Всем привет! На связи снова Яков Филевский, эксперт по социотехническому тестированию Angara Security, поделился опытом общения с мошенниками

В разгар рабочего дня вам звонят с мобильного номера (в моём случае — оператор «Сбер Мобайл»). Голос уверенный, деловой, даже слегка фамильярный: 

— «Здравствуйте, я представляю вашу страховую компанию. Сейчас идёт массовый обмен старых ОМС-полисов на новый образец с QR-кодом. Подтвердите, пожалуйста: у вас полис пластиковый или электронный?». 

Затем собеседник мгновенно называет ваши ФИО и дату рождения — данные, которые должны быть известны только официальным структурам… или мошенникам. 

Первый крючок: эффект авторитета 

Когда незнакомец свободно оперирует вашими персональными данными, срабатывает автоматическое доверие: «Раз знает такие детали — наверное, действительно из страховой». Но это ловушка. Персональные данные давно не признак легитимности — их сливают из баз или получают через утечки. 

Давление и управление разговором 

Мошенник говорит быстро, сыпет терминами, не оставляет времени на раздумья: 

— «Новый полис будет пластиковым, но с QR-кодом, он позволит получать часть лекарств безоплатно. Вам всё понятно?». 

Ответ ждут только «да» или «нет». Если вы говорите «ну, допустим», собеседник раздражённо переспрашивает: «Значит, да?» — и продолжает. Это не случайно: последовательные «да» создают иллюзию согласия. 

Фиктивный выбор и ложное ощущение контроля 

— «Где вам удобнее получить полис: в МФЦ или в страховой?».

Вопрос бессмысленный — замены полисов нет. Но он вовлекает вас в процесс, закрепляя доверие. 

Всем привет! Angara Security снова на связи.

Сегодня в нашем эфире еще один новый автор — Георгий Семенов, эксперт по кибербезопасности Angara Security.

Хаотичные нападки киберпреступников в попытках попасть в уязвимое место инфраструктуры в последние годы сменились сложными и продуманными целевыми атаками — такой тренд кибербеза мы наблюдаем в Angara Security. Основные хакерские «хиты» этих лет — проникновение с использованием средств социальной инженерии и человеческого фактора, а также атаки через доверенные стороны. Злоумышленники стали дорожить временем: стремятся максимально сократить период от получения учетных данных пользователей до закрепления на периметре компании и последующей атаки. Проще всего им это удается через фишинг. По оценке Angara Security, доля MITRE ATT&CK Т1566 в общем объеме атак сейчас составляет 30%, причем за 2024 год число фишинговых атак резко выросло на 41% по сравнению с 2023 годом. Самым эффективным средством защиты против фишинга в кибербезопасности все еще считаются песочницы SandBox или мультисканеры. Проводим несколько тестов для Anti-APT Sandbox и разбираемся, насколько мощно они держат оборону информационной безопасности.

АРТ-атаки против Anti-APT Sandbox

АРТ-атака тестирует устойчивость к враждебным воздействиям, ищет слабое звено системы. Обычно это многоуровневая и длительная целевая кибератака с маскировкой и проникновением в сеть компании, с продолжительным нахождением «под прикрытием». Хакеры имитируют стандартные системные процессы, обманывают систему, отслеживают перемещение данных и действия ключевых пользователей — все, лишь бы обнаружить уязвимость для сбора конфиденциальной информации и чувствительных данных.

Против АРТ-атак используется Anti-APT Sandbox — программное обеспечение для выявления и анализа сложных и продвинутых угроз (какой, безусловно, является АРТ). Anti-APT Sandbox изолирует подозрительные файлы и анализирует их активность в виртуальной среде. Это безопасное пространство, где можно исследовать поведение программ без риска для реальных систем (к слову, здесь же можно выявить попытки эксплуатации уязвимостей «нулевого дня»).

