Как стать автором
Обновить
70.46
Рейтинг
Сначала показывать

Очумелые ручки на OFFZONE 2022: как прокачать бейдж конференции

Блог компании BI.ZONE Конференции Схемотехника *Носимая электроника Электроника для начинающих
Tutorial

Мы возвращаемся с хрониками OFFZONE :)

В 2022-м, как и всегда, бейджи участников будут запоминающимися. Обещаем классный дизайн и много интерактива.

Кратко напомним эволюцию бейджа OFFZONE. На последней конференции мы сделали его в виде интерактивной печатной платы в форме дискеты 3,5 дюйма. Плату можно было тюнинговать: участники напаивали на нее дисплей, ИК-приемник и другие интересные штуки прямо на мероприятии. Подробнее рассказывали в посте.

А с 2020-го OFFZONE приходилось откладывать — так что замысловатый бейдж-2020 так и не увидел свет 😔

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 1.3K
Комментарии 0

Сказание о том, как я argparse препарировал

Блог компании BI.ZONE Python *

Привет. Недавно мне потребовалось пересобрать N парсеров в один. В нем должен быть родитель и N детей, а также возможность использовать функции сразу всех подпарсеров.

Спойлер: это было непросто! В статье расскажу о проблемах, с которыми столкнулся, а также объясню, как устроен модуль argparse в Python 3 и что он умеет.

Приключение на 20 минут
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 2K
Комментарии 3

Masscan с поддержкой HTTPS

Блог компании BI.ZONE Информационная безопасность *Open source *Проектирование и рефакторинг *C *

Masscan — быстрый сетевой сканер, который хорошо подходит для сканирования большого диапазона IP-адресов и портов. Мы немного доработали его, адаптировав под свои нужды.

Больше всего неудобств оригинала было связано с невозможностью собирать баннеры с HTTPS-серверов. А что такое современный веб без HTTPS? Особо ничего не насканируешь. Это и смотивировало нас изменить masscan. Как обычно бывает, одна маленькая доработка переросла в другую, обнаружились баги. Теперь мы хотим поделиться нашими наработками с сообществом. Все изменения, о которых пойдет речь, уже доступны в нашем репозитории на GitHub.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 3.7K
Комментарии 0

Уязвимости в системе лицензирования J-Link, или Почему так важно исследовать безопасность устройств

Блог компании BI.ZONE Информационная безопасность *Реверс-инжиниринг *Схемотехника *Производство и разработка электроники *

Бреши в устройствах не всегда можно закрыть, в отличие от уязвимостей в софте. Однако это не повод для фрустрации! Исследовать безопасность IoT, телефонов, планшетов, блоков управления и т. д. все равно нужно. По крайней мере, можно предупредить пользователей об уязвимостях, а также устранить недостатки в новых версиях продуктов.

Мы с командой покопались в одном из самых популярных отладчиков для микроконтроллеров — J-Link. В результате нашли уязвимости в его системе лицензирования, которые позволяют за несколько секунд превратить бюджетную версию устройства в дорогую. 

Читать далее
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 4K
Комментарии 29

Помощь в борьбе с Log4Shell: сделали сканер для Log4j

Блог компании BI.ZONE Информационная безопасность *
image

Log4Shell — это критическая уязвимость в библиотеке логирования Log4j, которую используют многие веб-приложения на Java.

Чтобы защититься от атак с использованием Log4Shell, надо знать, какие приложения уязвимы — а это трудно выяснить. Мы упростили задачу: разработали и выложили на GitHub специальный сканер.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 13K
Комментарии 10

Качественные фиды на примере оценки OSINT-источников

Блог компании BI.ZONE Информационная безопасность *


Мы с командой постоянно используем в работе фиды с данными о киберугрозах. И мы не понаслышке знаем о таких проблемах, как недостаточное количество информации или ее дублирование в разных источниках, а также слишком большое число ложных срабатываний. Чтобы облегчить себе жизнь, мы решили подумать, как оценивать источники и выбирать из них наиболее качественные.


В статье я расскажу об OSINT-фидах, которые мы сравнивали с нашими и партнерскими данными. Всего на поиск и анализ источников, написание скриптов для загрузки данных, создание методики, тестирование данных, оценку по методике ушло около двух-трех месяцев. В результате исследования нам удалось найти несколько фишек, которые делают поиск данных более приятной процедурой. Табличку с критериями для оценки качества и наши выводы ищите в конце.

Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 2.7K
Комментарии 8

История одной кампании Business Email Compromise

Блог компании BI.ZONE Информационная безопасность *

Мы фиксируем всплеск атак типа Business Email Compromise (BEC). BEC-атаки — не новое и не редкое явление, но эта волна привлекла наше внимание масштабом.


С июня к нам обращаются множество пострадавших компаний, и всех жертв объединяют схожие признаки компрометации.


В статье расскажем, как действуют злоумышленники в рамках этой BEC-кампании и можно ли защититься от них.


Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 2.5K
Комментарии 2

Greybox-фаззинг: level up. Как улучшали фаззеры

Блог компании BI.ZONE Информационная безопасность *


Автор: Иннокентий Сенновский


В предыдущей статье мы рассмотрели, какие вообще фаззеры бывают и как они работают. В этой мы увидим, какие улучшения внедрили разработчики в современные фаззеры, чтобы они стали еще более полезным инструментом.

Читать дальше
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 2K
Комментарии 2

Немного про современные технологии Greybox-фаззинга

Блог компании BI.ZONE Информационная безопасность *


Автор: Иннокентий Сенновский


Как найти баги, о которых вы и не догадывались, или что такое фаззинг


Все уже привыкли, что программу надо покрывать тестами, чтобы потом не было стыдно. Но вот проблема: разработчик может защититься только от багов, которые он способен предугадать. Да и тестировщик вряд ли сможет перебрать все варианты входных данных, которые приводят к ошибке.


Чтобы справиться с этой проблемой, придумали фаззеры — инструменты тестирования, которые сами пытаются найти баги в программе. В этой статье я рассмотрю, какие они вообще бывают (для C/C++, потому что баги в таких программах особенно болезненны), но сделаю упор на Greybox-фаззеры (почему, расскажу в статье).

Обожаю статьи, где много букв
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 3.9K
Комментарии 6

Taidoor: мультитул для хакера

Блог компании BI.ZONE Информационная безопасность *Криптография *


Автор: Иннокентий Сенновский


Taidoor — крайне эффективная вредоносная программа класса RAT (remote access trojan), предназначенная для использования без закрепления в системе. Модульная система, реализованная в Taidoor, отличается от многих других RAT гибкостью: операторы программы могут отправлять на зараженную систему только те модули, которые нужны для достижения целей конкретной атаки.


Чтобы затруднить обнаружение, Taidoor использует несколько разных методов: манипуляции с временными метками, удаление файлов с модулями, обфускацию строк, поиск антивируса на атакуемой машине и др.


Мы изучили функциональные возможности и алгоритмы работы Taidoor, а также ее загрузчиков, и хотим поделиться своими наблюдениями.

Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 4.5K
Комментарии 2

Охота на атаки MS Exchange. Часть 2 (CVE-2020-0688, CVE-2020-16875 и CVE-2021-24085)

Блог компании BI.ZONE Информационная безопасность *IT-компании

Автор статьи: Антон Медведев
Ревью статьи: Вадим Хрыков


Наша прошлая статья была посвящена различным методам обнаружения эксплуатации уязвимостей ProxyLogon. В этот раз мы поговорим о методах обнаружения других нашумевших уязвимостей на сервере MS Exchange, а именно CVE-2020-0688, CVE-2020-16875 и CVE-2021-24085.



Несмотря на то что эти уязвимости не такие свежие, как ProxyLogon, мы продолжаем обнаруживать следы их эксплуатации (в том числе успешной) у наших клиентов. А своевременное обнаружение попыток эксплуатации позволит минимизировать последствия атаки для организации или избежать их вовсе.

Читать дальше →
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 4.1K
Комментарии 0

От пентеста до АРТ-атаки: группа киберпреступников FIN7 маскирует свою малварь под инструментарий этичного хакера

Блог компании BI.ZONE Информационная безопасность *Реверс-инжиниринг *

Статья подготовлена командой BI.ZONE Cyber Threat Research


Мы не первый раз натыкаемся на киберпреступные группировки, которые прикидываются легальными организациями и маскируют свою малварь под инструменты для анализа защищенности. Сотрудники таких компаний могут даже не подозревать, что работают на злоумышленников и используют самый настоящий вредоносный пакет.


