С весны 2023 года мы активно наблюдаем за одной любопытной группировкой. Мы назвали ее PhaseShifters, так как заметили, что она меняет свои техники вслед за другим группировками, например UAC-0050 и TA558. В своих атаках PhaseShifters используют фишинг от имени официальных лиц с просьбой ознакомиться с документами и их подписать. А эти документы, в свою очередь, защищены паролем и (что предсказуемо) заражены.

В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer — часть этих инструментов мы заметили у UAC-0050. А использованные криптеры были те же, что и у группировок TA558 и Blind Eagle.

Ровно 5 лет назад коллеги составили топ страшных историй из IT: дипфейки и умные унитазы, взломы и утечки данных… Казалось бы, ничего не изменилось, мы все еще боимся умных туалетов. Как бы не так! Все стало более пугающим…

Техника сегодня и даже пять лет назад – это уже довольно разные вещи. Кардинально она может не отличаться, потому что все еще обладает относительно одинаковыми интерфейсами, хотя со своими особенностями (например, что было вполне ожидаемо, увеличилось количество рекламы, интегрированной везде и всюду). Как и в 2019 нас все еще пугает искусственный интеллект, но теперь его возможности не ограничиваются генерацией нереалистичных дипфейков. ИИ стал гораздо страшнее и уже во многом повлиял на нашу жизнь.

Итак, что же успело нас напугать в 20-х годах?

Привет! Меня зовут Павел Маслов, я архитектор дирекции инфраструктурных проектов Positive Technologies. Не так давно мой коллега Артем Мелехин уже рассказывал на Хабре о сути нашего подхода к харденингу ИТ-инфраструктуры. Сегодня же мы поговорим об укреплении киберустойчивости программных средств на конкретном примере — параметрах почтовой системы Microsoft Exchange (MS Exchange).

Начать хочется с небольшой истории, которая и подтолкнула меня к написанию этой статьи. Недавно к нам за консультацией обратились ИТ-специалисты одной крупной компании с государственным участием, назовем ее N. Вопрос касался работы их корпоративной почты на базе MS Exchange, а точнее конкретного письма. Дело в том, что генеральный директор их контрагента получил e-mail от имени руководителя N с просьбой поделиться конфиденциальной информацией. Как вы уже догадались, никакого сообщения с подобным запросом он не отправлял. Чем закончилась эта история и как не повторить судьбу наших героев, читайте под катом.

Всем привет! На связи снова Даниил Нейман из отдела развития инициатив сообществ по ИБ в Positive Technologies. В прошлой статье я рассказывал про одну из основных проблем, с которой сталкивается специалист при анализе кибератак, а именно про сложность анализа без использования стандартизированных методов моделирования атак для разбиения и визуального представления различных этапов кибератаки.

Нами были рассмотрены методы моделирования атак на основе юзкейсов, теперь поговорим про темпоральные методы моделирования (акцент на хронологическом порядке и последовательности событий в кибератаке).

Отличительной чертой этих методов является представление кибератаки с временной точки зрения. Они позволяют моделировать и анализировать развитие атаки во времени, учитывая динамику изменений состояния системы или сети, а также временные зависимости между действиями атакующего.

Всем привет! Меня зовут Татьяна Маркина, и я руковожу направлением системного анализа в Positive Technologies на продукте MaxPatrol SIEM. У каждой области, в которой мне доводилось работать, была своя специфика, и в каждой надо было разбираться с нуля. Сперва это были телевизионные приставки, потом мультимедийные устройства для автомобиля, сейчас это информационная безопасность. О каждой области я могу говорить часами. Но хотелось бы определить, какие именно hard skills на каких продуктах и проектах нужны.

Предлагаю разобраться, на что стоит обращать внимание аналитику и что ему нужно знать для продуктивной работы. Мы пройдемся по вопросам, которые помогут вам сформировать для себя список необходимых скилов.