В данной статье предложим новый взгляд на работу Red Team для создания самых изощрённых симуляций атак, в которых код заменяется эмоциями, а уязвимости скрываются не в ПО, а в человеческой психике.

Коллеги, доброго времени суток!

Меня зовут Роман, и я работаю в отделе анализа защищенности компании Angara Security.

Типичная ситуация — легитимный пентест. Мы получаем доступ во внутреннюю сеть. У «клиента» есть Active Directory, а у нас — самая обычная доменная учетная запись. Чтобы понять, куда развивать атаку, нам нужно получить больше информации об инфраструктуре. Здесь по классике атакующий запускает bloodhound. Я еще по старой доброй памяти запускаю классические админские оснастки, чтобы взглянуть на инфру глазами своих прошлых коллег. И вроде бы мы получаем достаточно большое количество информации, которой часто хватает для компрометации конторы. Но не хватает одного интересного кусочка — динамики изменений. И стороне защиты такая информация полезннее, чем атакующим.

Если взять на вооружение знания о том, как контроллеры домена реплицируют изменения между собой, то проблема решается легко, красиво и без постоянной выгрузки всех объектов домена.

Никита Леокумович, руководитель отдела реагирования и цифровой криминалистики Angara SOC, поделился опытом, как «невинное» письмо из «отдела кадров» может привести к серьезным последствиям для компании.

Среди киберпреступлений фишинг - это наиболее распространенный тип атаки для получения учетных данных, в том числе для последующего проникновения во внутреннюю сеть организаций и распространения вредоносного программного обеспечения (далее – ВПО).

Чтобы повысить эффективность таких фишинговых атак, в частности, чтобы привлечь внимание, улучшить структуру и визуальную составляющую сообщений, хакеры используют новостную и политическую повестку. Это позволяет оказывать определенное моральное давление на получателей, особенно, если приходит от "государственной организации" и затрагивает чувствительные темы.

Распространение ChatGPT позволяет преступникам создавать эффективные с точки зрения содержания и структуры сообщения, даже если вектор атаки нацелен на адресатов в другой языковой среде. Если раньше одним из методов распознания фишинговых сообщений было выявление ошибок, неточностей или необычного слога при составлении письма, то сейчас использование ChatGPT может полностью исключить такие промахи со стороны атакующих.

За 2023 год резко выросло число фишинговых писем, связанных с рабочими процессами. Вместе с тем процент атак на компании, проведенных посредством отправки фишинговых писем по почте, содержащих во вложениях ВПО под видом легитимных файлов либо гиперссылок на них, составил более 50%.

Всем привет!

Сегодня в нашем эфире новый автор - Никита Синкевич, руководитель группы анализа и реагирования Инженерного центра Angara Security. Итак, начинаем!

Иногда в ходе расследования инцидента информационной безопасности необходимо понять, имеет ли та или иная программа вредоносное воздействие на систему. Если для данной программы у вас нет исходного кода, то приходится применять метод исследования "обратная разработка", или Reverse Engineering. Я покажу, что такое "обратная разработка" на примере задания "RE-101" с ресурса cyberdefenders.

CyberDefenders — это платформа для развития навыков blue team по обнаружению и противодействию компьютерным угрозам. В этой статье будет разбор последней, шестой подзадачи из задания "RE-101". На мой взгляд, она лучше раскрывает процесс реверс-инжиниринга, чем остальные: нам предстоит восстановить из исполняемого файла кастомный алгоритм шифрования, написать скрипт-дешифратор и расшифровать флаг.

Используемые инструменты:

1.       Detect it Easy
2.       IDA
3.       Python3
4.       Notepad++
5.       CyberChef

Задание

Описание намекает, что в предложенном файле malware201 кто-то реализовал свой собственный криптографический алгоритм.

