Как стать автором
Обновить

Threat Hunting: обнаружена новая безфайловая атака для криптомайнинга

Блог компании Panda Security в России и СНГ Информационная безопасность *Антивирусная защита *
Перевод


Fileless Monero WannaMine

Майнинг криптовалют (например, Bitcoin, Ethereum или Monero) уже не является какой-то диковинкой. Более того, за последние годы мы видели многочисленные атаки, чьей основной целью являлось установка ПО для майнинга. Например, не стоит забывать, что до появления WannaCry мы уже видели хакеров, которые использовали эксплойт EternalBlue от АНБ, чтобы проникать в компании и устанавливать этот тип программного обеспечения на устройства своих жертв.

Можно с уверенностью сказать, что это процветающий бизнес, т.к. сложность атак продолжает возрастать. Несколько дней назад мы обнаружили нового червя, который использует хакерские утилиты и скрипты для распространения внутри корпоративных сетей с последующей целью майнинга криптовалюты Monero в любой сети, где ему довелось «закрепиться».

Когда специалисты из службы Threat Hunting (в PandaLabs) обнаружили следующую команду, пытающуюся выполниться внутри одного из процессов на компьютере, то сразу же была активирована «тревога»:
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 4.8K
Комментарии 1

Threat Hunting с помощью нового решения Cisco Visibility

Блог компании Cisco Информационная безопасность *Системное администрирование *Антивирусная защита *
Представьте, что вы прочитали статью в «Коммерсанте» о том, что в Интернете оказался в публичном доступе полный пакет для атак на банки Pegasus. Вероятно вы захотите узнать, а не попали ли и вы под раздачу и не сидит ли в вашей сети вредоносный код. С одной стороны у вас есть куча логов и событий безопасности от различных средств защиты, а с другой, возможно, вы получаете информацию об угрозах в рамках подписки на какой-либо платный или бесплатный сервис Threat Intelligence (например, от BI.ZONE, ГосСОПКИ или ФинЦЕРТ). С одной стороны у вас куча данных для анализа, но вы не знаете, есть ли в них следы того, что вы ищете. С другой стороны, вы имеете информацию о следах (то есть индикаторы компрометации), но не знаете насколько они применимы именно к вам. Вам нужно объединить эти два набора данных, осуществив то, что обычно называют Threat Hunting'ом или поиском следов атак в вашей инфраструктуре. Давайте посмотрим, как можно автоматизировать данную задачу с помощью недавно выпущенного бесплатного решения Cisco Visibility.

image
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 5.4K
Комментарии 5

Threat Intelligence – современный подход к обеспечению информационной безопасности

Информационная безопасность *
Из песочницы

Представьте, что Вы пришли на работу, включаете компьютер и видите, что сайт Вашей компании не работает, груз застрял на таможне и не может дойти до склада. И даже на заставке компьютера незнакомая кем-то поставленная смешная картинка. К Вам приходит бухгалтер и сообщает, что со счетов выведены все средства, и Ваши персональные данные радуют своим наличием весь интернет. Вы берете чашку кофе и подходите к окну, а через дорогу соседнее предприятие уже выпускает Вашу когда-то уникальную продукцию. Вот и Ваша красавица жена упорхнула с более удачливым конкурентом. На этом моменте приходит понимание – Вас взломали.


А ведь Вас предупреждали – надо было ставить  TI. Но сначала давайте разберемся, как он работает и защищает.

Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Просмотры 6.3K
Комментарии 3

Почему Cisco не покупает Splunk или рассказ о том, как работает платформа Cisco для threat hunting

