Как стать автором
Обновить
19.08

Антивирусная защита *

Защита компьютерных систем от вредоносного ПО

Сначала показывать
Порог рейтинга
Уровень сложности

Приватные ссылки — в публичном доступе

Время на прочтение3 мин
Количество просмотров7.4K


Популярные сканеры на вирусы и вредоносные URL вроде urlscan.io, Hybrid Analysis и Cloudflare radar url scanner хранят у себя большое количество ссылок, которые прошли через сканер. Но оказалось, что эти сервисы также хранят большое количество частных и приватных ссылок:

  • совместно используемые файлы в облачных хранилищах (например, Dropbox, iCLoud, Sync, Egnyte, Ionos Hidrive, AWS S3);
  • инструменты NAS с облачным подключением (например, Western Digital Mycloud);
  • корпоративные коммуникации (Slido, Zoom, Onedrive, Airtable и др.);
  • ссылки для сброса пароля, ссылки для входа Oauth.

Так происходит в основном по двум причинам: или сами пользователи по ошибке передают приватные ссылки в сканер, или неправильные настройки сканеров выдают ссылки из писем и т. д.
Читать дальше →
Всего голосов 11: ↑10 и ↓1+15
Комментарии0

Новости

Как защититься от скликивания в Яндекс Директе

Время на прочтение4 мин
Количество просмотров4.3K

Привет! Меня зовут Дарья Дейн. 10 лет я масштабирую бизнесы с помощью контекстной рекламы.

В этой статье я расскажу про скликивание рекламы: что это такое, откуда берется и как его победить.

Читать далее
Всего голосов 36: ↑26 и ↓10+18
Комментарии5

Сила шифрования или как я выявил недостаток работы Defender’а

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров2.7K

Внимание! Статья несёт исключительно информативный характер. Подобные действия преследуются по закону!

В наше время цифровая безопасность все более актуальна, поскольку важность защиты конфиденциальной информации и данных не может быть переоценена. Шифрование информации становится все более неотъемлемой частью нашей цифровой жизни, обеспечивая надежную защиту от несанкционированного доступа.

К сожалению, шифрование часто используется не только в хороших, но и плохих целях...

Читать далее
Всего голосов 10: ↑4 и ↓6+1
Комментарии7

Как правильно передавать секреты запускаемым программам?

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров6.3K

Эта статья о том, как правильно передавать секреты запускаемым программам.

Бывает встречаются Unix-системы, на которых некоторые администраторы передают процессам пароли в открытом виде, совершенно не заботясь о том, что их видят все пользователи данной системы.

Если вы смогли зайти на систему под непривилегированным пользователем, то вы можете набрать команду, отображающую список запущенных процессов

$ ps -ef

и возможно и увидеть некоторые секреты, которых видеть не должны, например, у одного из процессов ниже открыт пароль basicAuth.password (пароль в тексте изменен).

$ strings /proc/1101/cmdline
/usr/local/bin/vmagent
--remoteWrite.url=http://vm-cluster.local:1234/api/v1/write
--remoteWrite.basicAuth.username=user-rw
--remoteWrite.basicAuth.password=123456
--promscrape.config=/usr/local/etc/vmagent-config.yml

Как же быть? Есть несколько способов этого избежать.

Читать далее
Всего голосов 18: ↑17 и ↓1+19
Комментарии10

Истории

Любовь в каждой атаке: как группировка TA558 заражает жертв вредоносами с помощью стеганографии

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров3.8K

Приветствую! И снова в эфир врывается Александр Бадаев из отдела исследования киберугроз PT Expert Security Center. Но на этот раз мы работали в паре с Ксенией Наумовой, специалистом отдела обнаружения вредоносного ПО, недавно рассказывавшей читателям Хабра о трояне SafeRAT. Пришли к вам с новым исследованием о… не самой новой хакерской группировке, но зато использующей уникальнейший метод сокрытия вредоноса да к тому же еще романтически❤️настроенной. Но обо всем по порядку!

Итак, мы выявили сотни атак по всему миру с использованием широко известного ПО, среди которого: Agent Tesla, FormBook, Remcos, Lokibot, Guloader, SnakeKeylogger, XWorm, NjRAT, EkipaRAT. Хакеры строили длинные цепочки кибернападений и использовали взломанные легитимные FTP-серверы в качестве С2-серверов, а также SMTP-серверы как С2 и сервисы для фишинга.

Злоумышленники активно применяли технику стеганографии: зашивали в картинки и текстовые материалы файлы полезной нагрузки в виде RTF-документов, VBS и PowerShell-скриптов со встроенным эксплойтом. Интересно, что большинство RTF-документов и VBS в изученных атаках имеют, например, такие названия: greatloverstory.vbs, easytolove.vbs, iaminlovewithsomeoneshecuteandtrulyyoungunluckyshenotundersatnd_howmuchiloveherbutitsallgreatwithtrueloveriamgivingyou.doc. Все наименования связаны со словом «любовь», поэтому мы и назвали эту операцию SteganoAmor.

