Как стать автором
Обновить

Компания Varonis Systems временно не ведёт блог на Хабре

Сначала показывать

Использование Power Automate для эксфильтрации данных в Microsoft 365

Блог компании Varonis Systems Информационная безопасность *Microsoft Azure *
Перевод

Служба Power Automate, ранее известная как Microsoft Flow, позволяет пользователям автоматизировать рабочие процессы между различными приложениями и сервисами. С помощью Power Automate вы можете создавать процессы («потоки») в Microsoft 365 для Outlook, SharePoint и OneDrive, чтобы автоматически открывать доступ к файлам или отправлять их, пересылать электронные письма и выполнять ряд других действий.

В то же время, используя этот мощный инструмент автоматизации повседневных процессов, злоумышленники могут автоматически осуществлять эксфильтрацию данных, взаимодействовать с серверами C2, перемещаться внутри сети и уклоняться от обнаружения средствами безопасности.

Читать далее
Рейтинг 0
Просмотры 1K
Комментарии 0

Разоблачение методов многофакторной аутентификации в Box (Часть 2)

Блог компании Varonis Systems Информационная безопасность *
Recovery mode
Перевод

Исследовательская лаборатория Varonis обнаружила способ обхода многофакторной аутентификации в учетных записях Box, использующих SMS-коды для подтверждения входа.

Используя этот способ, хакер может применять украденные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальной информации без доступа к телефону жертвы атаки.

Мы сообщали об этой проблеме Box в ноябре 2021 г. через HackerOne; позже специалисты Box выпустили исправление. Это уже второй способ обхода MFA в Box, обнаруженный нами за последнее время. Ознакомьтесь с нашим способом обхода MFA с помощью аутентификатора.

С ростом потребности во внедрении и использовании многофакторной аутентификации многие SaaS-провайдеры начали предлагать несколько вариантов MFA, чтобы обеспечить пользователей дополнительной защитой от атак на учетные записи и пароли. Varonis Threat Labs анализирует разные виды MFA для оценки их безопасности.

По данным Box, 97 000 компаний, включая 68% предприятий из списка Fortune 500 используют решения Box для доступа к информации из любой точки мира и удобной совместной работы.

Подобно многим приложениям, Box дает возможность пользователям без системы единого входа (SSO) использовать приложение-аутентификатор, такое как Okta Verify или Google Authenticator, или SMS с одноразовым паролем для организации второго этапа аутентификации.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 1.6K
Комментарии 4

Извлечение хэша NTLM с помощью профилей PowerShell

Блог компании Varonis Systems Информационная безопасность *PowerShell *
Recovery mode
Перевод

Метод повышения привилегий, продемонстрированный в этой статье, является вариантом, используемым шпионскими группами. В нем описывается возможность использования злоумышленниками встроенных функций PowerShell для выполнения произвольных команд в контексте с повышенными правами (правами Администратора). Ниже приведена демонстрация извлечения хэшей NTLM.
Читать дальше →
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 5.8K
Комментарии 9

Обход многофакторной аутентификации Box с одноразовым паролем с ограниченным временем действия

Блог компании Varonis Systems Информационная безопасность *
Recovery mode
Перевод

Обзор исполнительной среды

Исследовательская группа Varonis обнаружила способ обхода многофакторной аутентификации для учетных записей Box, которые используют такие аутентификационные приложения, как Google Authenticator.

Используя описанный ниже метод, злоумышленник может применить украденные учетные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальных данных без предоставления одноразового пароля.

Мы сообщили об этой проблеме Box в ноябре через HackerOne; позже Box выпустил обновление.

Читать далее
Рейтинг 0
Просмотры 1.8K
Комментарии 1

No Time to REST: Varonis предупреждает о возможных рисках ошибочных конфигураций Jira

Блог компании Varonis Systems Информационная безопасность *
Перевод

Исследователи Varonis изучили список из 812 поддоменов и обнаружили 689 доступных экземпляров Jira. В этих экземплярах было обнаружено 3 774 общедоступных панелей управления, 244 проекта и 75 629 проблем (открытые адреса электронной почты, URL и IP-адреса).

