В последнее время злоумышленники все чаще используют в качестве управляющего сервера (C2) Telegram. Вспомним хотя бы группировку Lazy Koala, о которой рассказывали здесь недавно. Колоссальное количество сообщений, огромное число жертв и каждодневное появление новых ботов и чатов в Telegram привлекли наше внимание, и мы занялись исследованием этого «всплеска». В ходе исследования мы обнаружили связанные с чатами СМС-стилеры из Индонезии. Подробнее об этом можно почитать в расширенном материале.

В этой статье мы расскажем про источники заражения и разберем уникальные экземпляры стилеров, которые имели нестандартные названия, форматы сообщений или особенности кода. Намерений злоумышленников нам не удалось узнать наверняка. Предполагаем, что все атаки совершены с целью наживы и кражи личных данных пользователей. Итак, команда PT ESC снова в деле!

Вы когда-нибудь задумывались — как член команды разработки — почему некоторые функции в приложениях не используются? Возможно, вам доводилось испытывать ощущение бессилия или бессмысленности своей работы? Либо, напротив — у вас возникало желание сделать лучше? Или, может быть, вам приходилось выполнять задачи, в которых вы сами не видели ценности для пользователя? Возможно ли в принципе избежать подобных ситуаций?

Непонимание ценности выполняемых задач — одна из частых проблем, которые встречаются при разработке ПО. Как следствие, команда начинает бездумно внедрять новые процессы, не понимая, как они связаны с уже существующими. Все это может закончиться тем, что будет создана функциональность, которая не принесет выгоды пользователям и не будет соответствовать ожиданиям заказчика.

Всем привет! Я Гузель Хамидуллина, системный аналитик в Positive Technologies. Хочу поделиться с вами мыслями о том, насколько важно для команды разработки понимать ценность входящих задач.

Привет! Я Никита Ладошкин, руковожу разработкой PT Container Security в Positive Technologies. Однако в этой статье речь пойдет не о продуктах и техниках защиты, и даже не о контейнерах (но это не точно) — сегодня я хотел бы выступить в необычной для себя роли тревел-блогера и рассказать о своих впечатлениях о поездке в Японию.

Впрочем, мое внимание к Стране восходящего солнца привлекли вовсе не макеты еды и шоколад со вкусом васаби (хотя и это тоже). Как специалиста по ИБ меня в первую очередь поразило то, как японские города и правила поведения в них схожи с тем, что мы пытаемся реализовать в наших продуктах.

Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с коман­­дой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо могут эксплуатироваться в ближайшее время.

Сегодня расскажу про самые опасные уязвимости июня. Всего в этом месяце таких уязвимостей было довольно много:

🔴 уязвимости в Microsoft Windows, связанные с повышением привилегий;

🔴 уязвимость, приводящая к выполнению произвольного кода, в скриптовом языке PHP на узлах под управлением Windows (CVE-2024-4577);

🔴 уязвимость, приводящая к повышению привилегий, в ядре Linux (CVE-2024-1086);

🔴 уязвимость, связанная с раскрытием информации, в Check Point Quantum Security Gateways (CVE-2024-24919);

🔴 уязвимости в VMware vCenter, позволяющие выполнить произвольный код (CVE-2024-37079, CVE-2024-37080);

🔴 уязвимость в Veeam Backup & Replication, приводящая к обходу аутентификации (CVE-2024-29849).

Всем привет! Меня зовут Виталий Самаль, я старший специалист отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies. Мы с командой отслеживаем актуальные угрозы, анализируем тактики и техники атакующих и на основе этих данных пишем детектирующие правила и модули для MaxPatrol EDR.

Сегодня я хочу поговорить про вредоносное ПО, известное среди экспертов как HIDDENSHOVEL, или GHOSTENGINE. Примечательно то, какие техники используют атакующие на различных этапах его доставки и развертывания для запуска обычного майнера XMRig.

В статье не будет анализа всей цепочки. Вместо этого я сосредоточусь на конкретном модуле под названием kill.png, который может завершать процессы установленных средств защиты, и покажу на примере нашего продукта, как происходит обнаружение этапов заражения. Кроме того, в конце статьи приведу полный список из 1661 процесса в распакованном модуле, которые ВПО принудительно завершает для уклонения от обнаружения.

