Как стать автором
Обновить
128.92
Рейтинг
Сначала показывать
  • Новые
  • Лучшие

Расследование: как мы обнаружили новые следы группировки ChamelGang и помогли авиапромышленной компании пресечь ее атаку

Блог компании Positive Technologies Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *Исследования и прогнозы в IT

Если помните, недавно мы рассказывали о том, как специалисты нашего экспертного центра безопасности (PT Expert Security Center, PT ESC) обнаружили новую, ранее неизвестную APT-группировку, получившую название ChamelGang (ее профайл смотрите здесь). Это произошло, когда нашу команду по реагированию на инциденты ИБ пригласили расследовать множественные срабатывания антивирусных средств защиты с вердиктом Cobalt Strike Beacon в российской топливно-энергетической компании.

Уже после расследования первого инцидента, в рамках мониторинга угроз информационной безопасности (threat intelligence) и анализа только что выявленной группировки, специалисты PT ESC обнаружили еще одну ее успешную атаку, идентифицировали и оповестили новую жертву — предприятие авиапрома России — и помогли оперативно устранить угрозу. Как и в первом случае, преступники были нацелены на похищение информации, однако быстрое обнаружение APT-группы и противодействие ей позволили предотвратить кражу.

Сегодня мы поделимся главными моментами этого расследования. Полный отчет с техническими подробностями обоих инцидентов читайте по ссылке.

Узнать больше о расследовании
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 1.8K
Комментарии 1

Новости

Больше чем compliance. Как выявлять кибератаки и выполнять требования ГОСТ Р 57580.1-2017 с помощью SIEM-системы

Блог компании Positive Technologies Информационная безопасность *Анализ и проектирование систем *IT-стандарты *Законодательство в IT

«ГОСТ Р 57580.1-2017 „О безопасности финансовых (банковских) операций“ обязателен для выполнения кредитными и некредитными финансовыми организациями» — эта сухая фраза из стандарта, как, впрочем, и весь документ, порождает множество вопросов. На кого конкретно распространяются его требования? В какие сроки их необходимо выполнить? Как происходит оценка соответствия вашей организации требованиям ГОСТа? Какие меры защиты реально реализовать с помощью SIEM-систем?

Мы решили разобраться в этой теме и попросили Наталию Казанькову, старшего менеджера по продуктовому маркетингу Positive Technologies, ответить на наши вопросы и рассказать простыми словами, для чего данный ГОСТ нужен и как на практике компаниям соответствовать его требованиям. В статье вас ждет приятный бонус — специальное предложение на MaxPatrol SIEM All-in-One для тех, кому необходимо реализовать требования  этого стандарта.

Подробнее
Рейтинг 0
Просмотры 1.7K
Комментарии 0

Знай врага своего: разбираем техники атакующих на The Standoff вместе с PT NAD

Блог компании Positive Technologies Информационная безопасность *Спортивное программирование *Сетевые технологии *Конференции

Привет, Хабр! Мы продолжаем разбирать наиболее примечательные моменты майской кибербитвы The Standoff. Это отличный шанс подготовиться к новому противостоянию, которое пройдет уже 15 и 16 ноября. Еще не знаете подробностей? Читайте их в нашем блоге.

Сегодня расследуем ряд атак на периметре и внутри сети, выявленных нашей NTA-системой — PT Network Attack Discovery (PT NAD). Разберем, какие тактики и техники по матрице MITRE ATT&CK использовали атакующие для проникновения в инфраструктуру и на дальнейших этапах, и обсудим, могут ли подобные инциденты произойти в реальности. Это заключительная часть цикла материалов, посвященного результатам работы наших решений на The Standoff 2021. Если пропустили наши статьи, то скорее читайте о том, что интересного поймала наша песочница PT Sandbox, как межсетевой экран уровня приложений PT Application Firewall помогал защищать город от нападающих и какую секретную информацию об атаках нам поведал MaxPatrol SIEM.

Читать
Рейтинг 0
Просмотры 1.7K
Комментарии 5

Виртуальный город-государство и презентация новой платформы — как пройдет новый The Standoff Moscow 2021

Блог компании Positive Technologies Информационная безопасность *Ненормальное программирование *IT-инфраструктура *Конференции

В ноябре белые хакеры и специалисты по информационной безопасности соберутся на крупнейшей в мире открытой кибербитве The Standoff Moscow. Мы обновились и готовим для вас тренировки на киберполигоне, открытые киберучения, технические доклады от молодых профессионалов и погружение в вопросы инвестиций в кибербез. На такое количество нововведений потребовалось больше времени, чем планировалось, но уже 15 и 16 ноября специалисты по ИБ попытаются взломать броню компаний из различных отраслей, включая Positive Technologies. А еще мы покажем новую онлайн-платформу Standoff365 для проведения киберучений в режиме 24/7/365.

