Антивирусная защита *

С весны 2023 года мы активно наблюдаем за одной любопытной группировкой. Мы назвали ее PhaseShifters, так как заметили, что она меняет свои техники вслед за другим группировками, например UAC-0050 и TA558. В своих атаках PhaseShifters используют фишинг от имени официальных лиц с просьбой ознакомиться с документами и их подписать. А эти документы, в свою очередь, защищены паролем и (что предсказуемо) заражены.

В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer — часть этих инструментов мы заметили у UAC-0050. А использованные криптеры были те же, что и у группировок TA558 и Blind Eagle.

Привет! Меня зовут Павел Маслов, я архитектор дирекции инфраструктурных проектов Positive Technologies. Не так давно мой коллега Артем Мелехин уже рассказывал на Хабре о сути нашего подхода к харденингу ИТ-инфраструктуры. Сегодня же мы поговорим об укреплении киберустойчивости программных средств на конкретном примере — параметрах почтовой системы Microsoft Exchange (MS Exchange).

Начать хочется с небольшой истории, которая и подтолкнула меня к написанию этой статьи. Недавно к нам за консультацией обратились ИТ-специалисты одной крупной компании с государственным участием, назовем ее N. Вопрос касался работы их корпоративной почты на базе MS Exchange, а точнее конкретного письма. Дело в том, что генеральный директор их контрагента получил e-mail от имени руководителя N с просьбой поделиться конфиденциальной информацией. Как вы уже догадались, никакого сообщения с подобным запросом он не отправлял. Чем закончилась эта история и как не повторить судьбу наших героев, читайте под катом.

ИБ-энтузиаст «теряет» на разных публичных площадках ключи AWS API, чтобы выяснить, как быстро до них доберутся злоумышленники, — и приходит к неутешительным результатам.

Начало

BitNinja — это аналог Dr.Web или Immunify, но в отличие от них специализируется не только на ловле вирусов, но и фильтрации входящего трафика. Для работы антивируса задействует AI, а управлять защитой всех серверов можно из одного окна.

Когда мы только начали предоставлять BitNinja, появилась разумная идея, что неплохо бы протестировать его самостоятельно. 

Тестирование BitNinja мы разделили на три фазы, первая из них — пассивное. Просто размещаем BitNinja на серверах с разной конфигурацией и смотрим, на какие активности он реагирует.

В этой статье я расскажу об итогах пассивного тестирования. По его результатам я сгенерировал несколько гипотез:

✓ Даже пустой сервер подвергается атакам.

✓ WordPress привлекает больше внимания атакующих, чем Drupal.

✓ Иногда атаки проходят по всей сети провайдера, без цели захватить какой-то конкретный сервер.

✓ Больше всего атак и блокировок приходится на запросы, взаимодействующие с портами сервера.

На сегодняшний день современные технологичные подходы к решению задач кибербезопасности приводят к созданию программных или аппаратно-программных решений, которые опираются на быстродействующие алгоритмы и автоматизированный контроль информационных потоков. Одними из классических представителей перспективных и инновационных средств обеспечения защиты информации являются аппаратно-программные платформы Next-Generation Firewalls (NGFW).

Поскольку количество различных сценариев атак на компьютерные сети за последние годы значительно увеличилось – по большей части благодаря существенному росту активности хакерских группировок и объединению их в крупные отряды, возросла и нагрузка на аппаратно-программные платформы первой линии - NGFW. Несмотря на ряд преимуществ и возможностей, современные NGFW требуют для своей успешной работы высокой стабильности и быстродействия собственного программного обеспечения. Ключевое место при разработке таких средств заняла задача по снижению ограничений и оптимизации функционала подсистем NGFW.  

При проведении анализа функционала платформ NGFW уже представленных или только выходящих на рынок, были выявлены проблемы и аспекты, которые NGFW не решает или решает частично. Вот некоторые из них:

Roundcube Webmail – клиент для электронной почты с открытым исходным кодом, написанный на PHP. Обширный функционал, а также возможность удобного доступа к почтовым аккаунтам из браузера без необходимости установки полноценных почтовых клиентов, обусловила его популярность в том числе среди коммерческих и государственных организаций многих стран.