Привет всем! Я Гриша Прохоров, аналитик из команды PT Cyber Analytics, и это моя первая статья на Хабре.

Наши эксперты регулярно проводят тестирование на проникновение в компаниях, чтобы оценить уровень их защищенности. Это необходимо, чтобы организации увидели «масштаб катастрофы», с одной стороны, а с другой, выдохнули и пошли закрывать уязвимости и фиксить баги, чтобы их продукты становились более безопасными, а клиенты — защищенными. Пентестеры делают свою работу, что называется, в полевых условиях, а аналитики потом собирают полученную информацию, исследуют ее и делают соответствующие выводы. Такой вот симбиоз. О том, кто такие пентестеры и чем они занимаются, читайте в мартовской статье Димы Серебрянникова.

Собранные аналитические данные помогают оценить проблему не одной конкретной компании, а целой отрасли, к примеру сделать вывод о состоянии защищенности той или иной отрасли от года к году. В новом большом исследовании мы подвели итоги таких тестирований за 2023 год, в этой же статье хочу остановиться на ключевых моментах, в частности на уязвимостях.

Спустя месяц в копилку расследований экспертного центра безопасности Positive Technologies (PT Expert Security Center) добавилось еще одно, причем о группировке ExCobalt, за которой мы следим с ноября прошлого года. Напомним: тогда наша команда выяснила, что в составе ExCobalt есть участники небезызвестной APT-группы Cobalt (ее профайл можно посмотреть здесь), которые активны как минимум с 2016 года. ExCobalt поменяла сферу интересов и, в отличие от предшественника, специализируется на кибершпионаже и краже данных.

Этой весной группировка вновь стала заметна на киберпреступной арене и занесла в актив любопытную вредоносную программу, ранние версии которой нам уже встречались во время реагирования на инциденты в ряде российских компаний. Мы назвали найденный бэкдор GoRed — такое имя носил его первый образец, обнаруженный нашей командой.

О главных особенностях хакерского инструмента по традиции рассказываем здесь, на Хабре, а за подробностями приглашаем вас в полный отчет.

Здравствуйте, друзья! Меня зовут Алексей Потапов, и я представляю экспертный центр безопасности Positive Technologies. Ранее мы уже знакомили вас с ключевыми элементами нашего подхода к обнаружению атак на примере технологий в SIEM: механизме построения цепочек запускаемых процессов на основе нормализованных событий, автоматическом вайтлистинге и машинном обучении для выявления нестандартного поведения пользователей и процессов в инфраструктуре. Тему ML было бы невозможно раскрыть в одном посте, поэтому предлагаю углубиться в более технические детали.

Мы уже рассказывали про модуль Behavioral Anomaly Detection (BAD). Он работает как система second opinion — собирает данные о событиях и пользователях, присваивает им определенный уровень оценки риска (risk score) и выдает альтернативное мнение, основываясь на своих алгоритмах. Фишка BAD в том, что он снижает когнитивную нагрузку аналитика системы SIEM, позволяя эффективнее принимать решение по инциденту информационной безопасности.

В этой статье я расскажу, что делает модуль BAD не просто новым инструментом, а полноценным игроком в вашей команде кибербезопасности. Поговорим о перспективах, которые открывает его использование.

С 21 февраля по 3 марта в Казани проходил первый международный фиджитал-турнир «Игры будущего». Зрелищные соревнования на стыке традиционного и цифрового спорта, инновационные дисциплины, более 2000 участников со всего мира — турнир стал по-настоящему уникальным событием. Мероприятие ожидаемо привлекло зрителей и получило широкое освещение в СМИ. Правда, было и то, что на протяжении всего турнира неизменно оставалось за кадром: кибератаки и инциденты информационной безопасности на «Играх будущего». 