Изучив все детали и существующие исследования, мы атрибутировали атаки: их совершала группировка TA558. В зафиксированных случаях кибернападений группировка целилась в организации разных стран, несмотря на то что приоритетным регионом для нее является Латинская Америка.

🤔Кстати, помните, как один знаменитый вирус наделал в свое время много шуму? Он немного связан с темой нашей статьи. Тому, кто первый ответит, что это за вирус и какие записи в реестре Windows он создавал, традиционный респект от команды PT ESC и подарок.

Читать историю любви
Всего голосов 7: ↑7 и ↓0+8
Комментарии6

Как меняются методы расследования на Standoff: кейс аналитика PT Expert Security Center

Уровень сложностиПростой
Время на прочтение14 мин
Количество просмотров5.7K

Всем привет! Меня зовут Юлия Фомина, в Positive Technologies я занимаюсь проактивным поиском и обнаружением угроз, что в профессиональной среде называется threat hunting. И все эти знания наша команда превращает в экспертизу продуктов Positive Technologies. И конечно же, мы не только обогащаем наши продукты уникальной экспертизой, но и в буквальном смысле пробуем каждый продукт в деле. Сегодня поговорим про мой опыт работы с одной из наших новейших разработок — автопилотом MaxPatrol O2, а также о том, как он упростил нам работу при анализе и расследовании активности белых хакеров во время двенадцатой кибербитвы Standoff.

Читать
Всего голосов 11: ↑11 и ↓0+13
Комментарии1

История 16-летнего подростка взломавшего ЦРУ

Время на прочтение12 мин
Количество просмотров6.2K
Подросток перехитривший правительство США. Эта история может показаться началом сюжета вымышленной истории о супергерое. Итак, как же у 16-летнего подростка получилось взломть ЦРУ.

image

Новая звезда в мире хакерства


Пока большинство детей его возраста играли в футбол, Мустафа аль-Бассам задавал начало своему будущему как одному из самых знаменитых хакеров в истории. Кто же этот вундеркинд?

Мустафа родился в 1995 году в Багдаде, Ирак. Когда ему было 6 лет, он и его семья иммигрировали в Великобританию и поселились в юго-восточной части Лондона. Мустафа рассказывает, что очень рано почувствовал тягу к компьютерам. Это началось, когда ему было 8 лет и его отец однажды пришел домой с компьютером. Совсем юный молодой парень начал часами проводить время за компьютерными играми, но его интерес к ним приобрел очень необычный оборот, особенно для 8-летнего ребенка. У Мустафы начали возникать мысли чуть шире, чем у обычного подростка: «А как на самом деле работают компьютеры?». И именно по причине его любознательности, в 8 лет он начал изучать компьютерное программирование и открыл для себя много нового об алгоритмах, цифровом кодировании и анализе данных.
Он даже начал создавать свои собственные веб-сайты с помощью программы Microsoft FrontPage и размещать их в сети

image

Как восьмилетний ребенок мог все это делать — уму непостижимо. Затем интересы Мустафы переключились с создания сайтов на манипуляции с чужими вебресурсами. Он взламывал сайты и переписывал их коды.
Читать дальше →
Всего голосов 22: ↑15 и ↓7+14
Комментарии1

Тот самый RAT-троян за 200 рублей: как защититься от RADX

Время на прочтение11 мин
Количество просмотров4.7K

Всем привет! Меня зовут Валерий Слезкинцев, в Positive Technologies я руковожу направлением реагирования на конечных точках в отделе обнаружения вредоносного ПО в PT Expert Security Center. Наша команда занимается исследованиями MaxPatrol EDR в части выявления и реагирования на вредоносную активность на хостах. Мы пишем корреляционные правила для покрытия новых техник злоумышленников, анализируем существующие технологии и подходы к обнаружению и реагированию на угрозы. Так, недавно мы заинтересовались новой серией кибератак с использованием трояна удаленного доступа под названием RADX. Об этом вы могли читать в различных статьях, например на SecurityLab. И конечно же, нам стало интересно, как MaxPatrol EDR обнаруживает этот троян и реагирует на него. Что мы в итоге узнали, расскажем и покажем в этой статье.

Подробнее
Всего голосов 5: ↑5 и ↓0+5
Комментарии8

Троян SafeRAT: так ли он безопасен?

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров3.7K

Большой хабросалют всем! С вами на связи я, Ксения Наумова, и мой коллега Антон Белоусов. Мы работаем в компании Positive Technologies, в отделе обнаружения вредоносного ПО.