Всем привет! Меня зовут Антон Володченко, в Positive Technologies занимаюсь разработкой продуктов на стыке ИТ, ИБ и R&D. Этим небольшим постом я хотел бы чуть сблизиться с нашей аудиторией и побольше узнать, что вас волнует в контексте работы с репозиториями пакетов, образов, библиотек. Это поможет нам в расстановке приоритетов в рамках разработки нового, пока не анонсированного продукта. Интересно будет мнение активных участников DevOps-процессов, небольших команд, да и просто разработчиков-фрилансеров.

В последнее время все чаще доступ к ресурсам по различным причинам оказывается ограничен. Вспомним историю Terraform или JetBrains, а еще случай Docker, но там все быстро вернулось в строй. Прибавьте к этому проблемы безопасности сторонних библиотек (одну из множества таких проблем описывали в нашей статье). В общем, нюансов с пакетами и образами бывает много разных, но хочется понять, насколько часто возникают такие проблемы — поэтому прошу вас ответить на несколько вопросов, связанных с организацией процесса разработки. Если у вас будет время и желание пообщаться на эту тему подробнее — смело пишите мне здесь @Zero5 или в Telegram @parazero5. А в комментариях к этому посту можно добавить свои варианты ответов и обсудить эту тему.

Помните, когда-то мы раскрыли неочевидную связь между гастритом… и системой выявления инцидентов? За это время MaxPatrol SIEM обновился 17 раз (не считая хотфиксов), перешагнул отметку в 650 инсталляций, включая географически распределенные, и приобрел множество новых фич. Я, Иван Прохоров, отвечаю за развитие этой SIEM-системы. Вместе с коллегой Романом Сергеевым, который трудится над архитектурой MaxPatrol SIEM и не только, мы решили, что пора — пора писать новую главу о разработке продукта.

Как удалось создать по-настоящему экспертную SIEM-систему и сделать ее более отзывчивой для аналитиков, заместить общедоступные технологии собственными (снизив при этом hardware footprint), сколько было подходов к снаряду и что получилось воплотить вопреки обстоятельствам — узнаете под катом.

Всем привет!

Это заключительный материал из нашего импровизированного цикла «Standoff-онбординг». В первой статье мы разобрали, как реализовывать фишинг и ломать внешний периметр, а во второй — взламывали внутренний периметр и АСУ ТП, а также говорили про дополнительные полезные источники и матрицу MITRE ATT&CK.

Напоследок мы решили подготовить вам подробный рассказ о том, как правильно взаимодействовать с порталом Standoff 365 и как попасть на соревнования, а также составили инструкцию по написанию баг-репорта и очень полезный чек-лист для подготовки к кибербитве. Подробности под катом, а с вами как всегда Антипина Александра (N3m351d4) — капитан команды Cult 😊

В мире разработки ПО своевременное получение информации о событиях в репозиториях важно для активного сообщества. Мы решили автоматизировать этот процесс, создав чат-бота для нашего комьюнити в Telegram.

Мы сделали упор на то, чтобы бот был простым в использовании, помогал оставаться в курсе изменений и сокращал время на ручной мониторинг репозиториев, предоставляя важную информацию в читаемом виде прямо в Telegram-чатах. Но самое главное — это вовлечение сообщества в жизнь наших открытых проектов :)

Меня зовут Александр, в Positive Technologies я занимаюсь развитием open-source-инициатив в сфере информационной безопасности. В статье расскажу, как настроить бота, покажу примеры его работы и поделюсь реальными кейсами, где он уже помог ускорить взаимодействие.

Привет, Хабр! В предыдущей статье был разобран первичный анализ работы приложения, какие инструменты стоит использовать для сбора информации и как с этими инструментами работать. Напомню, что речь шла о двух утилитах: poor man's profile (pt‑pmp), которая позволяет комплексно оценивать работу приложения, отображая off-cpu и on-cpuчасти; и perf, которая обладает высокой точностью и мощной функциональностью в целом. Оба этих инструмента применяются для анализа производительности, так как их комбинация позволяет целиком и со всех сторон осмотреть «пациента».

