Антивирусная защита *

Пандемия с коронавирусом COVID-19 используется в качестве приманки во вредоносных кампаниях с применением техник социальной инженерии, включая спам, вредоносные программы, шифровальщики и вредоносные домены. По мере того как количество случаев заражения увеличивается уже тысячами, также набирают обороты и соответствующие вредоносные кампании. Специалисты постоянно находят новые образцы подобных вредоносных кампаний, связанных с коронавирусом.

Привет, Хабр! Завтра, 8 апреля, состоится большая виртуальная конференция, на которой ведущие эксперты отрасли будут обсуждать вопросы защиты данных в реалиях современных киберугроз. Представители бизнеса поделятся методами борьбы с новыми опасностями, а сервис-провайдеры расскажут о том, почему сервисы киберзащиты помогают оптимизировать ресурсы и экономить деньги. Для желающих принять участие — подробное описание программы мероприятия, а также ссылка на бесплатную регистрацию под катом.

Привет, Хабр! Хотим поделиться с вами статистикой, которую удалось собрать в ходе нашего пятого глобального опроса. О том, по какой причине чаще происходили потери данных, каких угроз больше всего боятся пользователи, как часто сегодня делают резервные копии и на какие носители, а главное, почему потерь данных будет только больше — читайте под катом.

Внимание! В связи с оперативностью публикации статьи, в тексте возможны орфографические ошибки и опечатки.



Как известно, данный вирус в основном передается воздушно-капельным путём и пока не разработана вакцина, многие пытаются себя обезопасить медицинскими масками, при том, что защита от их применения весьма сомнительна, по ряду всем известных причин.

Вопрос кастомизации образов песочниц был актуален с момента их появления. Первые версии таких программ были внутренними решениями ИБ-компаний, но уже тогда возникла потребность в кропотливой настройке изолированных машин. И дело было не только в установке вспомогательного ПО для мониторинга состояния системы.

Еще 10 лет назад во вредоносные образцы вшивалась логика сбора и обработки характеристик окружения: имя пользователя и компьютера, домашний или корпоративный домен, права администратора, языковая раскладка, количество ядер процессора, версия операционной системы, наличие антивирусного ПО, признаки виртуализации и даже наличие обновлений в системе. К сегодняшнему дню количество параметров и способов их получения только увеличилось.

Недавно обнаружена группа APT-угроз, которая в рамках кампаний по целевому фишингу использовала пандемию коронавируса для распространения своего вредоносного ПО.

Как датасайентисты, мы обязаны уметь анализировать и интерпретировать данные. И мы были очень обеспокоены результатами анализа данных, касающихся covid-19. Наибольшему риску подвержены самые уязвимые категории – пожилые люди и люди с достатком ниже среднего, но для контроля распространения и влияния заболевания все мы должны изменить свое поведение. Тщательно и регулярно мойте руки, избегайте скоплений людей, отменяйте мероприятия и не касайтесь своего лица. В этом сообщении мы объясним причину нашего беспокойства, и расскажем, почему вам также следует беспокоиться. Краткое изложение ключевой информации можно найти в публикации Итана Алли (Ethan Alley) Corona in Brief (автор — президент некоммерческой организации, разрабатывающей технологии для уменьшения риска пандемий).

Содержание:

1. Нам нужна работоспособная медицинская система
2. Это не что-то типа гриппа
3. Подход «Не паникуйте, сохраняйте спокойствие» не помогает
4. Это касается не только Вас
5. Мы должны сделать кривую более пологой
6. Реакция общества имеет значение
7. Мы в США плохо проинформированы
8. Заключение

Мы специализируемся на работе с данными — разрабатываем и внедряем решения интернета вещей (IoT), работающие на все отрасли бизнеса. Но недавно мы переключили внимание на новый продукт, предназначенный прежде всего для “умного” дома или офиса.

Сейчас у среднестатистического жителя мегаполиса в квартире есть Wi-Fi роутер, приставка от интернет-провайдера или медиаплеер, концентратор для IoT-устройств.

