Антивирусная защита *

Введение

Мы писали, мы писали, наши пальчики устали. Почему мы вдруг решили начать с этого детского двустишия? Всё очень просто. В данной статье мы хотели познакомить читателей с возможностями нашего самого современного решения по обеспечению сетевой безопасности – линейкой межсетевых экранов Zyxel ATP. В качестве примера была выбрана средняя модель линейки — ATP500. На её основе мы планировали не только сделать качественное описание функциональности всей линейки брандмауэров, но и поделиться результатами тестов, измерив производительность устройства при выполнении большинства типовых операций фильтрации пользовательского трафика. Взглянув на объём получающегося материала, мы решили разделить текст на две или даже три статьи: сегодня мы опишем основные возможности по обеспечению безопасности, а также познакомимся с настройками устройства, а все измерения и дизайн отложим до следующих публикаций.

Объём материала связан с тем количеством функций многоуровневой защиты, которые предлагают межсетевые экраны Zyxel: это и исполнение кода в песочнице, и машинное обучение, и использование облачной базы данных актуальных угроз, и система предотвращения вторжений, и система безопасности для приложений и веб, и многое-многое другое.


Итак, приступим!

Безопасность. Слово означающие защищённость человека или организации от чего-либо/кого-либо. В эпоху кибербезопасности мы всё чаще задумываемся не столько о том, как защитить себя физически, сколько о том, как защитить себя от угроз извне (киберугроз).

Сегодня мы поговорим о том, как можно проникнуть в современную корпоративную сеть, которая защищена на периметре различными, даже очень хорошими, средствами сетевой безопасности и самое главное поговорим о том, как с этим можно бороться.



Давайте посмотрим на современную сеть, которая используют самые новомодные технологии в области безопасности.

Привет, Хабр! Меня зовут Борис, и я отвечаю за информационную безопасность клиентских и внутренних сервисов в Linxdatacenter. Сегодня мы поговорим о том, как защитить от утечки и потери данных корпоративную почту в Office 365.  Страшный сон ИТ-инженера — толпа коллег с паническими криками о неоткрывающихся документах и исчезнувшей почте. А когда все данные синхронизируются в публичном облаке, кошмар от реальности отделяет одно действие неосторожного пользователя. Есть несколько способов застраховаться от этой беды, но не все одинаково хороши. В течение нескольких недель мы упорно искали решение для душевного спокойствия ИТ-отдела и тестировали его. Сегодня я хочу рассказать о результатах тестирования и о продукте, который мы выбрали для использования в продуктиве.

Недавно коллеги из Яндекса поделились с нами сэмплом интересного троянца, о чем мы сообщили в этой новости. Такая малварь попадается не часто, поэтому мы решили подробнее ее разобрать, а заодно поговорить о том, почему мы так редко встречаем подобные сэмплы.

Мы в JSOC CERT расследуем инциденты. Вообще все 170 человек в JSOC занимаются расследованиями, но в руки экспертов CERT попадают наиболее технологически сложные случаи. Как, к примеру, обнаружить следы вредоноса, если злоумышленник прибрал за собой? Каким образом найти «волшебника», удалившего важные бизнес-документы с файлового сервера, на котором толком не настроено логирование? Ну и на сладкое: как может злоумышленник без проникновения в сеть получить пароли от десятков не связанных между собой доменных учеток? Подробности, как всегда, под катом.

Изображение: Medium.com

Исследователь безопасности обнаружил уязвимость в софте для проведения телеконференций Zoom. При использовании программы на компьютерах Mac, любой открытый пользователем сайт может активировать камеру на устройстве без запроса разрешения на данное действие. Сделать это можно даже в том случае, если Zoom уже был удален с компьютера.

Всем привет. Сегодня рассмотрим вариант запуска meterpreter сессии на машине Windows 10 с самыми свежими патчами (включая Windows Defender). И все также будем обходить антивирусы. Meterpreter — расширенная многофункциональная начинка (payload, нагрузка), которая может быть динамически расширена во время выполнения. В нормальных условиях это обеспечивает вас основной оболочкой и позволяет вам добавлять новые особенности к ней по мере необходимости.
Будем мы это делать с помощью Python, и посмотрим, как поведут себя антивирусные средства.