Мы продолжаем цикл материалов о старте карьеры в кибербезопасности.
Эту публикацию подготовил сотрудник отдела анализа защищенности Angara Security, по просьбе автора, мы не будем раскрывать его имя. Если после прочтения статьи будут вопросы, welcome в комментарии или в личные сообщения нашему эксперту. Итак, как вкатиться в пентест в 2024 году.

Всем привет! Я @the_ospf, работаю в команде анализа защищенности Angara Security. Мы занимаемся пентестом ИБ-инфраструктуры крупных и средних компаний, тестируем web- и мобильные приложения. В этой статье я расскажу о своем пути от начинающего специалиста до эксперта по анализу защищенности, как я собирал необходимый багаж знаний, своих ошибках и поделюсь материалами, которые помогут вам в подготовке для вашего первого трудоустройства в качестве специалиста по анализу защищенности веб-приложений.

Статья ориентирована по большей части на новичков в области анализа защищенности веб-приложений, а также на студентов, которые сильно желают стать хакером попробовать свои силы в этом направлении. 

Егор Филатов, младший аналитик отдела анализа защищенности Angara Security, подготовил разбор двух недопустимых событий в банковской сфере, которые могли бы нанести серьезный урон бизнесу... Но на практике это моделирование кибератаки через мобильное приложение, которое получили все участники майского Standoff 11.

Итак, подготовка к учениям:

До начала соревнований командам, которые успели связаться с организаторами, были высланы две смарт-карты: по легенде одна из этих карт ваша, вторая - украденная. В справочной информации по данному заданию организаторы написали: “Это практически те же карты, как Visa или MasterCard, с такими же уязвимостями”. Забегая вперед, для реализации первых двух недопустимых событий эксплуатировать “уязвимости карты” не потребовалось.

Хочу кратко показать, что же было записано на картах, на примере одной из них:

Лада Антипова, специалист по киберкриминалистике Angara SOC, совсем недавно вернулась из Казахстана с отличными новостями: сдала свой первый экзамен на сертификат международного уровня – GIAC Certified Forensic Analyst (GCFA). В материале она рассказала, как готовилась, как пережила epic fail и вернулась с победой.

В двадцатых числах октября я сдала свой первый экзамен на сертификат международного уровня – GIAC Certified Forensic Analyst (GCFA). Для тех, кто не знаком с таким или вообще зашел почитать просто интереса ради, приведу дословный перевод описания экзамена:

Сертификация GIAC Certified Forensic Analyst (GCFA) фокусируется на основных навыках, необходимых для сбора и анализа данных компьютерных систем. Кандидаты обладают знаниями, навыками и умением проводить расследования инцидентов и работать с продвинутыми сценариями обработки инцидентов, включая внутренние и внешние вторжения с утечкой данных, продвинутые постоянные угрозы, методы защиты от криминалистики, используемые злоумышленниками, и сложные случаи цифровой криминалистики.

Эмоций много, а уж тем более оглядываясь назад и понимая, что даже путь к сдаче этого экзамена был не самым простым для меня. Ну, обо всем по порядку.

Почему именно этот экзамен?

Ответить на этот вопрос легко и сложно одновременно. Вообще курсы SANS считаются одними из самых сильных на международном рынке. Если посмотреть на небезызвестный Certification Roadmap, то GCFA как раз охватывает области как форензики, так и обработки инцидентов (incident handling). Несмотря на то, что я не планирую переезжать из России, мне кажется, что это как раз тот случай, когда «нужно учиться у лучших». Как ни странно, хоть сертификаты и зарубежные, но все это очень любится и ценится в России, в частности GIAC, ISC2, Offensive Security, EC-Council.

Лада Антипова из команды киберкриминалистов Angara SOC подготовила новый материал о полезных инструментах при расследовании хакерских атак. Материал с удовольствием опубликовали коллеги из Positive Technologies на своих ресурсах, поэтому мы можем сделать его доступным и для нашей аудитории.