Масштаб таких мероприятий всегда диктует исключительные требования к обеспечению кибербезопасности. А учитывая специфику турнира, киберспортивную составляющую и сложную IT-инфраструктуру, к защите игр необходим был особый подход. Поэтому для нас, экспертов Positive Technologies, выступившей ключевым партнером по кибербезопасности на «Играх будущего», это стало своего рода вызовом. Забегая вперед, докладываем, что справились мы с ним успешно: на мероприятии не было допущено ни одного инцидента ИБ, повлекшего последствия для проведения турнира! Но обо всем по порядку. Как мы, специалисты PT Expert Security Center (PT ESC), защищали от кибератак «Игры будущего»? Какие инциденты обнаруживали? Какие продукты и технологии нам помогали? Обо всем этом читайте под катом!

Привет! Меня зовут Евгений Биричевский, в Positive Technologies я работаю в отделе обнаружения вредоносного ПО экспертного центра безопасности (PT ESC). Не так давно исследователи из Black Lotus Labs рассматривали несколько образцов 2018 года — elevator.elf и bpf.test. Пускай образцы и старые, но они используют уязвимости в eBPF, что происходит крайне редко: такие случаи можно практически пересчитать по пальцам.

Исследователи достаточно подробно описали общие функции и особенности ВПО, отметили запуск и использование eBPF-программ, но практически не описали сами eBPF-программы. Мне это показалось значительным упущением, ведь крайне редко удается пощупать in the wild использование уязвимостей в eBPF. Основываясь на дате появления образца и его поведении, исследователи предположили, что используется CVE-2018-18445. В этой статье мы научимся анализировать eBPF, достаточно подробно разберем используемые eBPF-программы, а также подтвердим или опровергнем гипотезу об использовании CVE-2018-18445.

Привет, Хабр! Меня зовут Таня Маркина, я руковожу аналитиками на продукте MaxPatrol SIEM. В 2023 году, еще до работы в Positive Technologies, я исследовала разные системы управления требованиями (СУТ), чтобы выбрать лучший вариант и обосновать его покупку своим руководителям.

В этой статье расскажу, какие существуют системы управления требованиями, чем они друг от друга отличаются и какие из них самые удобные.

Если вызывали пояснительную бригаду по уязвимостям, она приехала. Я Миша Козлов, в Positive Technologies отвечаю за продукты по анализу инфраструктуры и детектированию уязвимостей. Вместе с командой экспертов делаем так, чтобы компании узнавали все о своих активах, искореняли shadow IT и уязвимости, и чтобы в итоге недопустимое становилось невозможным. В этой статье расскажу о том, какие бывают уязвимости, как их используют киберпреступники и каких брешей нужно бояться больше всего.

Привет, Хабр! Меня зовут Сергей, я техлид в команде PT BlackBox. Мы с коллегами разрабатываем продукт, который позволяет обнаруживать уязвимости в приложениях методом черного ящика. Фактически мы сами и пишем веб-приложения, и именно о них пойдет речь в статье.

Я бы хотел с вами поделиться своими наработками по теме бэкенд-приложений и предоставить вам шаблон-прототип, который, как мне кажется, может закрыть подавляющее большинство потребностей при их разработке.

Для написания прототипа я буду использовать Litestar, FastStream и dishka. Эта статья будет особенно полезна тем, кто пишет на Tornado, Django, Flask или AIOHTTP и хочет перейти на более актуальные технологии для дальнейшего развития своих проектов на современных рельсах.

Хабр, привет! Уже по традиции я, Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center, рассказываю про трендовые уязвимости месяца.

Всего их было четыре:

1️⃣ уязвимость, приводящая к удаленному выполнению кода в многоплатформенном опенсорсном инструменте для сбора и обработки журналов Fluent Bit (CVE-2024-4323);

2️⃣ уязвимость, приводящая к удаленному выполнению кода в корпоративной веб-вики Confluence (CVE-2024-21683);

уязвимости Microsoft, связанные с 3️⃣ обходом функций безопасности в Windows MSHTML Platform (CVE-2024-30040) и 4️⃣ повышением привилегий в Windows DWM Core Library (CVE-2024-30051).