Блог компании Cisco Информационная безопасность *Антивирусная защита *
Примерно раз в полгода какой-нибудь американский журналист публикует конспирологическую заметку о том, что Cisco вот-вот купит Splunk и зайдет в сегмент SIEM, так как это именно то, чего нам не хватает для окончательного завоевания мирового рынка ИБ (хотя мы и так уже были названы в марте вендором №1). Однако пишущие журналисты обычно забывают о том, что Cisco уже разработала SIEM, которую назвала OpenSOC и отдала для дальнейшего развития в Apache Foundation (где OpenSOC развивается уже под именем Apache Metron). Но это шутка, а на самом деле причина иная. В мире нет вендора, который бы имел широкое продуктовое портфолио по ИБ и при этом мог поддерживать мультивендорное решение SIEM. Редкие попытки такого рода приводят либо к тому, что вендор не может сделать нормальное вендорнезависимое решение по мониторингу и оно начинает проигрывать нишевым игрокам (Splunk, IBM, Micro Focus, Elastic, LogRhytm и др.), сконцентрированным только на развитии своего флагманского продукта, либо к тому, что SIEM превращается в обычную консоль для собственных продуктов без нормальной подсистемы управления и реагирования (все силы бросаются на мониторинг). Cisco, дважды входя в реку под названием “SIEM” (первый раз с CiscoWorks SIMS, а второй — с Cisco MARS), сегодня фокусируется на немного ином решении, а именно Cisco Threat Response, которое представляет собой платформу для поиска угроз (threat hunting) и которая в перспективе должна стать связующим звеном для всех решений Cisco в области кибербезопасности.

image
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Просмотры 6.3K
Комментарии 0

Взаимодействие решений Cisco в ГосСОПКОЙ и ФинЦЕРТом

Блог компании Cisco Информационная безопасность *
Прошлая заметка про нашу платформу поиска угроз Cisco Threat Response привела к тому, что я получил несколько вопросов о том, как интегрировать CTR с государственными сервисами ГосСОПКА и ФинЦЕРТ? И поэтому я решил написал еще одну небольшую заметку и показать, как можно выжать максимум пользы из индикаторов компрометации, отправляемых вам ФСБ и ЦБ. На самом деле ничего сверхестественного и сложного в такой интеграции нет — наши регуляторы используют машинночитаемые и стандартизованные во всем мире форматы индикаторов компрометации (я боюсь представить, что будет, если хеши для вредоносных семплов будут рассылаться по стандарту ГОСТ Р 34.11-2012, а не MD5/SHA1/SHA256), но пока не предоставляют API для автоматизации работы с ними. В любом случае их не так сложно использовать в Cisco Threat Response. Чтобы не скриншотить эту процедуру, а показать ее в динамике, я записал небольшое видео, которое демонстрирует на реальном примере с атакой на уязвимый протокол RDP как просто организовать взаимодействие ГосСОПКА с решениями Cisco по безопасности.
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 3K
Комментарии 2

Hunt for Threat Hunters: как найти и подготовить грамотных специалистов?

Блог компании Group-IB Информационная безопасность *


Информационная безопасность — очень простая наука, но удивительно, как вокруг нее много мифов. Рынок перегрет и компании, которые собирают у инвесторов миллионы долларов, оказываются зачастую «мыльным пузырем». Незнание тактик, инструментов и мотивации киберпреступников приводит к тому, что вложения в безопасность — выброшенные на ветер деньги.

Есть две специальности: Threat Intelligence-эксперт и Threat Hunting-эксперт, которые на 80% могут сократить затраты компании на кибербезопасность. Потому что знания об атакующих — самая главная ценность для решения задач по проактивному поиску сложных киберугроз и предупреждению новых кибератак.

Однако на рынке труда специалистов, обладающих знаниями и навыками в области Threat Hunting, или нет совсем или очень мало.
Читать дальше →
Всего голосов 10: ↑6 и ↓4 +2
Просмотры 2K
Комментарии 0

Интеграция Cisco Threat Response и Cisco Stealthwatch Enterprise

Блог компании Cisco Информационная безопасность *
Продолжаю рассказ о развитии системы Cisco Threat Response, которая постепенно превращается в полноценную систему управления инцидентами, объединяющую вместе все решения Cisco по информационной безопасности; и при том бесплатную. В прошлый раз я рассказывал о том, как CTR может быть интегрирован с Cisco Email Security для помощи в расследовании инцидентов, источником которых является электронная почта. Сегодня поговорим о том, как CTR интегрируется с системой обнаружения сетевых аномалий Cisco Stealthwarch Enterprise. Это новая интеграция и про нее еще не все знают.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 3.1K
Комментарии 0

Что такое threat hunting, и как правильно охотиться на киберпреступников

Блог компании Positive Technologies Информационная безопасность *


Threat hunting или TH — проактивный поиск следов взлома или функционирования вредоносных программ, которые не обнаружены стандартными средствами защиты. Сегодня мы поговорим о том, как устроен этот процесс, какие инструменты можно использовать для поиска угроз, о чем помнить при формировании и проверке гипотез.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 8.3K
Комментарии 0

Сезон охоты открыт: разбираемся в тонкостях Threat Hunting

Блог компании Инфосистемы Джет Информационная безопасность *
Threat Hunting, он же проактивный поиск угроз, регулярно становится предметом дискуссий ИБ-специалистов. Споры возникают как вокруг того, что именно считать хантингом, так и о том, какие методы и подходы лучше использовать. Под катом мы рассмотрим все эти элементы и поделимся видением Threat Hunting, которое прижилось у нас в Jet CSIRT.