Мы подумали, что все эти устройства можно не только объединить в один девайс, но и полностью обезопасить домашнюю сеть. То есть это устройство, которое объединяет маршрутизатор, smart firewall с антивирусом, Zigbee маршрутизатор(как опция — локальная обработка данных и принятие решений, включая исполнение сценариев). И, разумеется, работает с мобильным приложением для управления и мониторинга. Возможен сетап умного дома тех специалистами провайдера. Устройство будет работать с Алисой, поэтому домашние дискотеки и игры в города никто не отменял.

Изображение: Unsplash

Злоумышленники могут похитить GPS-координаты пользователя, пароли или финансовую информацию.

Приложения для iOS, в том числе вредоносные, могут получить доступ к любым данным, сохраненным в буфере обмена iPhone или iPad. Таким образом злоумышленники могут похитить конфиденциальные данные, такие ​​как GPS-координаты пользователя, учетные данные или финансовую информацию.

Недавно мы столкнулись с ситуацией, когда ряд антивирусов (Касперский, Quttera, McAfee, Norton Safe Web, Bitdefender и несколько менее известных) начали блокировать наш сайт. Изучение ситуации привело меня к пониманию, что попасть в список блокировки крайне просто, достаточно нескольких жалоб (даже без обоснования). Детальнее проблему я опишу дальше.

Проблема довольно серьезная, так как сейчас почти у каждого пользователя установлен антивирус или файрвол. И блокировка сайта крупным антивирусом, таким как Касперский, может сделать сайт недоступным для большого количества пользователей. Хотелось бы привлечь внимание сообщества к проблеме, так как она открывает огромный простор для грязных методов борьбы с конкурентами.

Новая разновидность вредоносного ПО класса вирусов-вымогателей зашифровывает файлы и добавляет к ним расширение ".SaveTheQueen", распространяясь через системную сетевую папку SYSVOL на контроллерах доменов Active Directory.

Наши заказчики столкнулись с этим вредоносом недавно. Приводим наш полный анализ, его результаты и выводы ниже.

Подделка межсайтовых запросов может быть использована для проведения произвольных веб-запросов к системе управления контентом Umbraco CMS и идентификации её пользователей без их ведома. Такая атака всегда требует взаимодействия с пользователем, но, как правило, жертве достаточно перейти по специально подготовленной ссылке или посетить веб-страницу, которая находится под контролем злоумышленника. Благодаря этому появляется возможность активировать, деактивировать или полностью удалять учетные записи пользователей. Как следствие, возникает угроза DoS-атак на учетные записи.

Нередко я читал мнение, что держать RDP (Remote Desktop Protocol) порт открытым в Интернет — это весьма небезопасно, и делать так не надо. А надо доступ к RDP давать или через VPN, или только с определённых "белых" IP адресов.

Я администрирую несколько Windows Server для небольших фирм, в которых мне поставили задачу обеспечить удалённый доступ к Windows Server для бухгалтеров. Такой вот современный тренд — работа из дома. Достаточно быстро я понял, что мучить бухгалтеров VPN — неблагодарное занятие, а собрать все IP для белого списка не получится, потому что IP адреса у народа — динамические.

Поэтому я пошёл самым простым путём — пробросил RDP порт наружу. Теперь для доступа бухгалтерам нужно запустить RDP и ввести имя хоста (включая порт), имя пользователя и пароль.

В этой статье я поделюсь опытом (положительным и не очень) и рекомендациями.

Порой так хочется заглянуть какому-нибудь вирусописателю в глаза и спросить: зачем и почему? С ответом на вопрос «как» мы справимся сами, а вот узнать, чем думал руководствовался тот или иной создатель вредоносного ПО, было бы очень интересно. Тем более, когда нам попадаются такие «жемчужины».

Герой сегодняшней статьи – интересный экземпляр шифровальщика. Задумывался он, по всей видимости, как очередной «вымогатель», но его техническая реализация больше похожа на чью-то злую шутку. Об этой реализации сегодня и поговорим.