Это делает его привлекательной целью для злоумышленников, которые адаптируют эксплойты через достаточно короткое время, после появления сведений о них в открытом доступе, нацеливаясь на похищение учетных данных и почтовой переписки организаций.

Пример одной из подобных атак мы хотим привести в этой статье.

В начале октября прошел трехдневный чемпионат по информационной безопасности федерального уровня CyberCamp 2024.

О том, из чего он состоял можно почитать в разных СМИ, например, на РБК, переписывать их текст, естественно, не буду.

Автор статьи принимал участие в соревновании на стороне "синих", расследуя действия "красных" и соревнуясь в индивидуальном зачете с 6000 других участников!

Если вам интересно посмотреть на скрины заданий, узнать мнение автора о мероприятии, понять как это все устроено изнутри, однако вы всегда боялись принимать участие лично, то вы по адресу!

Надеюсь, что вы сможете оценить атмосферу мероприятия и узнать что-то новое для себя.

Приятного чтения!

Не так давно мы рассказывали про атаки киберпреступников в странах Юго-Восточной Азии. Регион СНГ не отстает по интересу к нему злоумышленников. Одна из основных угроз здесь — атаки кибершпионских групп. В 2023-м и первой половине 2024 года их доля составила 18% от общего числа успешных атак  на СНГ в этот период.

В этой статье мы расскажем про APT-группировки, «работающие» на территории СНГ, и методы, которые они используют в атаках, а также поделимся интересными инсайтами из большого исследования, полную версию которого можно найти на сайте.

Привет! Меня зовут Алексей Колесников, я работаю в отделе обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC), в команде PT Sandbox.

В этой статье хочу рассказать о том, какие бывают песочницы с точки зрения архитектуры, приведу основные плюсы и минусы каждого вида, а также техники их обхода со стороны хакеров.

В России к 2030 году планируется вывести в онлайн абсолютно все государственные сервисы и обеспечить хранение 90% отчетных документов в электронном виде. С одной стороны, нам станет удобнее пользоваться услугами. С другой — это подольет масла в огонь с точки зрения кибербеза. Злоумышленники и так на протяжении последних шести лет чаще всего атакуют именно госсектор, а с развитием новых технологий у них появятся новые возможности для этого. Кроме того, у киберпреступников будет больше шансов дотянуться и до нас — конечных пользователей. Почему — рассказываем под катом: с цифрами, пруфами и примерами.

Четвертого сентября вышел любопытный отчет о несостоявшейся кибератаке на российского оператора грузовых ж/д перевозок.

Мы решили добавить свои находки и дополнительную информацию о других атаках хакерской группировки, которую мы назвали Team46, потому что в своей сетевой инфраструктуре атакующие использовали домен cybers46.team.

Становясь старше и опытнее, понимаешь, что если есть возможность купить время, это нужно обязательно сделать. То же самое можно применить и к бизнесу. Если компания зрелая, если руководство понимает ценность бизнеса, как он устроен, как работает и как приносит деньги, то оно также понимает, что вынужденный простой обойдется компании гораздо дороже, чем средства, затраченные на ИТ-инфраструктуру.

Всем привет! Меня зовут Артем Мелёхин, я занимаюсь продвижением нового направления Positive Technologies, а именно продвижением подхода к определению времени атаки и вероятных маршрутов хакеров. В этой статье я расскажу, как мы определяем время атаки и вероятные маршруты хакеров и о том, что нужно предпринять с точки зрения ИТ-инфраструктуры, чтобы максимально усложнить путь атакующему.

В предыдущей статье мы рассказывали про методику оценки качества процесса расследования и реагирования. В двух словах: мы рассуждали, каким образом сформировать систему метрик на основе статистики действий аналитиков SOC, которые позволят проанализировать процессы и процедуры security operation. Применение системы метрик позволит, с одной стороны, оптимизировать действия аналитиков за счет исключения лишних действий (возможно, сделав их необязательными), автоматизировать повторяющихся действий, разработать воркэраунды для слишком долгих действий, пополнить плейбуки действиями, которые в них отсутствуют, но в реальности всегда выполняются. С другой стороны, система метрик позволит повысить качество детекта за счет сбора статистики по условиям, при которых правило коррреляции фолзит из раза в раз. И, в конце концов, система метрик может помочь проанализировать утилизацию средств защиты, а также экономическую эффективность подписок на аналитические сервисы и фиды. Каким образом? Давайте разбираться на реальных примерах.