FIN7 (также именуемая как Carbanak и Navigator Group), одна из знаменитых АРТ-группировок, для разведки и закрепления на зараженных системах разработала Lizar — якобы инструмент для пентеста сетей Windows. Мы заинтересовались им и провели исследование, результатами которого поделимся в статье.


Раньше инструмент назывался Tirion, но дальше по тексту мы будем использовать только новое название Lizar

Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 4.8K
Комментарии 0

Охота на атаки MS Exchange. Часть 1. ProxyLogon (CVE-2021-26855, 26858, 27065, 26857)

Блог компании BI.ZONE Информационная безопасность *Системное администрирование *


Авторы статьи: Антон Медведев, Демьян Соколин, Вадим Хрыков


Microsoft Exchange — один из самых распространенных почтовых серверов, который используют сотни тысяч компаний по всему миру. Популярность и доступность из интернета делают его притягательной целью для злоумышленников.


С конца 2020 года мы наблюдаем резкий рост количества инцидентов, так или иначе связанных с компрометацией сервера MS Exchange и его различных компонентов, в частности OWA (Outlook Web Access). Учитывая 24-летнюю историю сервера MS Exchange, сложность его архитектуры, расположение на периметре и возросший к нему интерес со стороны исследователей по безопасности, можно предположить, что количество найденных уязвимостей в популярном почтовом сервере со временем будет только расти. Свидетельство тому — недавно обнаруженная исследователями из DEVCORE цепочка критических уязвимостей, известная под общим названием ProxyLogon.

Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 12K
Комментарии 2

Пока расследование не разлучит нас: малварь, которая может сидеть в сети компании годами

Блог компании BI.ZONE Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *

Недавно мы расследовали АРТ-атаку на одну российскую компанию и нашли много занятного софта. Сначала мы обнаружили продвинутый бэкдор PlugX, популярный у китайских группировок, АРТ-атаки которых обычно нацелены на похищение конфиденциальной информации, а не денег. Затем из скомпрометированной сети удалось вытащить несколько других схожих между собой бэкдоров (nccTrojan, dnsTrojan, dloTrojan) и даже общедоступных утилит.


Программы, используемые в этой преступной кампании, не отличаются сложностью, за исключением, может быть, PlugX. К тому же три из четырех вредоносов использовали при запуске давно известную технику DLL hijacking. Тем не менее, как показало наше исследование, даже при таких условиях злоумышленники могут годами оставаться в скомпрометированных сетях.


Мы решили изучить обнаруженный софт и поделиться своими наблюдениями.

Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 10K
Комментарии 3

К чему приводят уязвимости протокола DICOM

Блог компании BI.ZONE Информационная безопасность *Визуализация данных

Автор: Мария Недяк


Вы наверняка видели в медицинском сериале, как интерны бьются над рентгеновским снимком пациента, а потом приходит их наставник и ставит диагноз по едва заметному пятнышку. В реальности такими остроглазыми диагностами становятся модели машинного обучения, применяемые в технологии medical imaging. Благодаря таким штукам можно гораздо быстрее выявить болезнь, например, определить, являются ли клетки на снимках опухолевыми или неопухолевыми.


Но есть одна проблема — в медицинских технологиях используются DICOM-протоколы, безопасность которых оставляет желать лучшего. О них и пойдет речь в этой статье.


Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 5.1K
Комментарии 11

Через тернии к CVE: как зарегистрировать уязвимость, если у компании нет Bug Bounty

Блог компании BI.ZONE Информационная безопасность *Криптография *

Автор: Иннокентий Сенновский (rumata888)


Хочу поделиться опытом регистрации уязвимостей в продуктах компаний без Bug Bounty. У меня этот процесс занял целых два года, в течение которых я общался с вендорами, боролся с недопониманием и стучался в MITRE.


Проблемы мотивации и целесообразности поиска уязвимостей в таких продуктах оставим за рамками этой статьи. Обсудим, что делать, если баг уже обнаружен. Если вам не терпится сразу почитать советы, переходите к последней части.



Photo credit: https://www.deviantart.com/heroeswho

Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 2.2K
Комментарии 6

Пасхалка в APK-файлах: что такое Frosting

Блог компании BI.ZONE Информационная безопасность *Разработка под Android *Реверс-инжиниринг *


Автор: Константин Молодяков


Структура файла — увлекательный мир со своими историей, тайнами и собственным цирком уродов, где выступают костыльные решения. Если в ней покопаться, можно найти много интересного.