Подробности
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 782
Комментарии 0

Лже-Microsoft, McAfee и Google: как мы обнаружили APT-группу, маскирующую сетевую инфраструктуру под легитимные сервисы

Блог компании Positive Technologies Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *Исследования и прогнозы в IT

На киберарене появился новый участник: специалисты PT Expert Security Center обнаружили ранее неизвестную преступную группировку. В России она пока нацелена на организации топливно-энергетического комплекса и авиационной промышленности.  Злоумышленники используют на сегодняшний день достаточно редкий — в силу сложности исполнения — тип атак trusted relationship (атаки через доверительные отношения) и активно эксплуатируют цепочку уязвимостей ProxyShell, о которой впервые стало известно в августе этого года. Вдобавок хакеры стараются максимально маскировать свою активность под легитимную — для этого они используют особенности ОС и правдоподобные фишинговые домены, например таких компаний, как Microsoft, TrendMicro, McAfee, IBM и Google.

Интерес новой APT-группы направлен на хищение данных из скомпрометированных сетей жертв. После получения доступа в сеть целевого предприятия хакеры могут несколько месяцев оставаться незамеченными — изучать сеть компании для захвата контроля над критически важными серверами и узлами в разных сегментах.

В новой статье рассказываем, как расследовали атаку на топливно-энергетическую компанию и ее дочернюю организацию, выявили активность новой группировки, а также разбираем методы и инструменты, которые она применяла.

По ссылке представлен полный отчет о расследовании. В нем приведен детальный анализ вредоносного ПО, в том числе не встречавшихся ранее бэкдоров, и индикаторы компрометации, которые могут быть использованы для выявления следов атаки.

Подробности
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 3K
Комментарии 2

Как ломать банкоматы: ARP spoofing, CVE, обход киоска

Блог компании Positive Technologies Информационная безопасность *Ненормальное программирование *Спортивное программирование *Программирование *

На прошедшем 20 и 21 мая 2021 г. Positive Hack Days в зоне Payment Village был конкурс, участники которого могли посоревноваться в хакерском мастерстве, в частности во взломе банкоматов. Организаторы подготовили три виртуальных машины банкоматов с разным уровнем сложности заданий. На протяжении двух дней участники пытались взломать банкоматы, но всего несколько человек смогли приблизиться к заложенным нами сценариям.

Виртуальные машины банкоматов можно скачать и сейчас, поэтому мы решили сделать разбор кейсов, с помощью которой вы пошагово сможете прокачать свои скилы.

Читать далее
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 5K
Комментарии 3

Большая подборка полезных ресурсов от экспертов Positive Technologies: от лаб и подкастов до блогеров и сообществ

Блог компании Positive Technologies Информационная безопасность *Реверс-инжиниринг *Тестирование мобильных приложений *Профессиональная литература

Хотите быть в курсе всего интересного, что происходит в практической информационной безопасности? Знать, за чьими твитами стоит следить, где можно подружиться с коллегами по цеху, что в первую очередь читать и смотреть, чтобы почерпнуть фундаментальные штуки? На каких площадках можно прокачать скилы, например, в пентесте или обнаружении зловредов, да еще и бесплатно?

Сдаем все явки и пароли: делимся полезными ссылками на курсы и лабы, книги и подкасты, Telegram- и YouTube-каналы, форумы и блоги, которые наши крутые эксперты читают сами и рекомендуют тем, кто хочет держать руку на пульсе кибербеза и постоянно повышать свою ценность как профессионала. А может, наши подборки пригодятся вам при подготовке к собеседованию и помогут получить более высокую должность — кто знает 😉

Сегодня предлагаем погрузиться в тестирование на проникновение и проверку приложений на прочность, обнаружение и реверс вредоносных программ, киберразведку и расследование сложных инцидентов. Рассказываем, в какие методички заглядывают «белые шляпы», что помогает выйти на след APT-группировок и раскрутить цепочки хакерских атак, где первыми узнавать о новых подходах и техниках, используемых злоумышленниками. Добро пожаловать под кат!

Смотреть подборку
Всего голосов 12: ↑10 и ↓2 +8
Просмотры 5.5K
Комментарии 2

Как вы защищаете свой бизнес от APT-атак? Анонимный опрос Positive Technologies

Блог компании Positive Technologies Информационная безопасность *IT-инфраструктура *IT-компании

Безопасники, всем ATTENTION! К вам есть несколько вопросов🕵🏻‍♂️.