Мы также обнаружили, что Jira REST API раскрывает больше общедоступной информации, чем веб-интерфейс. В результате администратор может считать, что информация в безопасности, тогда как злоумышленники получают доступ к большему количеству данных через API.

Читать далее
Рейтинг 0
Просмотры 877
Комментарии 0

«Кротовая нора Эйнштейна» открывает доступ к данным календарей Outlook и Google

Блог компании Varonis Systems Информационная безопасность *
Recovery mode
Перевод

Если ваша компания использует сообщества Salesforce и Einstein Activity Capture, вы могли неосознанно открыть доступ к событиям календаря Outlook или Google вашего администратора в интернете из-за ошибки под названием «кротовая нора Эйнштейна», которую обнаружила исследовательская команда Varonis. События календаря, к которым предоставлен несанкционированный доступ, могут содержать очень конфиденциальные данные, например имена и адреса электронной почты участников, URL-адреса и пароли, а также программы конференций и встреч, вложенные файлы и электронные сообщения, отправленные организатору. Получив уведомление, команда Salesforce оперативно исправила эту ошибку. Однако если ваше сообщество Salesforce было создано раньше лета 2021 г., вам необходимо закрыть несанкционированный доступ к событиям календаря

Вот что для этого нужно сделать.

Читать далее
Рейтинг 0
Просмотры 623
Комментарии 0

Обзор правил YARA: изучение инструмента исследования вредоносного ПО

Блог компании Varonis Systems Информационная безопасность *Антивирусная защита *
Перевод

Правила YARA используются для классификации и идентификации образцов вредоносных программ путем создания описаний их семейств на основе текстовых или двоичных шаблонов.

Читать далее
Рейтинг 0
Просмотры 7.5K
Комментарии 0

Как анализировать вредоносное ПО с помощью x64dbg

Блог компании Varonis Systems Информационная безопасность *Антивирусная защита *
Перевод

Это четвертая и заключительная статья в серии публикаций, посвященных x64dbg. В этой статье мы воспользуемся полученными знаниями, чтобы продемонстрировать некоторые методы, которые можно использовать при реверс-инжиниринге вредоносного ПО.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 5.2K
Комментарии 0

Обзор Stack Memory

Блог компании Varonis Systems Информационная безопасность *
Перевод

Стековая память — это раздел памяти, используемый функциями c целью хранения таких данных, как локальные переменные и параметры, которые будут использоваться вредоносным ПО для осуществления своей злонамеренной деятельности на взломанном устройстве.

Эта статья является третьей в серии из четырех частей, посвященных x64dbg:

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 4.2K
Комментарии 4

Как распаковать вредоносное ПО с помощью x64dbg

Блог компании Varonis Systems Информационная безопасность *Системное администрирование *Антивирусная защита *Assembler *
Перевод

Эта статья представляет собой руководство по x64dbg, в котором объясняется и демонстрируется методика реверс-инжиниринга вредоносных программ. Она является продолжением нашей серии публикаций, посвященных x64dbg:

Читать далее
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 5.3K
Комментарии 1

Что такое x64dbg и как им пользоваться?

Блог компании Varonis Systems Информационная безопасность *Assembler *
Перевод

Введение и обзор применения x64dbg в качестве инструмента для анализа вредоносных программ. Этой публикацией мы открываем серию из четырех статей о x64dbg.

Читать далее
Всего голосов 2: ↑1 и ↓1 0
Просмотры 14K
Комментарии 3

Как APT используют обратные прокси-серверы для Nmap-сканирования внутренних сетей

Блог компании Varonis Systems Информационная безопасность *Серверное администрирование *
Перевод

Поскольку обратные прокси-серверы могут обходить ограничения брандмауэра на входящий трафик, злоумышленники, проводящие APT, используют их для pivot-атак на защищенные среды. К примеру, не так давно жертвой такой атаки стала корпоративная сеть федерального агентства. Злоумышленники использовали модификацию Invoke-SocksProxy — скрипта с открытым исходным кодом для работы с обратными прокси, который можно найти на GitHub. Вот что пишет по этому поводу Агентство по кибербезопасности и инфраструктуре (СISA): Злоумышленник установил Persistence и C2 в сети жертвы через постоянный туннель SSH/обратный прокси-сервер SOCKS… Скрипт PowerShell [Invoke-SocksProxy.ps1] создал обратный прокси-сервер SMB SOCKS, который разрешил устанавливать соединения между управляемым злоумышленником VPS… и файловым сервером организации, выбранной в качестве жертвы… Invoke-SocksProxy.ps1 создает обратный прокси-сервер между локальным устройством и инфраструктурой хакера…