Предугадывая вопрос «А нужен ли нам Python на машине жертвы для запуска ехе?», отвечу сразу – нет, не нужен, все уже внутри.

Введение

В середине апреля мы опубликовали новость о троянце Android.InfectionAds.1, который эксплуатировал несколько критических уязвимостей в ОС Android. Одна из них — CVE-2017-13156 (также известна как Janus) — позволяет вредоносной программе заражать APK-файлы, не повреждая их цифровую подпись.

Другая — CVE-2017-13315. Она дает троянцу расширенные полномочия, и тот может самостоятельно устанавливать и удалять приложения. Детальный анализ Android.InfectionAds.1 размещен в нашей вирусной библиотеке, с ним можно ознакомиться здесь. Мы же подробнее остановимся на уязвимости CVE-2017-13315 и посмотрим, что она из себя представляет.

Примерно раз в полгода какой-нибудь американский журналист публикует конспирологическую заметку о том, что Cisco вот-вот купит Splunk и зайдет в сегмент SIEM, так как это именно то, чего нам не хватает для окончательного завоевания мирового рынка ИБ (хотя мы и так уже были названы в марте вендором №1). Однако пишущие журналисты обычно забывают о том, что Cisco уже разработала SIEM, которую назвала OpenSOC и отдала для дальнейшего развития в Apache Foundation (где OpenSOC развивается уже под именем Apache Metron). Но это шутка, а на самом деле причина иная. В мире нет вендора, который бы имел широкое продуктовое портфолио по ИБ и при этом мог поддерживать мультивендорное решение SIEM. Редкие попытки такого рода приводят либо к тому, что вендор не может сделать нормальное вендорнезависимое решение по мониторингу и оно начинает проигрывать нишевым игрокам (Splunk, IBM, Micro Focus, Elastic, LogRhytm и др.), сконцентрированным только на развитии своего флагманского продукта, либо к тому, что SIEM превращается в обычную консоль для собственных продуктов без нормальной подсистемы управления и реагирования (все силы бросаются на мониторинг). Cisco, дважды входя в реку под названием “SIEM” (первый раз с CiscoWorks SIMS, а второй — с Cisco MARS), сегодня фокусируется на немного ином решении, а именно Cisco Threat Response, которое представляет собой платформу для поиска угроз (threat hunting) и которая в перспективе должна стать связующим звеном для всех решений Cisco в области кибербезопасности.

Вектора угроз информационной безопасности продолжают меняться. Чтобы выработать подход, обеспечивающий наиболее полную защиту данных и систем, этой осенью Acronis проводит первый глобальный саммит по революционным подходам к кибербезопасности. Для тех, кто интересуется программой мероприятия и возможностями участия — подробная информация под катом.

Всем привет. Сегодня рассмотрим вариант запуска mimikatz на Windows 10. Mimikatz — инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлечь аутентификационные данные залогинившегося в системе пользователя в открытом виде.

В ходе пентеста полезно иметь штуку, которая сдампит пароли юзеров, но сейчас даже встроенный в винду стандартный Windows Defender становится проблемой и может помешать нашим грандиозным планам.

Замечу, что этот способ подходит и для других антивирусных продуктов (Virustotal ДО и ПОСЛЕ тоже так считает), которые проводят статичный анализ бинарников по сигнатурам.
Так что хоть и данный способ вряд ли поможет вам против EDR решений, но легко поможет обойти Windows Defender.

Раньше его можно было обойти изменением слов в файле с mimikatz на mimidogz, удалением пары строк в метаданных и баннеров. Сейчас же это стало сложнее, но все же возможно.

Введение

В конце марта мы сообщали, что обнаружили скрытую возможность загрузки и запуска непроверенного кода в UC Browser. Сегодня разберём подробно, как эта загрузка происходит и как хакеры могут использовать её в своих целях.

