Недавно мы обнаружили атаки с новым стилером Umbral. От них уже пострадали российские компании из нескольких отраслей. Особенность вредоноса в том, что его исходники в открытом доступе размещены на GitHub. Мы исследовали код и разобрались, как работает Umbral Stealer, что умеет и за какими данными охотится.
Жадные и ленивые: за эти качества группировка получила название Sneaking Leprechaun. Злоумышленники крали данные с помощью руткита, который не проявлял никакой подозрительной активности. Рассказываем, как Kitsune собирал реквизиты доступа к хостам и распространялся в системе.
30 апреля телеграм-канал DumpForums объявил о взломе наших ресурсов, выложив скриншоты конфигов с персональными данными. Последние двое суток мы работали над тем, чтобы оценить масштабы инцидента и свести ущерб от него к минимуму. Теперь мы готовы публично рассказать о первых результатах этой работы.
«Хм, атаки через почту — прошлый век», — подумали в группе Watch Wolf и взялись за SEO-продвижение вредоносов. Мы обнаружили, что троян Buhtrap теперь распространяется через фейковые сайты с якобы полезными материалами для бухгалтеров. Проплаченная реклама поднимает эти ресурсы в топ поисковой выдачи.
Зафиксирована новая угроза: группа Key Wolf распространяет среди российских пользователей вредоносную программу, запускающую шифрование файлов. Наши эксперты первыми обнаружили распространение вредоноса. Рассказываем, как это работает и что делать.
Фишинг в первую очередь ассоциируется с электронной почтой. Но, чтобы похитить данные, мошенники часто подделывают сайты известных брендов. Компании узнают о проблеме, когда клиенты начинают жаловаться, что у них украли деньги, а услугу не предоставили. Чаще всего страдает диджитал-сфера: злоумышленники могут скопировать сайты банка, интернет-магазина, сервиса доставки или покупки билетов.
Чтобы не потерять деньги, клиентов и репутацию, нужно мониторить мошеннические сайты в интернете. Все найти не получится, но внушительную часть фишинга можно заблокировать заранее. Мы в BI.ZONE как раз этим занимаемся, так что решили поделиться, как у нас устроен процесс. Если вы хотели знать, как ищут и блокируют фишинг, мы вам покажем.
У нас в BI.ZONE очень любят прогать, тусоваться и выпивать вместе. А еще наши крутые эксперты могут сделать что-то полезное для коллег, клиентов или общества — было бы время. Чтобы совместить приятное с полезным, раз в квартал внутри компании проходит GO.ZONE.
Последние несколько месяцев российские компании становятся жертвами злоумышленников, вымогающих деньги за непубликацию конфиденциальных данных под видом аудита безопасности. На деле мошенники проверяют лишь наличие одной уязвимости в Microsoft Exchange.
С августа 2022 года мы фиксируем волну атак на десятки российских компаний малого и среднего бизнеса. Злоумышленники пишут жертвам с предложением заплатить деньги за «аудит безопасности», а в противном случае грозят опубликовать конфиденциальные данные. Метод проникновения во всех случаях — SSRF-уязвимость из цепочки ProxyShell. Рассказываем об общем механизме атак и рекомендуем базовые меры защиты от угрозы.
Ожидание багхантера: компании повально выпускают программы bug bounty — только успевай чекать скоуп, находить баги и следить за СМС о поступлении выплат.
Реальность: выход компании на bug bounty пока что занимает много времени, а вознаграждения получить сложно — сплошные бумажки, ожидание ответа неделями и порезанные налогами выплаты.
Но есть вариант, как приблизиться к ожидаемому. В августе мы зарелизили собственную платформу для поиска уязвимостей BI.ZONE Bug Bounty. Вы уже можете искать баги в VK, еще несколько компаний разместят свои программы совсем скоро.
Поговорим о том, как автоматизация выплат и самозанятость позволят получать вознаграждения быстро и с максимальной выгодой.
Эта статья — продолжение цикла про поиск и применение TI-информации. В нем мы делимся нашим опытом и надеемся, что он поможет сэкономить время на самостоятельное изучение. Мы расскажем про то, как загрузить и применить индикаторы компрометации в SIEM на примере IBM QRadar. IBM ушла с российского рынка в 2022 году, но продукт все еще распространен, и вряд ли ситуация поменяется в ближайшее время.
Мы возвращаемся с хрониками OFFZONE :)
В 2022-м, как и всегда, бейджи участников будут запоминающимися. Обещаем классный дизайн и много интерактива.