Оптимизация планов реагирования за счет анализа статистики действий по инцидентам

Анализ планов реагирования стоит начать с проверки достижения им цели полноценного анализа ландшафта инцидента. Почему именно с этого? Да потому, что весь security management стремится в первую очередь к максимальной полноте и актуальности контекста: чем чище и корректнее данные, тем вернее будет решение. Поэтому для выстраивания хорошего процесса расследования надо понять:

·  Насколько качественно мы анализируем все артефакты, собранные в инциденте.

Прогнозируют, что в 2024 году кибербезопасность обойдется миру в 9,5 трлн долларов. Еще в 2004 году эта сфера стоила 3,5 млрд долларов, а теперь обгоняет по общей капитализации бюджеты целых стран. Затраты на кибербезопасность будут только расти — крупнейшие корпорации сталкиваются со взломами и много из-за этого теряют, а потому хотят защитить себя. Число утечек значительно выросло в 2020 году, когда сотрудники стали работать удаленно, а в экономике начались проблемы с рабочими местами и их оплатой. Но серьезные инциденты с утечкой служебной информации были и раньше. Вспоминаем, как это происходило. 

Привет, Хабр! С вами я, Дмитрий Стрельцов, и исследовательская группа департамента аналитики ИБ Positive Technologies. Да-да, та самая группа суперспецов, про которых так захватывающе рассказала Ирина в недавней публикации. В этой статье предлагаю углубиться в тренды, связанные с ВПО, и рассмотрим самые впечатляющие образцы и техники, которые только появились и имеют большие перспективы в киберпреступном мире. Поверьте, мы откопали много интересного. Злоумышленники постарались на славу: и геймеров обокрали, и дипфейками побаловались, и секреты ИИ выведали, и защиту Android обошли.

Ну что, погнали под кат?

Атаки вирусов-шифровальщиков остаются серьезной угрозой информационной безопасности компаний. От них не застрахованы даже корпорации с многоуровневыми системами защиты, целыми армиями ИБ-специалистов и арсеналами СЗИ.

Если корпоративная сеть подверглась такой атаке, ИБ-службе и CISO лучше поскорее подключить команду реагирования. Однако бизнес и штатные сотрудники службы безопасности могут самостоятельно снизить риск атак программ-вымогателей, дополнительно защитить критичные файлы и облегчить расследование, если избежать инцидента все же не удалось. Как именно? Рассказывает Семен Рогачев, руководитель отдела реагирования на инциденты Бастиона.

В этой статье речь пойдет о нашумевшем в своё время ботнете Mirai разработанный тремя подростками, с целью DDOS-атаки на собственный университет, а в последствии ставший крупнейшим IoT-ботнетом, который отключил весь интернет в Либерии, вывел из строя крупнейшего провайдера Германии, и это лишь малая часть того, что он сделал…

— Mirai стал распространяться подобно лесному пожару. За первые 20 часов он заразил 65 тысяч устройств, увеличивая свой размер вдвое каждые 76 минут.

Страны Юго-Восточной Азии с их вечным летом, теплыми морями и быстрорастущими экономиками, привлекают не только туристов и цифровых кочевников со всего мира, но и организованных киберпреступников. Это регион разительных контрастов: ультрасовременный Сингапур сильно опережает слаборазвитую Мьянму по уровню цифровизации и кибербезопасности. Мы всесторонне исследовали деятельность 20 APT-группировок, которые атаковали организации стран АСЕАН в период с января 2020 года по апрель 2024 (география APT-атак в исследовании представлена на рисунке ниже). В результате выяснилось, что больше всего киберпреступников в регионе интересуют такие страны, как Филиппины и Вьетнам, а тройка самых атакуемых отраслей включает госучреждения, телекоммуникации и ВПК.

Читайте под катом подробнее о целях, подходах, техниках и инструментах киберпреступных групп, действующих на юго-востоке Азии. Полный текст нашего исследования доступен по ссылке на сайте.