Несмотря на то, что Windows остается самой распространенной ОС, о чем знают в том числе атакующие, оставлять без внимания другие системы нельзя, а уж тем более Linux (ладно-ладно, GNU/Linux). Сегодня российские компании все чаще пользуются Linux из соображений импортозамещения, но эта ОС по-прежнему более распространена именно как серверное решение.

А теперь представьте ситуацию: вы работаете на Linux-машине, и вдруг что-то явно идет не так. Уровень нагрузки на процессор резко вырос, начались обращения на неизвестные ресурсы или пользователь www-data неожиданно оказался в группе wheel. Что делать?  

Составляем список команд

У вас есть два пути: либо работать с живой системой, либо делать так называемый пост-анализ. Начнем с первого. Я приведу свой список избранных и наиболее часто используемых команд. Универсального порядка здесь нет: вы, как ИБ-специалист, расставляете приоритеты самостоятельно.

Итак, команды:

Помимо базовых команд на просмотр текстовых файлов (а все мы знаем, что в Linux, по сути, все есть файл) типа cat ~/.bash_history, можно использовать более продвинутые варианты:

tail -n 15 /var/log/<file> по умолчанию выводит 10 строк, но при помощи параметра n их количество можно изменять.

tail -f -s 5 /var/log/<file> используется для отслеживания появления новых строк. Это аналог команды watch для тех же журналов. Может быть полезна для отслеживания определенных событий в реальном времени.

Илья Поляков,@e_liu_ha, руководитель отдела анализа кода Angara Security, рассказал, как удалось выявить важную уязвимость в 6 версиях линейки FortiNAC для аутентификации пользователей по протоколу 802.1X и получить премию Pentest Awards в категории Bypass.

Эта история началась в январе 2023 года, когда мы исследовали при­ложе­ние FortiNAC и нашли цепоч­ку дефек­тов и уяз­вимос­тей: облегча­ющую ревер­синг дебаго­вую информацию в ском­пилиро­ван­ных клас­сах Java, сла­бую крип­тогра­фию, хра­нимую XSS и инъ­екцию команд, поз­воля­ющие соз­дать генера­тор лицен­зион­ных клю­чей, которые пос­ле акти­вации выпол­няют про­изволь­ный код от име­ни супер­поль­зовате­ля на сер­вере при­ложе­ния.

Почему FortiNAC? Потому что это одна из самых популярных в мире энтерпрайза систем контроля сетевого доступа (Network Access Control, NAC). Основная задача подобных продуктов — обнаруживать и профилировать любые устройства, которые подключаются к корпоративной инфраструктуре.

Камиль Камалетдинов, младший эксперт по реагированию на инциденты Центра киберустойчивости Angara SOC, подготовил обзор полезных утилит для triage. В материале практические инструменты и небольшой опрос для вас в самом конце.

В отличие от более известных на рынке тестирований на проникновение и
багхантинга, в этом материалы мы хотим рассказать, с помощью каких инструментов
работают компьютерные криминалисты. Форензика – это довольно новое направление
в расследовании инцидентов, но уже востребованное, так как у компаний растет
запрос на расследования и предотвращение инцидентов. 

Основа цифровой криминалистики – это работа с данными, полученными в результате их сбора с конечного устройства, на котором возникли те или иные события, в которых нужно разобраться, установить все возможные на текущий момент обстоятельства, произошедшие в результате кибератаки и какие последствия наступили в конечном итоге.

В результате быстрого развития технологий количество данных на наших устройствах растет, что подтверждается исследованием ученых из Астонского Университета, которые занимаются изучением проблемы оптимизации хранения данных в связи с их быстрыми темпами роста. Эта тенденция также оказывает влияние на сферу кибербезопасности, потому что количество и качество данных, собранных с конечных устройств, определяют масштаб и сложность нашей работы.

Именно для этого был разработан инструмент Forensic Triage Tool, потому что снимать полную копию устройства займет большое количество времени, а снятие triage занимает примерно от 5 до 30 минут в (зависимости от устройства и количества информации на нем) и содержит в себе достаточное количество данных для расследования инцидента.