Читать далее
Всего голосов 3: ↑2 и ↓1 +1
Просмотры 5.4K
Комментарии 0

Как использовать AutoRuns для обнаружения и удаления вредоносных программ в Windows

Блог компании Varonis Systems Информационная безопасность *Системное администрирование *
Перевод

Если вы будете четко понимать, как использовать AutoRuns, вы всегда сможете определить, заражен ли ваш компьютер нежелательным ПО.

Примечание: в этой статье рассказано, как можно обнаружить вредоносные программы на домашнем ноутбуке или ПК. Для выявления и удаления вредоносных программ в организации необходимо следовать корпоративному плану реагирования на инциденты.

Читать далее
Всего голосов 10: ↑8 и ↓2 +6
Просмотры 14K
Комментарии 9

Ключевая информация об атаке вирусом-вымогателем REviL на компанию Kaseya

Блог компании Varonis Systems Информационная безопасность *Серверное администрирование *
Перевод

3 июля в 10:00 по североамериканскому восточному времени серверы VSA компании Kaseya выпустили зараженное вирусом исправление, которое распространилось на управляемые компанией Kaseya cерверы, что привело к компрометации и шифрованию тысяч узлов на сотнях различных предприятиях.

 Это исправление содержало вирус-вымогатель под названием Sodinokibi, разработанный печально известной группировкой REvil, что привело к шифрованию сервера и папок с общим доступом.

 Kaseya VSA — популярное программное обеспечение для удаленного управления сетью, используемое многими поставщиками услуг по управлению ИТ-инфраструктурой (Managed Security Providers, или MSP). ПО для управления сетью — идеальное место для организации бэкдора, поскольку у таких систем обычно широкие возможности доступа и множество задач, что затрудняет контроль над ними.

 В отличие от атаки логистической цепочки компании SolarWinds, при которой были скомпрометированы серверы обновлений SolarWinds, какие-либо признаки взлома инфраструктуры Kaseya отсутствуют.

 Злоумышленники использовали уязвимые серверы VSA с выходом в Интернет, обычно предшествующие многим устройствам-жертвам  в сетях MSP, используя их в качестве бэкдоров, что затруднило (или даже сделало невозможным) обнаружение либо предотвращение заражения жертвами по мере того, как вирус перемещался от серверов к подключенным устройствам.

 Кроме того, поскольку обновления обычно распространяются на множество узлов, для зараженных организаций процесс восстановления может оказаться непростым. Радиус поражения одного скомпрометированного пользователя или конечной точки обычно очень большой, поскольку у среднестатистического пользователя, как правило, есть доступ к миллионам файлов, которые ему не нужны. У администраторов или серверов с административными правами масштабы поражения просто огромны.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 3.6K
Комментарии 1

Готовы ли вы к атаке на цепочку поставок? Почему управление рисками в цепочке поставок так важно

Блог компании Varonis Systems Информационная безопасность *


Сейчас всё в мире как никогда взаимосвязано, а облачные и цифровые технологии позволяют компаниям из разных стран процветать и достигать успеха. Однако эта взаимосвязанность сопряжена с повышенным риском: партнеры, поставщики и третьи стороны могут раскрыть конфиденциальную информацию компании, а хакеры — атаковать организации через их цепочку поставок. Управление рисками атаки на цепочку поставок становится одним из важнейших компонентов стратегии кибербезопасности любой компании.