Однако есть один пункт, который не был раскрыт в прошлой части: использование этих инструментов на настоящих продуктах. Синтетический пример на базе open‑source‑проекта — это хорошо, но будет не лишним показать, какие реальные проблемы были найдены, исправлены и какой прирост производительности удалось в итоге получить. В этой статье мы поговорим о практическом применении pt-pmp и perf, с помощью которых удалось обнаружить места для оптимизации работы программы. Меня по‑прежнему зовут Александр Слепнев, устраивайтесь поудобнее, начинаем!

«Встречают по одежке, провожают по уму» — гласит русская народная пословица. Мы осмелились переделать ее на свой лад: «NGFW встречают по маркетинговым материалам, а провожают… — стоп, а почему провожают? — … а покупают по результатам пилотного проекта!».

Большинство продуктов для ИБ, прежде чем найти свое место в тернистой инфраструктуре, проходят этап тестирования на пилотном проекте. Чем продукт сложнее в исполнении и важнее для обеспечения информационной безопасности, тем тщательнее и ответственнее заказчики подходят к «пилоту». Как же провести пилотное тестирование NGFW? Пойдем от обратного и расскажем, как провести самый ужасный пилотный проект NGFW.

😈 Вредные советы вы найдете в стишках, а под ними — вся правда.

Roundcube Webmail – клиент для электронной почты с открытым исходным кодом, написанный на PHP. Обширный функционал, а также возможность удобного доступа к почтовым аккаунтам из браузера без необходимости установки полноценных почтовых клиентов, обусловила его популярность в том числе среди коммерческих и государственных организаций многих стран.

Это делает его привлекательной целью для злоумышленников, которые адаптируют эксплойты через достаточно короткое время, после появления сведений о них в открытом доступе, нацеливаясь на похищение учетных данных и почтовой переписки организаций.

Пример одной из подобных атак мы хотим привести в этой статье.

И снова привет, Хабр! В прошлый раз мы разбирали, что из себя представляет онлайн-полигон Standoff и как можно взломать его внешний периметр. В этой статье пойдем дальше — расскажем, что делать с внутренним периметром и АСУ ТП, а также какие еще знания могут пригодиться на кибербитве.

Мы по-прежнему ждем комментариев, если ваш опыт отличается от нашего. Всем комьюнити будем рады узнать, как участвует в Standoff именно ваша команда 😊

В 2004 году вышел фильм «Я, робот», который оброс мемами. Один из ключевых эпизодов картины — сцена, где робота спрашивают, может ли он написать симфонию или создать какой-либо шедевр. Робот отвечает: «А вы?» Сегодня искусственный интеллект рисует обложки для журналов, сочиняет музыку, пишет книги. Что вообще происходит? Предлагаю обсудить, как изменится деятельность разработчиков ПО в ближайшие годы в связи с широким распространением ИИ.

Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо могут начать эксплуатироваться в ближайшее время.

Начиная с этого месяца мы решили несколько расширить формат и не только расскажем про трендовые уязвимости сентября, но и рассмотрим примеры использования социальной инженерии, эксплуатации уязвимостей из реального мира и практик процесса управления уязвимостями.

Начнем с трендовых уязвимостей — в сентябре их было семь.

Привет, Хабр! В этой статье мы хотим поговорить о применении технологий машинного обучения (machine learning, ML) в SIEM-системах. Разберемся, с какими проблемами и ограничениями сталкиваются операторы, расскажем о нашем модуле BAD и о том, как реализованные в нем модели ML помогают вычислять хакеров. А еще заглянем в будущее и посмотрим, как машинное обучение может применяться в SIEM завтра. Все это ждет вас под катом!