Представим ситуацию: вы молодой и перспективный специалист инжиниринга производительности, который устроился в крупную IT-компанию. Ваша задача — выполнить оптимизацию определенного продукта, который должен заработать быстрее. Вы почитали об этом проекте, поняли, в чем основная суть, и даже запустили нагрузочные тесты, показывающие потенциал роста. Какой будет ваш первый шаг для поиска узких мест? Конечно, сперва стоит заняться профилированием приложения, чтобы обнаружить код, исполнение которого занимает больше всего времени. Но какой профилировщик использовать для первого осмотра? Давайте попробуем в этом разобраться.

Меня зовут Александр Слепнев, я работаю в команде инжиниринга производительности Positive Technologies. Мы занимаемся анализом продуктов компании для ускорения их работы: ищем узкие места в коде, прорабатываем способы устранения проблем, реализуем патчи и интегрируем готовые решения в проект. В этой статье расскажу о том, как мы начинаем работу над проектами и какие инструменты используем для получения первичной информации.

Привет! Меня зовут Валерий Слезкинцев. В Positive Technologies я руковожу направлением реагирования на конечных точках в отделе обнаружения вредоносного ПО в PT Expert Security Center (PT ESC). Наша команда мониторит свежие атаки и воспроизводит их на лабораторных стендах, чтобы убедиться, что наш EDR успешно обнаруживает актуальные угрозы и позволяет защитить от них клиентов. Вы могли читать ранее мою статью о трояне RADX . На этот раз хочу поделиться с вами подробным разбором того, как использовать новые модули MaxPatrol EDR.

Сначала я покажу, как может действовать злоумышленник, далее расскажу о консоли EDR, а в конце статьи поделюсь рекомендациями по реагированию.

Привет, Хабр. С небольшим перерывом на связи снова специалисты из экспертного центра безопасности Positive Technologies. Если помните, в ноябре мы рассказывали об атаках ранее неизвестной группировки Hellhounds на инфраструктуру российских компаний. Статья была посвящена атакам группировки на узлы под управлением ОС Linux с использованием нового бэкдора Decoy Dog.

Так вот, Hellhounds продолжают атаковать организации на территории России. Причем команде PT ESC CSIRT в процессе реагирования на инцидент в одной из компаний удалось обнаружить успешные атаки на Windows-инфраструктуру, о которых ранее не сообщалось.

Рассказываем о ранее неизвестном инструментарии группировки.

Привет, Хабр! На связи Таисия Чернышева. Я работаю в Positive Education менеджером образовательных проектов и хочу рассказать о ежегодных мероприятиях, которые наша команда проводит для молодых специалистов — тех, кто только начинает или планирует карьеру в ИБ. Не так давно в рамках Standoff 101 и PHDays мы стали организовывать молодежные дни, на которые собираем студентов направлений ИБ и ИТ и рассказываем об индустрии кибербезопасности: как выбрать специальность, куда пойти учиться, где пройти стажировку и как преуспеть в наиболее востребованных профессиях. Основная цель таких мероприятий — рассказать о новых профессиях, поделиться лайфхаками по построению карьеры и сформировать у студентов технических вузов ясное понимание того, как начать развиваться в сфере кибербезопасности.

В прошлой статье, посвященной Python Day, который пройдет 26 мая в рамках киберфестиваля Positive Hack Days 2, мы рассказали о 4 из 8 запланированных докладов конференции. Продолжаем свой рассказ, дополняя его комментариями участников программного комитета мероприятия.

С 23 по 26 мая в «Лужниках» пройдет Positive Hack Days Fest 2. Традиционно эксперты сообщества POSIdev помогли сформировать секцию для разработчиков в профессиональной программе фестиваля. Мы будем говорить о языках программирования, создании платформ, инжиниринге данных, менеджменте, повышении эффективности команд и многом другом. Программа получилась насыщенной: три дня занимают доклады, а еще один целиком посвящен воркшопам.

Подготовили для вас ссылки, собранные по тематикам. Проходите по ним — у каждого доклада есть опция добавления в календарь:

✔️ General Development

✔️ Secure Development

✔️ Platform Engineering

✔️ Data Engineering

✔️ Team Lead

✔️ Languages and Tools

Или просто читайте эту статью дальше: чтобы было проще спланировать время в «Лужниках», мы составили три чек-листа, что нужно обязательно успеть на фестивале специалистам разных профессий.