Некоторое время назад UC Browser рекламировали и распространяли очень агрессивно: его устанавливали на устройства пользователей с помощью вредоносных программ, распространяли с различных сайтов под видом видеофайлов (т. е. пользователи думали, что качают, например, порноролик, а получали вместо него APK с этим браузером), использовали пугающие баннеры с сообщениями о том, что браузер устарел, уязвим и всё в таком духе. В официальной группе UC Browser в VK есть тема, в которой пользователи могут пожаловаться на недобросовестную рекламу, там много примеров. В 2016 году была даже видеореклама на русском языке (да, реклама браузера, блокирующего рекламу).

На момент написания статьи у UC Browser набралось более 500 000 000 установок в Google Play. Это впечатляет — больше только у Google Chrome. Среди отзывов можно увидеть достаточно много жалоб на рекламу и редиректы на какие-то приложения в Google Play. Это и стало поводом к исследованию: мы решили посмотреть, не делает ли UC Browser что-то нехорошее. И оказалось, что таки делает!

Когда «чёрные шляпы», – будучи санитарами дикого леса киберпространства, – оказываются особенно успешными в своём чёрном деле, жёлтые СМИ пищат от восторга. В результате мир начинает смотреть на кибербезопасность серьёзней. Но к сожалению не сразу. Поэтому, несмотря на всевозрастающее количество катастрофических киберинцидентов, мир пока ещё не созрел к активным упреждающим мерам. Однако ожидается, что в ближайшем будущем благодаря «чёрным шляпам» мир всё-таки начнёт смотреть на кибербезопасность серьёзно. [7]

Столь же серьёзно, как и на пожары… Когда-то города были очень уязвимы для катастрофических пожаров. Однако, несмотря на потенциальную опасность, упреждающие защитные меры не предпринимались, – даже после гигантского пожара в Чикаго, в 1871 году, унёсшего сотни жизней и лишившего крова сотни тысяч людей. Упреждающие защитные меры были предприняты только после того, как подобная катастрофа повторилась вновь, три года спустя. То же самое с кибербезопасностью – мир не будет решать эту проблему, если не будет катастрофических инцидентов. Но даже если такие инциденты и будут, мир не будет решать эту проблему сразу. [7] Поэтому даже поговорка: «Пока баг не грянет, мужик не перепатчится», – работает не вполне. Поэтому в 2018 мы отпраздновали 30-летний юбилей безудержной незащищённости.

Глава, в которой Doctor Web удаляет DLL сервиса Samsung Magician, объявив его трояном, а для того, чтобы оставить запрос в службе техподдержки, нужно не просто зарегистрироваться на портале, а указать серийный номер. Коего, разумеется нет, потому что DrWeb высылает при регистрации ключ, а серийник генерируется в процессе регистрации по ключу — и не хранится НИГДЕ. В процессе, помимо серийника, необходимо ввести ДВЕ самописных капчи: при логине и при отправке запроса в службу техподдержки.

Ситуация сказочная: на море на океане есть остров, на том острове дуб стоит, под дубом сундук зарыт, в сундуке — заяц, в зайце — утка, в утке — яйцо, в яйце — игла, а в игле — смерть Кощеева. Я знаю, что спрятанная подобным образом возможность связаться с техподдержкой – это тренд. Но не до такой же степени.

Я расскажу, как это исправить.

В Windows 10 имеется встроенный антивирус Windows Defender («Защитник Windows»), защищающий компьютер и данные от нежелательных программ: вирусов, шпионских программ, программ-вымогателей и многих других типов вредоносных программ и действий хакеров.

И хотя встроенного решения для защиты достаточно для большинства пользователей, бывают ситуации, в которых вы можете не захотеть пользоваться этой программой. К примеру, если вы настраиваете устройство, которое не будет выходить в сеть; если вам необходимо выполнить задачу, блокируемую этой программой; если вам нужно уложиться в требования политики безопасности вашей организации.