·       Как вы защищаете свои компании от таргетированных атак?

·       Сталкивались ли вы со сложными киберугрозами?

·       Какие системы информационной безопасности вы используете для выявления атак?

🎯Расскажите об этом в нашем опросе — он анонимный и займет не более 2 минут.

Пройти опрос
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 915
Комментарии 1

Call For Papers: станьте докладчиком на The Standoff

Блог компании Positive Technologies Информационная безопасность *IT-инфраструктура *Конференции

Осенний The Standoff с расширенной деловой и технической программой становится доброй традицией. 9 и 10 ноября 2021 года в Москве на ВДНХ мы соберем специалистов по ИБ с мировым именем, чтобы обсудить, как будет развиваться индустрия кибербеза. Открыто, без воды и демагогии разберем новые вызовы и способы защиты. Обнажим самые острые проблемы бизнеса и продолжим важный диалог с государством об импортозамещении в индустрии. В отдельный трек вынесем тему инвестиций: обсудим привлекательность и перспективы вложений в кибербез.

Противостояние не ограничится только офлайном. Выступления, как и сама кибербитва, будут транслироваться в прямом эфире на сайте The Standoff.

Приглашаем спикеров выступить с техническими докладами, раскрывающими темы поиска и эксплуатации уязвимостей, защиты от атак, а также практики разработки безопасного программного обеспечения.

Зарегистрируйтесь и оставьте заявку до 30 сентября, пройдите отбор программного комитета и станьте докладчиком The Standoff!

Читать далее
Рейтинг 0
Просмотры 292
Комментарии 0

Чем заняться в затишье между PHDays и The Standoff? Сделать обыкновенный разбор необыкновенного бейджа одной конференции

Блог компании Positive Technologies Спортивное программирование *Конференции Схемотехника *Производство и разработка электроники *

Привет всем!  Как всегда ярко, мощно и динамично отгремел The Standoff, отшумели насыщенные PHDays10, и мы занялись разбором накопившихся завалов из отложенных дел. На волне впечатлений от международного форума по практической безопасности «Positive Hack Days: Начало» (и пока не стартанул осенний The Standoff) решили с коллегой дооформить статью о том, как мы ковыряли бейдж с позапрошлогодней конференции OFFZONE и что из этого вышло. Наш разбор под катом. Ну что, поехали?

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 2.2K
Комментарии 4

Проверяем на прочность виртуальное государство: новый The Standoff пройдет 9–10 ноября 2021 года

Блог компании Positive Technologies Информационная безопасность *Спортивное программирование *IT-инфраструктура *Конференции

Осенью в одном из самых больших павильонов ВДНХ в Москве разразится настоящая кибербитва. Она будет длиться два дня и на этот раз под ударом окажется целая страна: если победят атакующие, то государство F погрузится в хаос. Свои системы на прочность будут проверять самые смелые компании из промышленной отрасли, ретейла, сферы финансов.

Наша задача — защитить виртуальную страну и научиться предотвращать атаки в реальной жизни. Крупнейшие в мире киберучения с расширенной деловой и технической программой пройдут в гибридном формате.

The Standoff — это не только захватывающее и динамичное киберсражение, но еще и площадка для диалога об информационной безопасности. Здесь делятся опытом эксперты с мировым именем, включая профессионалов из Cyber R&D Lab, Hack In The Box, Positive Technologies и других международных компаний. Мы размышляем и спорим о том, как будет развиваться индустрия кибербеза. А чтобы было не скучно — проводим для участников конкурсы.

Узнать больше
Рейтинг 0
Просмотры 753
Комментарии 1

Безопасность для айтишников: как научить разработчиков устранять уязвимости и создавать безопасные приложения

Блог компании Positive Technologies Информационная безопасность *Разработка под MacOS *Управление разработкой *DevOps *

Разработчики уделяют большое внимание дизайну программных продуктов для гаджетов, стараясь сделать их максимально удобными. Люди охотно устанавливают мобильные приложения и регистрируются в них. А что насчет безопасности данных, которые мы доверяем производителям этих приложений? И как научить(ся) создавать безопасные приложения?

На PHDays наши коллеги из «Яндекса» поделились своим опытом в обучении разработчиков и показали участникам систему, позволяющую тренироваться в поиске и исправлении уязвимостей. Каждое задание в этой системе состоит из кода, содержащего уязвимости. Задача разработчика — найти заложенную проблему и исправить ее.