Работа киберкриминалиста обычно начинается там, где хакеры достигли успеха: отправной точкой является киберинцидент. В большинстве случаев мы работаем после того, как злоумышленники уже выполнили какие-то действия, и теперь нужно получить ответы на ряд практических вопросов, в том числе закрыть уязвимости, оценить ущерб, изобличить злоумышленников, если такое представляется возможным.

Лада Антипова, эксперт по реагированию на инциденты Центра киберустойчивости Angara SOC, рассказала о старте карьеры в DFIR, о рабочей рутине, полезных ресурсах для погружения в тему. Это стартовая публикация о работе нашей команды киберкриминалистов. Дальше - больше!

«Цифровая криминалистика и реагирование на инциденты» (Digital Forensics and Incident Response, DFIR) – специализированная область, охватывающая выявление, устранение и расследование инцидентов кибербезопасности (Incident Response, IR), в том числе с применением криминалистических практик (Digital Forensics, DF). Нас, специалистов в DFIR, называют «респондерами», иногда «форензиками», но в данном случае эти понятия могут быть равнозначными, главное - понимать суть.

Наша работа позволяет заказчику дать ответ на главный вопрос: «Как это произошло и что важно сделать в моменте?», в том числе чтобы ИБ-специалисты компании могли исключить новые киберугрозы по подобной схеме. Иногда приходится искать ответы на другие вопросы, например: «Произошло ли что-то, и что именно?» – выясняя, куда именно получили доступ киберпреступники, чтобы более точно оценить непосредственный ущерб от киберпреступления и связанные с ним репутационные риски. Наконец, третье направление деятельности киберкриминалиста – способствовать поимке и изобличению киберпреступников.

Технологии машинного обучения все стремительней входят в нашу жизнь и находят применение в различных сферах деятельности. В медицине развивается диагностика различных заболеваний и методов лечения. В автомобильной промышленности машинное обучение успешно применяется в сервисах для помощи водителю и готовится полноценно забрать управление автомобилем на себя. В финансовой сфере ML используются для прогнозирования рынка и определения рисков. А что происходит в сфере информационной безопасности?

В ИБ технологии машинного обучения успешно применяются в системах защиты информации, таких как IDS/IPS, WAF, Antivirus, Anti-phishing и т.д. Все эти СЗИ обрабатывают огромные объемы данных, и выявление атак сопряжено с большой вариативностью техник злоумышленника. Конечно же сигнатурный анализ не готов уйти в историю и является основой для выявления угроз, но есть ряд существенных ограничений. В основном, правила направлены на выявление известных техник и не всегда способны учесть все возможные вариации, т.е. направлены на выявление ряда частных случаев. Соответственно, выявление неизвестных атак достаточно проблематично.

Модели машинного обучения позволяют решить эти проблемы, так как способны обучаться на больших данных и выявлять аномальные паттерны, которые невозможно учесть при сигнатурном анализе. В современных СЗИ данные технологии применяются совместно и дополняют друг друга.

Аналогичные проблемы существуют и в SOC относительно методик выявления инцидентов ИБ. Основой являются правила корреляции SIEM которые в отдельных кейсах стремятся покрыть выявление всех возможных атак, но не могут этого сделать в виду различных ограничений. В отличие от СЗИ, машинное обучение в инструментах SOC развито достаточно слабо. Мы тестировали ряд систем, таких как Anomaly Detection и UEBA, но широкого применения в SOC они не нашли из-за большого количества ложных срабатываний. Других инструментов направленных на выявление инцидентов ИБ нам, к сожалению, найти не удалось.