Я наткнулся на одну особенность APK-файлов — специальную подпись с особым блоком метаданных, Frosting. Она позволяет однозначно определить, распространялся ли файл через Google Play. Эта подпись будет полезна для антивирусных вендоров и песочниц при анализе вредоносов. Кроме того, она может помочь криминалистам при поиске источника файла.


Информации об этом практически нет. Удалось найти только раздел Security metadata in early 2018 в Android Developers Blog и утилиту Avast, которая позволяет проверить данную подпись. Я решил изучить эту штуку, проверить корректность предположений разработчиков Avast о содержании Frosting-блока и поделиться своими выводами.

Читать дальше →
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 3.6K
Комментарии 4

Охота на Zerologon

Блог компании BI.ZONE Информационная безопасность *


Авторы: Демьян Соколин (@_drd0c), Александр Большаков (@spacepatcher), Ильяс Игисинов (@ph7ntom), Хрыков Вадим (@BlackMatter23)


CVE-2020-1472, или Zerologon, уже получила звание одной из самых опасных уязвимостей, обнаруженных за последние годы. Она позволяет атакующему скомпрометировать учетную запись машинного аккаунта контроллера домена и получить доступ к содержимому всей базы Active Directory. Для эксплуатации достаточно наличия сетевой связности с контроллером домена организации.


Мы провели собственное исследование Zerologon и разработали различные методы обнаружения ее эксплуатации: по событиям журналов аудита Windows, по сетевому трафику и при помощи YARA-правил. В этой статье подробно остановимся на каждом из них.

Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 9.8K
Комментарии 0

Attack-defence для бизнеса: разбираем задания корпоративного тренинга Cyber Polygon

Блог компании BI.ZONE Информационная безопасность *CTF *

Типичный парадокс из жизни безопасника:

• инцидентов быть не должно (потому что инциденты = потери для бизнеса);

• но инцидентов должно быть много (потому что без опыта реагирования будет трудно сохранять квалификацию и оперативно отражать атаки).

Для выхода из этого порочного круга крупные компании заказывают услуги Red Team: нанимают сторонних специалистов, которые пытаются взломать компанию. Но, во-первых, это довольно дорого; во-вторых, развернуться здесь трудно: мало кто позволит всерьез ломать бизнес-критичные сервисы.

Мы решили попробовать другой подход — практические учения — и год назад впервые организовали бесплатный тренинг для корпоративных команд Cyber Polygon. В роли Red Team мы атаковали сразу нескольких команд-участниц, причем все происходило в специальной тренировочной инфраструктуре, которую не жалко.

В июле прошел Cyber Polygon 2.0. В нем участвовали уже 120 команд из 29 стран, а сценарии тренинга включали и защиту инфраструктуры от активной атаки (Defence), и реагирование и расследование инцидентов (Response).

В этом райтапе мы расскажем о заданиях сценария Defence: идеи для него мы черпали из опыта подготовки attack-defence CTF.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 1.5K
Комментарии 2

Самописная криптуха: vulnerable by design, или история одного CTF-таска

Блог компании BI.ZONE Информационная безопасность *Криптография *Математика *CTF *

Автор: Иннокентий Сенновский (rumata888)


Как заинтересовать студента скучным предметом? Придать учебе форму игры. Довольно давно кто-то придумал такую игру в области безопасности — Capture the Flag, или CTF. Так ленивым студентам было интереснее изучать, как реверсить программы, куда лучше вставить кавычки и почему проприетарное шифрование — это как с разбегу прыгнуть на грабли.


Студенты выросли, и теперь в этих «играх» участвуют и взрослые прожженные специалисты с детьми и ипотекой. Они многое успели повидать, поэтому сделать таск для CTF, чтобы «старики» не ныли, не самая простая задача.


А переборщишь с хардкором — и взвоют команды, у которых это непрофильная предметная область или первый серьезный CTF.


В статье я расскажу, как наша команда нашла баланс между «хм, нечто новенькое» и «это какая-то жесть», разрабатывая таск по крипте для финала CTFZone в этом году.


Финальный scoreboard CTFZone 2020


Финальный scoreboard CTFZone 2020

Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 2.5K
Комментарии 2

Информация

Местоположение
Россия
Сайт
bi.zone
Численность
201–500 человек
Дата регистрации