К сожалению, проследить жизненный цикл этого энкодера практически невозможно – слишком уже мало статистики по нему, так как распространения он, к счастью, не получил. Поэтому оставим за скобками происхождение, методы заражения и прочие упоминания. Расскажем лишь о нашем случае знакомства с Wulfric Ransomware и о том, как мы помогли пользователю спасти его файлы.

Мы обнаружили и провели реверс-инжиниринг ещё одного нового штамма Qbot — сложного, широко известного вредоносного ПО, которое собирает данные, позволяющие совершать финансовые мошенничества. Вот примеры данных, которые собирает Qbot: cookies браузера, информация сертификатов, нажатие клавиш клавиатуры, пары логин-пароль и иные учётные данные, а также данные открытых сессий в веб-приложениях.

Исследовательская группа по безопасности Varonis отреагировала на несколько случаев заражений Qbot в 2019 году, в основном в США. Похоже, что разработчики Qbot не сидели сложа руки: они создавали новые штаммы с новой функциональностью, попутно улучшая возможности предотвращения обнаружения командами, отвечающими за информационную безопасность.

Всем привет! Ещё только начался 2020 год, а мы уже открываем регистрацию на глобальное мероприятие в сфере киберзащиты – Acronis Global Cyber Summit 2020. Ивент будет проходить в США с 19 по 21 октября, в нём примут участие лидеры мнений в области безопасности и ИТ, а также пройдут десятки сессий и сертификационные курсы. Кто там будет, о чём расскажет, почему это важно, и как попасть на саммит намного дешевле – вся информация под катом.

Сегодня для многих из Хабровчан профессиональный праздник – день защиты персональных данных. И поэтому нам хотелось бы поделиться интересным исследованием. Компания Proofpoint подготовила исследование об атаках, уязвимостях и защите персональных данных в 2019 году. Его анализ и разбор – под катом. С праздником, дамы и господа!

В нашем прошлом материале по облачной тематике мы рассказывали, как защитить ИТ-ресурсы в публичном облаке и почему традиционные антивирусы не совсем подходят для этих целей. В этом посте мы продолжим тему облачной безопасности и поговорим об эволюции WAF и о том, что лучше выбрать: железо, ПО или облако. 

Что такое WAF

Более 75% атак хакеров направлены на уязвимости веб-приложений и сайтов: такие атаки, как правило, незаметны для ИБ-инфраструктуры и ИБ-служб. Уязвимости веб-приложений несут в себе, в свою очередь, риски компрометации и фрода учетных записей и персональных данных пользователей, паролей, номеров кредитных карт. Кроме того, уязвимости в веб-сайте служат точкой входа злоумышленников в корпоративную сеть.

Web Application Firewall (WAF) представляет собой защитный экран, который блокирует атаки на веб-приложения: SQL-инъекции, межсайтовый скриптинг, удаленное выполнение кода, брутфорс и обход авторизации (auth bypass). В том числе атаки, использующие zero-day уязвимости. Файрволы приложений обеспечивают защиту, выполняя мониторинг содержимого веб-страниц, включая HTML, DHTML и CSS, и фильтруя потенциально вредоносные запросы по HTTP/HTTPS.

Технологии развиваются и усложняются год за годом, а вместе с ними совершенствуются методики атак. Современные реалии требуют онлайн-приложений, облачных сервисов и платформ для виртуализации, поэтому уже не получится спрятаться за корпоративным файрволом — и не высовывать нос в «опасный интернет». Всё это вместе с распространением IoT/IIoT, развитием финтеха и растущей популярностью удалённой работы до неузнаваемости изменило ландшафт угроз. Поговорим о кибернапастях, которые готовит нам 2020 год.

Ханипот – это утилита, которая служит в качестве приманки, и представляет с виду соблазнительную цель для атакующего и искушает его к раскрытию самого себя. В то время как продвинутые ханипоты спроектированы для более простого обнаружения и изучения типов атак, используемых хакерами в естественных условиях, современные ханипоты на основе URL-отслеживания развились до гибкого и удобного для пользователя инструмента, который часто используют обычные люди для выявления онлайн-мошенников.