Как говорится, хочешь сделать хорошо - сделай сам! Вооружившись этой идеей, мы решили выделить некоторые точечные кейсы, с проблематикой описанной выше, и автоматизировать выявление с применением машинного обучения. В данной статье мы поделимся нашим опытом на примере выявления вредоносного кода PowerShell, соберем нейронную сеть и рассмотрим варианты ее использования совместно с SIEM.

«Мины» в исходном коде — это не только уязвимости, но и прочие дефекты безопасности, которые так или иначе ухудшают качество софта. Какими путями «минируется» ваш код и какие типы «мин» наиболее актуальные? Поговорим об этом в контексте веб-программирования и PHP.

О «минах» в коде расскажет Илья Поляков, руководитель отдела анализа кода Angara Security. Илья поделится какими инструментами разминировать код и какие уязвимости и дефекты безопасности можно найти максимально быстро и дешево.

Всем привет! Меня зовут Николай Шуляев, и это моя вторая статья на Хабре (первая – тут). В этот раз я хотел бы поднять достаточно важный для меня и отчасти провокационный вопрос: Так ли нужен WAF?

В конце 2021г вышла новая версия продуктов Kaspersky Anti Targeted Attack (KATA) Platform и Kaspersky Endpoint Detection and Response (KEDR) 4.0, а через полгода – версия 4.1.

Выход мажорной версии обычно подразумевает крупные изменения, также возможны изменения несовместимые с предыдущей версией.

Так как до выхода 4.0 в течении года актуальной была версия 3.7.2, а выход 4.1. произошел через полгода, после выхода 4.0, то очевидно, что большинство крупных изменений было введено в версии 4.0, а 4.1 в большей степени содержит исправление ошибок версии 4.0.

Таким образом в статье рассмотрим особенности перехода с версии 3.7.2 последовательно на версию 4.0 и затем на версию 4.1.

Доброго времени суток, коллеги!
Меня зовут Роман и эксперт отдела анализа защищенности (в простонародье — пентестер). До того, как перейти в это направление, я 10 лет был системным администратором (преимущественно Windows систем). Скажу вам честно, мне очень нравится симбиоз такого опыта. На мой взгляд, человеку, который знает внутреннюю кухню администрирования, разработки или их сочетаний, будет легче и интереснее смотреть на инфраструктуру с точки зрения атакующего.

В процессе работы меня постоянно посещают флешбеки с вопросом «А как у меня было настроено?». И сегодня хочу поговорить о таком компоненте инфраструктуры, как Wi-Fi. По долгу службы я часто тестирую данный элемент в разных организациях и скажу вам, что если бы можно было дать совет по Wi-Fi себе, как админу, я бы этим непременно воспользовался.

Привет, Хабр!

Я @zlatomesto, работаю ведущим аналитиком в Angara Security. Еще в свою бытность работы аналитиком внедрения DLP-системы в одном из вендоров, неоднократно сталкивалась с тем, что внедрение DLP-системы служило хорошим обоснованием для открытия ставки в отделе информационной безопасности, так как с появлением нового программного комплекса значительно увеличивается нагрузка на сотрудников. И да, прежде всего нужен инженер, который будет заниматься поддержкой работоспособности такого сложного решения, установкой агентов. Но обеспечит ли инженер эффективность от внедрения продукта?

«Злоупотребление ограниченным делегированием Kerberos на основе ресурсов» — как много в этом звуке!

Точнее уже не просто звуке и даже не словосочетании, а целом классе наступательных техник в доменной среде Active Directory. Вот уже как больше трех лет, казалось бы, вполне себе легитимный механизм, помогающий трехголовому псу стоять на страже даже там, где нет этих ваших «тикетов», служит грозным оружием всех пенетраторов Windows-сетей. Не знаю никого, кто использовал бы RBCD по назначению, честно.

В этой статье хотелось бы остановиться на таком интересном пограничном случае применения этой атаки, как RBCD с UPN-ами, но не SPN-ами. Кто понял, тот понял, ну а если вы все еще не в теме, добро пожаловать под кат...