В этой статье мы рассмотрим угрозы атак на цепочку поставок, способы защиты и минимизации риска последствий для организаций из-за атаки на цепочку поставок.
Читать дальше →
Рейтинг 0
Просмотры 2.2K
Комментарии 1

Отравление ARP: что это такое и как предотвратить ARP-спуфинг

Блог компании Varonis Systems Информационная безопасность *Системное администрирование *IT-инфраструктура *Сетевые технологии *
Перевод


«Отравление» ARP (ARP Poisoning) — это тип кибератаки, которая использует слабые места широко распространенного протокола разрешения адресов (Address Resolution Protocol, ARP) для нарушения или перенаправления сетевого трафика или слежения за ним. В этой статье мы вкратце рассмотрим, зачем нужен ARP, проанализируем его слабые места, которые делают возможным отравление ARP, а также меры, которые можно принять для обеспечения безопасности организации.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 15K
Комментарии 0

Что такое Command and Control? Описание инфраструктуры управления и контроля

Блог компании Varonis Systems Информационная безопасность *IT-инфраструктура *
Перевод


Cегодня мы рассмотрим инфраструктуру управления и контроля (C2), используемую злоумышленниками для управления зараженными устройствами и кражи конфиденциальных данных во время кибератаки.
Успешная кибератака — это не просто вторжение в систему ничего не подозревающей об этом организации. Чтобы получить реальную выгоду, злоумышленник должен поддерживать постоянное функционирование вируса в целевой среде, обмениваться данными с зараженными или скомпрометированными устройствами внутри сети и потенциально извлекать конфиденциальные данные. Для выполнения всех этих задач требуется надежная инфраструктура управления и контроля, или C2. Что такое C2? В этом посте мы ответим на этот вопрос и посмотрим, как злоумышленники используют скрытые каналы связи для проведения изощренных атак. Мы также рассмотрим, как обнаруживать атаки на основе C2 и защищаться от них.
Читать дальше →
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 4.3K
Комментарии 0

Как хакеры подменяют DNS-запросы с помощью «отравления» кэша

Блог компании Varonis Systems Информационная безопасность *Системное администрирование *DNS *
Перевод


Подмена сервера доменных имен (DNS) — это кибератака, с помощью которой злоумышленник направляет трафик жертвы на вредоносный сайт (вместо легитимного IP-адреса). Злоумышленники используют метод «отравления» кэша DNS для перехвата интернет-трафика и кражи учетных данных или конфиденциальной информации. Отравление кэша DNS и подмена DNS — тождественные понятия, часто используемые как синонимы. Хакер хочет обманом заставить пользователей ввести личные данные на небезопасном сайте. Как ему этого добиться? С помощью отравления кэша DNS. Для этого хакер подменяет или заменяет данные DNS для определенного сайта, а затем перенаправляет жертву на сервер злоумышленника вместо легитимного сервера. Таким образом хакер добивается своей цели, ведь перед ним открываются широкие возможности: он может совершить фишинговую атаку, украсть данные или даже внедрить в систему жертвы вредоносную программу.
Читать дальше →
Всего голосов 3: ↑2 и ↓1 +1
Просмотры 16K
Комментарии 4

Darkside возвращается: анализ крупномасштабной кампании по хищению данных

Блог компании Varonis Systems Информационная безопасность *Антивирусная защита *Восстановление данных *Хранение данных *
Перевод

Наша команда недавно провела несколько резонансных расследований атак, приписываемых группировке киберпреступников Darkside. Эти узконаправленные кампании проводились в несколько этапов и длились от нескольких недель до нескольких месяцев, а их целью было хищение и шифрование конфиденциальных данных, включая резервные копии. В этой статье мы рассмотрим замеченные нами тактики, техники и процедуры (ТТП).
Читать дальше →
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 5.3K
Комментарии 0

Как предотвратить проникновение программ-вымогателей: основные советы

Блог компании Varonis Systems Информационная безопасность *Восстановление данных *Хранение данных *


Согласно отчету Verizon Data Breach Report программы-вымогатели являются вторыми по частоте атаками вредоносных программ после атак категории «Командование и управление» (C2). Основным механизмом внедрения всех вредоносных программ, включая программы-вымогатели, по-прежнему является электронная почта. Так как же научить пользователей не переходить по фишинговым ссылкам?
Мнение профессионалов: никак. Люди будут делать то, что присуще их природе. Таким образом, мы должны подойти к проблеме программ-вымогателей по-другому. В этой статье мы рассмотрим основные особенности и методы борьбы с программами-вымогателями.
Читать дальше →
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 6.7K
Комментарии 5