Кратко напомним эволюцию бейджа OFFZONE. На последней конференции мы сделали его в виде интерактивной печатной платы в форме дискеты 3,5 дюйма. Плату можно было тюнинговать: участники напаивали на нее дисплей, ИК-приемник и другие интересные штуки прямо на мероприятии. Подробнее рассказывали в посте.
А с 2020-го OFFZONE приходилось откладывать — так что замысловатый бейдж-2020 так и не увидел свет ?
Привет. Недавно мне потребовалось пересобрать N парсеров в один. В нем должен быть родитель и N детей, а также возможность использовать функции сразу всех подпарсеров.
Спойлер: это было непросто! В статье расскажу о проблемах, с которыми столкнулся, а также объясню, как устроен модуль argparse в Python 3 и что он умеет.
Masscan — быстрый сетевой сканер, который хорошо подходит для сканирования большого диапазона IP-адресов и портов. Мы немного доработали его, адаптировав под свои нужды.
Больше всего неудобств оригинала было связано с невозможностью собирать баннеры с HTTPS-серверов. А что такое современный веб без HTTPS? Особо ничего не насканируешь. Это и смотивировало нас изменить masscan. Как обычно бывает, одна маленькая доработка переросла в другую, обнаружились баги. Теперь мы хотим поделиться нашими наработками с сообществом. Все изменения, о которых пойдет речь, уже доступны в нашем репозитории на GitHub.
Бреши в устройствах не всегда можно закрыть, в отличие от уязвимостей в софте. Однако это не повод для фрустрации! Исследовать безопасность IoT, телефонов, планшетов, блоков управления и т. д. все равно нужно. По крайней мере, можно предупредить пользователей об уязвимостях, а также устранить недостатки в новых версиях продуктов.
Мы с командой покопались в одном из самых популярных отладчиков для микроконтроллеров — J-Link. В результате нашли уязвимости в его системе лицензирования, которые позволяют за несколько секунд превратить бюджетную версию устройства в дорогую.
Мы с командой постоянно используем в работе фиды с данными о киберугрозах. И мы не понаслышке знаем о таких проблемах, как недостаточное количество информации или ее дублирование в разных источниках, а также слишком большое число ложных срабатываний. Чтобы облегчить себе жизнь, мы решили подумать, как оценивать источники и выбирать из них наиболее качественные.
В статье я расскажу об OSINT-фидах, которые мы сравнивали с нашими и партнерскими данными. Всего на поиск и анализ источников, написание скриптов для загрузки данных, создание методики, тестирование данных, оценку по методике ушло около двух-трех месяцев. В результате исследования нам удалось найти несколько фишек, которые делают поиск данных более приятной процедурой. Табличку с критериями для оценки качества и наши выводы ищите в конце.
Мы фиксируем всплеск атак типа Business Email Compromise (BEC). BEC-атаки — не новое и не редкое явление, но эта волна привлекла наше внимание масштабом.
С июня к нам обращаются множество пострадавших компаний, и всех жертв объединяют схожие признаки компрометации.
В статье расскажем, как действуют злоумышленники в рамках этой BEC-кампании и можно ли защититься от них.
Автор: Иннокентий Сенновский
В предыдущей статье мы рассмотрели, какие вообще фаззеры бывают и как они работают. В этой мы увидим, какие улучшения внедрили разработчики в современные фаззеры, чтобы они стали еще более полезным инструментом.
Автор: Иннокентий Сенновский
Все уже привыкли, что программу надо покрывать тестами, чтобы потом не было стыдно. Но вот проблема: разработчик может защититься только от багов, которые он способен предугадать. Да и тестировщик вряд ли сможет перебрать все варианты входных данных, которые приводят к ошибке.
Чтобы справиться с этой проблемой, придумали фаззеры — инструменты тестирования, которые сами пытаются найти баги в программе. В этой статье я рассмотрю, какие они вообще бывают (для C/C++, потому что баги в таких программах особенно болезненны), но сделаю упор на Greybox-фаззеры (почему, расскажу в статье).
Автор: Иннокентий Сенновский
Taidoor — крайне эффективная вредоносная программа класса RAT (remote access trojan), предназначенная для использования без закрепления в системе. Модульная система, реализованная в Taidoor, отличается от многих других RAT гибкостью: операторы программы могут отправлять на зараженную систему только те модули, которые нужны для достижения целей конкретной атаки.
Чтобы затруднить обнаружение, Taidoor использует несколько разных методов: манипуляции с временными метками, удаление файлов с модулями, обфускацию строк, поиск антивируса на атакуемой машине и др.
Мы изучили функциональные возможности и алгоритмы работы Taidoor, а также ее загрузчиков, и хотим поделиться своими наблюдениями.