Рассказ получился, как говорится, о наболевшем: из зала так и сыпались вопросы, и коллег не отпускали минут двадцать. Сегодня мы решили поделиться их докладом в нашем блоге. Итак, передаем слово ребятам.

Не хотите читать? У нас отличная новость: можно послушать подкаст-версию этой статьи. Выбирайте удобную вам платформу — и вперед!

Кстати, у нас есть целый подкаст, где мы говорим о практической безопасности, современных киберугрозах и защите от них, а также делимся самыми интересными выступлениями с форумов PHDays. Уже доступны 19 выпусков.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 3.9K
Комментарии 2

Новый дроппер группы APT31: исследуем зловреды, которые мы обнаружили в атаках на Монголию, Россию и США

Блог компании Positive Technologies Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *Исследования и прогнозы в IT

В апреле 2021 года в ходе регулярного мониторинга угроз ИБ специалисты нашего PT Expert Security Center обнаружили в Монголии атаки с использованием неизвестного ранее вредоносного ПО. В дальнейшем аналогичные атаки были выявлены в России, США, Канаде и Республике Беларусь. Некоторые из файлов, которые мы обнаружили во время исследования, имели достаточно интересные названия. Например, «хавсралт.scr» (монг. вложение) и «Информация_Рб_июнь_2021_года_2021062826109.exe». Как позже показало исследование, они содержали троян удаленного доступа (RAT).

По нашим данным, за первые семь месяцев 2021 года в мире было проведено в общей сложности около десятка атак с использованием найденных образцов вредоносов. Детальный анализ вредоносного ПО, многочисленные пересечения по функционалу, применяемым техникам и механизмам позволили нам связать обнаруженный зловред с активностью группы APT31 (она же Zirconium и Judgment Panda). Чем известна преступная группа, кого атаковала ранее и какие у нее ключевые интересы, можно узнать по ссылке. Примечательно, что за пять лет существования группировки под ее удар Россия попала впервые. Ниже разберем созданное APT-группой ВПО, включая новый дроппер, уловки его разработчиков, а еще расскажем, по каким критериям проводили атрибуцию атак. Полную версию нашего исследования читайте здесь.

Подробнее
Всего голосов 6: ↑4 и ↓2 +2
Просмотры 2.1K
Комментарии 2

О чем говорит SIEM: разбираем кейсы атак, проведенных на The Standoff

Блог компании Positive Technologies Информационная безопасность *Спортивное программирование *IT-инфраструктура *Конференции

Всем привет! Продолжаем рассказывать о том, как отработали и что интересного обнаружили наши продукты на майском The Standoff. Мы уже знакомили вас с уловом нашей песочницы PT Sandbox и историей о том, как PT Application Firewall помогал защищать кибергород от нападающих.

В этот раз наш рассказ будет посвящен MaxPatrol SIEM — системе мониторинга ИБ в реальном времени. Какие сценарии взлома использовали атакующие? Какие тактики и техники проникновения и закрепления стали самыми распространенными среди команд красных? Эксплуатация какой нашумевшей уязвимости позволила уронить контейнеры в морском порту? А что вызвало полную остановку ветрогенераторов в городе F? Ответы на эти и другие вопросы вы найдете под катом. Поехали!

Читать
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 2.1K
Комментарии 0

По следам The Standoff2021. Какие промышленные системы удалось взломать атакующим и как PT ISIM детектировал их действия

Блог компании Positive Technologies Информационная безопасность *Спортивное программирование *Промышленное программирование *Конференции

Мы продолжаем уже ставший традиционным цикл статей о том, как продукты Positive Technologies — MaxPatrol SIEMPT Network Attack Discovery, PT Sandbox, PT Industrial Security Incident Manager и PT Application Firewall — отработали на полигоне The Standoff и что интересного они выявили во время майской кибербитвы. Акцент сделаем на изучении техник атакующих, но действия команд защитников тоже рассмотрим.

Сегодня расследуем самые, по нашему мнению, любопытные и — естественно — самые успешные атаки на промышленные объекты виртуального города F, которые глобальный SOC (security operations center) киберполигона детектировал с помощью PT ISIM (системы глубокого анализа технологического трафика). Кроме того, поговорим о защищенности технологических сетей на киберполигоне и в жизни, обсудим, могут ли такие инциденты произойти на реальных промышленных предприятиях и как своевременно реагировать на возникающие угрозы. Подробнее о том, что на киберучениях «поймала» наша песочница PT Sandbox, читайте в нашем блоге, а сейчас добро пожаловать под кат.