Единственная проблема связана с тем, что полностью удалить или отключить Windows Defender у вас не выйдет – эта система глубоко интегрирована в Windows 10. Однако есть несколько обходных путей, при помощи которых вы можете отключить антивирус – это использование локальной групповой политики, реестра или настроек Windows в разделе «Безопасность» (временно).

Чтобы нацелить кибератаку на бухгалтеров, можно использовать рабочие документы, которые они ищут в сети. Примерно так в последние несколько месяцев действовала кибергруппа, распространяющая известные бэкдоры Buhtrap и RTM, а также шифраторы и ПО для кражи криптовалют. Большинство целей расположены в России. Атака реализована путем размещения вредоносной рекламы в Яндекс.Директ. Потенциальные жертвы переходили на сайт, где им предлагалось скачать вредоносный файл, замаскированный под шаблон документа. Яндекс удалил вредоносную рекламу после нашего предупреждения.

Исходный код Buhtrap в прошлом был слит в сеть, поэтому его может использовать кто угодно. Мы не располагаем информацией относительно доступности кода RTM.

В посте расскажем, как атакующие распространяли вредоносное ПО с помощью Яндекс.Директ и хостили его на GitHub. Завершит пост технический анализ малвари.

Для обеспечения высокой эффективности средств информационной безопасности большую роль играет связь ее компонентов. Она позволяет перекрыть не только внешние, но и внутренние угрозы. При проектировании сетевой инфраструктуры важное значение имеет каждое средство защиты, будь это антивирус или firewall, чтобы они функционировали не только в рамках своего класса (Endpoint security или NGFW), но и обладали возможностью взаимодействовать между собой для совместной борьбы с угрозами.

Хочется рассказать о бесплатных продуктах компании Sophos, которые можно использовать как дома, так и на предприятии (подробности под катом). Использование ТОПовых решений Gartner и NSS Labs позволит существенно повысить персональный уровень безопасности. В число бесплатных решений входят: Sophos UTM, XG Firewall (NGFW), Антивирусы (Sophos Home с веб-фильтрацией для Win/MAC; для Linux, Android) и средства удаления вредоносов. Далее мы рассмотрим высокоуровневый функционал и шаги получения бесплатных версий.

95% угроз информационной безопасности являются известными, и защититься от них можно традиционными средствами типа антивирусов, межсетевых экранов, IDS, WAF. Остальные 5% угроз – неизвестные и самые опасные. Они составляют 70% риска для компании в силу того, что очень непросто их обнаружить и уж тем более от них защититься. Примерами «черных лебедей» являются эпидемии шифровальщиков WannaCry, NotPetya/ExPetr, криптомайнеры, «кибероружие» Stuxnet (поразившее ядерные объекты Ирана) и множество (кто-нибудь еще помнит Kido/Conficker?) других атак, от которых не очень хорошо получается защищаться классическими средствами защиты. О том, как противостоять этим 5% угроз с помощью технологии Threat Hunting, мы и хотим поговорить.

В марте 2019 года в VirusTotal, популярный онлайн-сервис сканирования, был загружен новый образец вредоносного ПО для macOS кибергруппы OceanLotus. Исполняемый файл бэкдора обладает теми же возможностями, что и предыдущая изученная нами версия малвари для macOS, но его структура изменилась и его стало сложнее обнаружить. К сожалению, мы не смогли найти дроппер, связанный с этим образцом, поэтому пока не знаем вектор заражения.

Недавно мы опубликовали пост про OceanLotus и о том, как операторы пытаются обеспечить персистентность, ускорить выполнение кода и свести к минимуму следы присутствия в системах Windows. Известно также, что у этой кибергруппы есть и компонент для macOS. В данном посте подробно описываются изменения в новейшей версии малвари для macOS в сравнении с предыдущим вариантом (описанным Trend Micro), а также рассказывается, как при анализе можно автоматизировать расшифровку строк с помощью IDA Hex-Rays API.