В декабре 2023 года, в ходе постоянного отслеживания новых угроз ИБ, изучая в PT Sandbox и других песочницах вредоносные образцы и генерируемый ими трафик, мы обнаружили подозрительное сетевое взаимодействие, с которого наше дальнейшее исследование и началось. Надо сказать, обратили мы внимание на это еще и благодаря внезапно увеличившемуся количеству похожих семплов. Сами злоумышленники, видимо призрачно надеясь на убедительность, назвали в коде свой троян удаленного действия SafeRAT, с именованием которого мы, конечно, не согласны, но довольно спойлеров! Ниже мы постарались детально описать вредонос, который ранее исследователям не встречался, чтобы показать его НЕбезопасность.

Залетайте под кат
Всего голосов 16: ↑16 и ↓0+16
Комментарии6

Троян SafeRAT: так ли он безопасен?

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров3.7K

Большой хабросалют всем! С вами на связи я, Ксения Наумова, и мой коллега Антон Белоусов. Мы работаем в компании Positive Technologies, в отделе обнаружения вредоносного ПО.

В декабре 2023 года, в ходе постоянного отслеживания новых угроз ИБ, изучая в PT Sandbox и других песочницах вредоносные образцы и генерируемый ими трафик, мы обнаружили подозрительное сетевое взаимодействие, с которого наше дальнейшее исследование и началось. Надо сказать, обратили мы внимание на это еще и благодаря внезапно увеличившемуся количеству похожих семплов. Сами злоумышленники, видимо призрачно надеясь на убедительность, назвали в коде свой троян удаленного действия SafeRAT, с именованием которого мы, конечно, не согласны, но довольно спойлеров! Ниже мы постарались детально описать вредонос, который ранее исследователям не встречался, чтобы показать его НЕбезопасность.

Залетайте под кат
Всего голосов 16: ↑16 и ↓0+16
Комментарии6

Как спасти свои данные и бизнес от хакеров (и собственных коллег)

Уровень сложностиСредний
Время на прочтение3 мин
Количество просмотров3.9K

За 20 лет в IT я много раз видел, как компании и рядовые пользователи теряют данные и несут серьезные убытки. Можно ли этого избежать? В большинстве случаев да. Сегодня расскажу, как компании расстаются с важной информацией и деньгами из-за хакеров, а также дам подробный чек-лист по организации резервного копирования.

Читать далее
Всего голосов 9: ↑6 и ↓3+3
Комментарии2

Чтение на выходные: «Взломать всё. Как сильные мира сего используют уязвимость систем в своих интересах» Брюса Шнайера

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров5.6K

Брюс Шнайер — эксперт по кибербезопасности и преподаватель Гарварда.

Обычно мы пишем про изобретения, но сегодня — про изобретательность. Чтение на этот раз будет о хакерском мышлении и может даже чуточку научит мыслить как жулик. Но не преступления ради, а для того, чтобы понять как именно слабые места делают системы и людей уязвимыми.

Читать далее
Всего голосов 6: ↑5 и ↓1+4
Комментарии4

«Пиратский» Google Chrome в Microsoft Windows 7 год спустя. И примкнувший к ним MS EDGE, Opera, Brave. Полная версия

Уровень сложностиСредний
Время на прочтение22 мин
Количество просмотров38K

Пиратство растёт, милорд!

Google Chrome для Windows 7 - детальный технический отчёт, каким образом актуальная версия популярнейшего браузера всё равно работает в «семёрке» даже спустя год после официального прекращения её поддержки корпорацией. Реакция Google LLC или почему пиратство только набирает обороты?

Читать далее
Всего голосов 117: ↑103 и ↓14+105
Комментарии159

Ближайшие события

Конференция «Я.Железо»
Дата18 мая
Время14:00 – 23:59
Место
МоскваОнлайн
Антиконференция X5 Future Night
Дата30 мая
Время11:00 – 23:00
Место
Онлайн
Конференция «IT IS CONF 2024»
Дата20 июня
Время09:00 – 19:00
Место
Екатеринбург
Summer Merge
Дата28 – 30 июня
Время11:00
Место
Ульяновская область

Зыбучие пески или установка песочницы CAPE

Уровень сложностиПростой
Время на прочтение11 мин
Количество просмотров2.2K

Привет, Хабр, на связи лаборатория кибербезопасности AP Security. В данной статье предлагаем разобрать процесс установки и первоначальной настройки такой песочницы, как CAPE.

