развернули дополнительный security operations center (SOC), который как бы накрыл всю инфраструктуру, за счет чего «видел» все активности участников The Standoff и даже немного больше. Одним из инструментов этого SOC был PT Application Firewall ― межсетевой экран уровня веб-приложений (о результатах работы еще одного из инструментов нашего SOC ― PT Sandbox ― читайте в одной из наших предыдущих статей).

Ниже речь пойдет исключительно о том, что происходило на площадке с точки зрения веба и какие цели выбирали команды атакующих.

Читать далее
Total votes 4: ↑4 and ↓0 +4
Views1.3K
Comments 0

Higaisa или Winnti? Как мы определяли принадлежность бэкдоров

Positive Technologies corporate blogInformation Security

В ходе мониторинга угроз ИБ в мае 2020 года эксперты Positive Technologies обнаружили несколько новых образцов вредоносного ПО (ВПО). На первый взгляд их следовало отнести к группе Higaisa, однако подробный анализ показал, что связывать эти вредоносы следует с группой Winnti (также известной как APT41, по данным FireEye). 

Детальный мониторинг позволил обнаружить и множество других экземпляров ВПО группы APT41, включая бэкдоры, дропперы, загрузчики и инжекторы. Нам также удалось обнаружить образцы ранее неизвестного бэкдора (мы назвали его FunnySwitch), обладающего нетипичной функциональностью peer-to-peer-передачи сообщений. Подробный отчет представлен по ссылке, а в этой статье мы расскажем о том, с чего началось наше исследование.

Читать далее
Total votes 5: ↑4 and ↓1 +3
Views973
Comments 0

DevSecOps: как мы внедряли PT Application Inspector в наш продуктовый конвейер

Positive Technologies corporate blogInformation SecurityDevelopment Management

Привет! Меня зовут Тимур Гильмуллин, я работаю в отделе технологий и процессов разработки Positive Technologies. Неформально наш отдел называют DevOps-отделом, мы занимаемся автоматизацией различных процессов и помогаем разработчикам и тестировщикам в нашей компании.

Я и мой коллега Дима Рагулин хотим рассказать, как инженеры нашего отдела внедряли сканер кода PT Application Inspector (PT AI) в сборочные процессы продуктовых команд внутри компании. Отмечу, что статья про архитектуру и интеграцию PT AI в CI, а не про работу с этим инструментом и не про поиск уязвимостей. Подробнее о функциональных возможностях PT AI вы можете узнать из вебинара.

Статья состоит из двух частей. В первой части расскажем, какое место PT AI занимает в наших технологических цепочках, дадим рекомендации по возможной архитектуре его внедрения в CI-конвейер. Это будет полезно DevOps-архитекторам и специалистам по внедрению решений в области безопасной разработки (DevSecOps). Вторая часть посвящена практическому внедрению PT AI в наш корпоративный CI-конвейер: в ней мы поделимся наработками своих шаблонов и скриптов, а также покажем, как можно подключить сканирование через PT AI в пару строчек кода. Это может быть интересно инженерам, перед которыми встали вопросы внедрения PT AI внутри уже сложившихся инфраструктуры и процессов разработки.

Читать далее
Total votes 9: ↑9 and ↓0 +9
Views1.7K
Comments 0

«Улов» на The Standoff: о многообразии пойманных троянов

Positive Technologies corporate blogInformation Security
С 12 по 17 ноября 2020 года на киберполигоне The Standoff прошла крупнейшая битва между командами атакующих и защитников. Действия разворачивались в течение 123 часов в городе FF — цифровом двойнике мегаполиса с характерной инфраструктурой: морским портом, аэропортом, нефтяным месторождением, деловым центром, парком развлечений и другими объектами.



Двадцать девять команд атаковали инфраструктуру, добиваясь реализации бизнес-рисков, опасных для различных компаний, работающих в городе, а другие шесть команд мониторили и изучали активность нападающих, тренировали навыки противодействия и расследования инцидентов. В общем, все как в жизни. Хотя кроме нападающих и обороняющихся была еще третья сторона, которая пристально наблюдала за их действиями, — глобальный SOC (подробнее о нем читайте в другой нашей статье). Прозванный Большим Братом, SOC объединил несколько команд PT Expert Security Center, которые в режиме нон-стоп анализировали события при помощи специальных средств защиты. Одной из таких команд был отдел обнаружения вредоносного ПО, который с помощью песочницы PT Sandbox вылавливал и исследовал троянские программы «редтимеров». Напомним, PT Sandbox может:

• сканировать файл правилами PT ESC,
• сканировать файл движками внешних антивирусных вендоров,
• обнаруживать вредоносную активность после запуска в изолированной среде поведенческими правилами,
• анализировать сетевой трафик правилами PT Network Attack Discovery,
• анализировать дампы процессов правилами PT ESC.

Сегодня мы расскажем о том, что и как нам удалось поймать, а также о том, какие находки нас особенно впечатлили.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views1.8K
Comments 0

Information

Rating
Does not participate
Works in
Registered
Activity