Вперед!
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 1.7K
Комментарии 5

Разбор конкурса IDS Bypass на Positive Hack Days 10

Блог компании Positive Technologies Информационная безопасность *Сетевые технологии *

Уже второй раз на конференции Positive Hack Days проходил конкурс IDS Bypass. Как и в прошлый раз (прошлый разбор https://habr.com/ru/company/pt/blog/457932/), участникам предстояло не просто найти слабости в шести сервисах и утащить флаги, но и обойти IDS, которая будет им мешать. Помочь в обходе правил IDS должны были сообщения об их срабатываниях, алерты. И как известно по прошлому конкурсу, количество решений для заданий совершенно неограниченно. Поехали!

Поехали
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 1.3K
Комментарии 0

Плагины для системы анализа DRAKVUF. Как обнаруживать вредоносные техники с помощью rpcmon

Блог компании Positive Technologies Информационная безопасность *Ненормальное программирование *Программирование *Реверс-инжиниринг *

Чтение файла, запись в реестр, создание нового процесса — вот примеры событий, обработка которых задействует ядро операционной системы. Практика показывает, что большинство интересных операций в ОС стабильно обнаруживается отслеживанием системных вызовов. Большинство, но не все.

Не так давно мы опубликовали статью, посвященную плагину exploitmon для системы динамического анализа вредоносных файлов DRAKVUF. Главным героем нашего сегодняшнего материала стал еще один плагин в этой системе — rpcmon.

Ниже рассмотрим особенности механизма межпроцессного взаимодействия и подходы к обнаружению важных вызовов на пользовательском уровне. Мы расскажем, как это реализовано в PT Sandbox, и приведем случаи, когда перехваты на уровне ядра недостаточно информативны или вовсе бесполезны.

Читать подробнее
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 1.1K
Комментарии 0

Плагины для системы анализа DRAKVUF. Как с помощью exploitmon выявить попытки эксплуатации ядра ОС

Блог компании Positive Technologies Информационная безопасность *Ненормальное программирование *Программирование *Реверс-инжиниринг *

Продолжаем цикл материалов о вредоносных техниках, применяемых злоумышленниками. Встречайте еще одну полезную статью от экспертного центра безопасности Positive Technologies. В прошлый раз мы говорили о том, как киберпреступники повышают привилегии, чтобы получить полный контроль над системой, и как  их работу можно обнаружить.

Сегодня рассмотрим тактики, которые используют хакеры для злонамеренных действий с ядром ОС. Расскажем о новом плагине exploitmon, разработанном PT Expert Security Center для системы динамического анализа вредоносных файлов DRAKVUF, и разберем, как в PT Sandbox с его помощью обнаруживать попытки эксплуатации уязвимостей в ядре Windows.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 873
Комментарии 0

Защищаем кибергород с PT Application Firewall: полезные правила для обнаружения хакеров

Блог компании Positive Technologies Информационная безопасность *Спортивное программирование *IT-инфраструктура *Конференции

Всем привет! Ранее мы делились итогами работы песочницы PT Sandbox на The Standoff. Продолжаем традицию — теперь черед PT Application Firewall. Посвящаем этот материал истории о том, как на кибербитве отработал наш межсетевой экран уровня приложений.

Мы расскажем, как глобальный SOC The Standoff, состоящий из специалистов нашего PT Expert Security Center, готовил PT Application Firewall к игре, какие хитрости мы использовали при написании правил, с чего мы начинали на The Standoff и что нового почерпнули. Некоторые результаты работы продукта на кибербитве стали для нас бесценными, и мы точно используем их в будущем.

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 2.1K
Комментарии 0

Как не дать злоумышленникам повысить привилегии в системе после успешного заражения

Блог компании Positive Technologies Информационная безопасность *Программирование *Реверс-инжиниринг *Софт

Всем привет! Этой статьей мы открываем цикл материалов от экспертного центра безопасности Positive Technologies (PT Expert Security Center). Мы расскажем о том, какие техники применяют злоумышленники при разработке инструментов для целевых и массовых атак и какие технологии есть «под капотом» нашей песочницы PT Sandbox для их детектирования.

Из первой статьи вы узнаете про самые интересные и распространенные у злоумышленников техники получения полного контроля над системой в целевых атаках. Рассмотрим, какие приемы используют киберпреступники для выдачи себя за другого пользователя, техники обхода UAC и выполнения произвольного кода с максимальными правами, а также разберем, как обнаружить все эти действия злоумышленников в PT Sandbox. Подробнее читайте под катом.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 3.2K
Комментарии 0

Информация

Дата основания
2002
Местоположение
Россия
Сайт
www.ptsecurity.com
Численность
1 001–5 000 человек
Дата регистрации