Ни для кого не секрет, что багхантинг с каждым годом набирает популярность, привлекая внимание как компаний, стремящихся повысить безопасность своих продуктов, так и белых хакеров, желающих применить свои технические навыки и заработать на поиске уязвимостей. Все больше компаний создают собственные багбаунти-программы, некоторые интегрируются в уже существующие площадки.

В 2010 году, когда направление багбаунти еще не получило широкой известности, корпорация Google запустила свою программу вознаграждений за уязвимости. С тех пор в Google Vulnerability Reward Program поучаствовало более 3000 исследователей безопасности. Каждый год Google обновляет списки своих лучших багхантеров, которые нашли наибольшее количество уязвимостей в их продуктах. И нам удалось пообщаться с одной из них.

Привет, Хабр! Если вы это читаете — значит, вы интересуетесь кибербитвой Standoff. Эта статья первая из цикла, цель которого познакомить с платформой всех, кто мечтает поучаствовать в кибербитве впервые. Интересно будет и матерым игрокам — ведь даже самая незначительная крупица опыта коллеги может стать неоспоримым преимуществом во время кибербитвы.

На связи Антипина Александра (N3m351d4) aka капитан команды Cult. Если ваш опыт не похож на наш, мы всем комьюнити будем рады узнать, как участвует в Standoff ваша команда. Ждем ваши истории в комментариях 😊

Всем привет! Меня зовут Андрей Скрипкин. Еще когда был студентом, понял, что хочу заниматься информационной безопасностью — увлек брат. Прошло уже больше 15 лет, а интерес к профессии только растет. Сейчас уже два года работаю в Positive Technologies в департаменте инжиниринга: реализую проекты на базе продуктов PT. И это, с одной стороны, похоже на мой предыдущий опыт работы в интеграторах, а с другой — это новый опыт, новые подходы к ведению проектов и новый уровень экспертизы.

Пожалуй, главное, что я понял о проектах за время работы: самое важное — это люди. Люди, которые реализуют проект. И от того, как эти люди буду взаимодействовать друг с другом, зависит успех всего проекта. Хороший инженер всегда «приручит» любую технику и победит любые проблемы с программным обеспечением — а хороший менеджер всегда найдет компромисс в спорных ситуациях.

В этой статье я хочу поделиться своим опытом: рассказать, как продуктивно реализовывать проекты и выстраивать отношения между участниками проекта — заказчиком, интегратором и вендором.

Дисклеймер. Сам конкурс и каждая строчка его правил были согласованы. Участникам конкурса, даже в случае их задержания охраной, ничего не грозило. Однако мы настоятельно не рекомендуем повторять подобное в обычной жизни, например на других мероприятиях!

Приветствую всех!

Это статья о SEQuest — первом квесте по социальной инженерии на городском киберфестивале PHDays Fest 2, который прошел в конце мая. Идея квеста принадлежит Антону Бочкареву, основателю и генеральному директору компании «Третья Сторона» (3side.org). Квест был проведен командой 3side, и мы хотим выразить благодарность организаторам фестиваля — компании Positive Technologies, команде зоны квестов и особенно Дмитрию Савловичу за терпение! Также мы благодарим наших прекрасных волонтеров и всех участников квеста.

Сама идея SEQuest появилась примерно за два месяца до начала фестиваля. Мы обсуждали, что на PHDays почти все конкурсы технические и имеют довольно высокий порог вхождения, поэтому многие участники, не могут в них участвовать. Особенно учитывая, что на фестиваль приходят не только технические специалисты, но и менеджеры по продажам, маркетологи, руководители и многие другие. Мы подумали, что было бы неплохо предложить организаторам конкурс по социальной инженерии в стиле управляемого взлома фестиваля.

Когда мы представили структурированную и описанную идею, мы были уверены, что нам откажут. Ведь эта идея была слишком смелой для, как нам казалось, консервативной индустрии и могла принести много проблем организаторам. Но внезапно идея настолько понравилась, что ее сразу одобрили! За несколько встреч мы обсудили список заданий, возможные решения, позиционирование, ограничения и правила.