Читать далее
Всего голосов 5: ↑5 и ↓0+5
Комментарии2

Операция Lahat: новая группа Hellhounds атакует российские организации через системы на базе Linux

Уровень сложностиСредний
Время на прочтение7 мин
Количество просмотров19K

В октябре 2023 года команда Positive Technologies по расследованию инцидентов PT CSIRT обнаружила компрометацию одной энергетической компании с использованием трояна Decoy Dog. Этот вредонос активно используется в атаках на российские компании и правительственные организации по меньшей мере с сентября 2022 года. Однако образец, обнаруженный нами на хосте жертвы, представлял собой новую модификацию троянского ПО, которую злоумышленники доработали, усложнив его обнаружение и анализ.

Анализ инструментов, тактик и техник не позволил связать данную активность ни c одной из ранее известных APT-групп. Новая группа, названная нами Hellhounds, прикладывает значительные усилия для сокрытия своей активности на хостах и в сети. В интересы группы входят компании и государственные организации исключительно на территории Российской Федерации. Злоумышленники могут преследовать разные цели, но достоверно известно об одном случае полного уничтожения инфраструктуры.

Узнать больше о расследовании
Всего голосов 25: ↑23 и ↓2+29
Комментарии27

«Рыбка в аквариуме» или как повысить устойчивость песочницы к детектированию вредоносным ПО

Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров1.9K

Приветствую вас, уважаемые читатели. В данной статье будет рассмотрен один из способов выявления недостатков вашей песочницы и повышения её устойчивости к детектированию вредоносным программным обеспечением (ВПО) с помощью утилиты Pafish, а также мы ответим на вопрос :"Как проверить свою песочницу на предмет обнаружения виртуализации?"

Читать далее
Всего голосов 3: ↑3 и ↓0+3
Комментарии0

Самые громкие атаки и наиболее заметные утечки

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров3.1K

Друзья! На связи Роман Резников и исследовательская группа департамента аналитики ИБ Positive Technologies. Продолжаем делиться с вами информацией об актуальных киберугрозах. Сколько бы я ни изучал мир информационной безопасности, не перестаю удивляться. Не стоит на месте научная хакерская мысль. И вроде бы только начинаешь привыкать к текущим тенденциям, как злоумышленники придумывают что-то еще. О новых (и старых, но работающих!) мошеннических схемах, приемах кибервымогателей и шантажистов читайте в полной версии нашего свежего исследования, а здесь остановимся на жертвах и последствиях кибератак III квартала. Итак, погнали.

Читать
Всего голосов 1: ↑1 и ↓0+1
Комментарии0

Как мы создаём защищённые автоматизированные рабочие места

Время на прочтение5 мин
Количество просмотров6.5K

Разведчики и люди, занимающиеся промышленным шпионажем, с помощью специального оборудования могут с расстояния в несколько сотен метров перехватить информацию с монитора своей цели. А почти в любую плату компьютера, в кулер или в настенные часы можно встроить устройство перехвата. 

Вместе с экспертами АКБ «Барьер» разбираемся, как защитить государственную тайну, коммерческую тайну и конфиденциальную информацию с помощью ЗАРМ, специальных исследований, аттестации объектов и поиска «жучков».

Компания работает в этой отрасли более 15 лет и занимается аттестацией различных объектов – в том числе Счётной палаты РФ, Генпрокуратуры и Министерства юстиции.

Читать далее
Всего голосов 16: ↑12 и ↓4+10
Комментарии37

Десять самых громких кибератак в странах Ближнего Востока

Время на прочтение4 мин
Количество просмотров2.1K

Некоторое время назад мы стали знакомить вас с нашими аналитическими исследованиями. Мы уже давно изучаем актуальные киберугрозы в России и мире и регулярно делимся важными для рынка цифрами и фактами, анализируем тренды и даже предсказываем будущее кибербезопасности. С недавних пор мы стали делать подробные исследования по странам Азии и Африки. (Спокойствие! Актуальные угрозы мира никуда не денутся из нашего поля зрения.) И, поверьте аналитику, там есть на что посмотреть: уникальные тренды кибербезопасности, специфика поведения атакующих, техники и тактики атак, особенный портрет жертв. Мы решили рассказывать вам об этом.

Для начала держите подборку самых интересных атак на Ближнем Востоке за последние полтора года. 🧭Идем на Восток!

Читать
Всего голосов 5: ↑5 и ↓0+5
Комментарии1

MaxPatrol O2. Как мы пришли к созданию автопилота для кибербезопасности

Время на прочтение8 мин
Количество просмотров2.2K

В мае этого года мы запустили в опытно-промышленную эксплуатацию MaxPatrol O2 — наш автопилот для результативной кибербезопасности. В этом материале расскажем, что подтолкнуло нас к созданию этого метапродукта, как он влияет на метрики SOC и какие вызовы мы ставим перед ним в этом и следующем году.

Подробнее
Всего голосов 1: ↑1 и ↓0+1
Комментарии2
1
23 ...

Вклад авторов