Choose your hunting weapon
Читать дальше →
Всего голосов 15: ↑14 и ↓1 +13
Просмотры 2.6K
Комментарии 0

В погоне за «неправильными» инцидентами, или Как мы строим Threat Hunting

Блог компании Ростелеком-Солар Информационная безопасность *
Инциденты с SLA-таймингами должны детектироваться с минимальным числом False Positive, а также иметь четкий workflow обработки. При таком устройстве SOC гарантирует, что инцидент будет обработан за определённое время – для дальнейшего своевременного реагирования… Такой подход многие годы был справедлив для любого SOC (и нашего в том числе). Но в какой-то момент пришло осознание, что мы частично теряем полноту картины происходящего. Причина – в тех самых объективных ограничениях, накладываемых на сценарии. Ведь во множестве малорелевантных сработок (которые не могут быть обработаны на линиях мониторинга разумными ресурсами и в рамках SLA) порой таится самая соль происходящего инцидента.


Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 2.7K
Комментарии 0

Insights Into Proactive Threat Hunting

Информационная безопасность *
Из песочницы

Proactive search for complex threats seems to be a useful technology but inaccessible for many organizations. Is it really so? What do companies need to do to start Threat Hunting? What tools are needed for threat hunting? What trends in this area can be seen on the market in the coming years? These are some of the questions I would like to answer in my article today.

What is Threat Hunting?

Threat Hunting is a search for threats in a proactive mode when the information security specialist is sure that the network is compromised. He should understand how his network operates in order to be able to identify various attacks by examining the existing anomalies.

Threat Hunting is a search for threats that have already bypassed automated detection systems. Moreover, most often, you do not have signals or alerts that allow you to detect an intrusion.

From the SOC perspective, Threat Hunting is an extension of the service that allows you to counter any level of intruders, including those who use previously unknown tools and methods.

Threat Hunting can be based on some data obtained by a security specialist, or it can be based on a hypothesis. If after testing the hypothesis, the test gives a positive result, then later, it can be used to improve the processes and mechanisms of detecting threats. And also, Threat Hunting allows you to find blind spots in the security system and expand the monitoring area.

What organizations need Threat Hunting?

Proactive threat hunting is relevant to those organizations that can become the target of a complex, targeted APT attack. At the same time, given the trend towards supply chain attacks, a small company may also become a target for motivated attackers.

Read more
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 731
Комментарии 0

Олег Скулкин: «Мы начали следить за шифровальщиками, когда еще мало кто считал их серьезной угрозой»

Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT *Киберпанк

Соскучились по нашему проекту “Киберпрофессии будущего”? Мы тоже. Возвращаем должок и продолжаем рассказывать о ведущих специалистах Group-IB, об их работе, исследованиях и реальных кейсах, о том, как они пришли в профессию, которой не было, и как научиться тому, что умеют они. В конце материала, как обычно, дадим ссылку на актуальные вакансии Group-IB. И пусть вас не пугает, что пока знаний не хватает и где их получить — непонятно. Наш ответ — в бою. Приходите, учитесь и получайте новую востребованную профессию. Так поступил наш сегодняшний гость — знаковая фигура не только в российской, но и в международной цифровой криминалистике — Олег Скулкин.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 3.7K
Комментарии 1

Никита Ростовцев: «Мы способны найти многое, чего не видят другие»

Блог компании Group-IB Информационная безопасность *IT-компании

На связи авторы Хабр-проекта “Киберпрофессии будущего”. Продолжаем рассказывать о восходящих звездах и признанных экспертах Group-IB, их работе, исследованиях, а также о новых специальностях. Сегодня мы снова заглянем в глубины интернета — на территорию Threat Intelligence, и наш новый гость — Никита Ростовцев. В конце материала, как обычно, — ссылка на актуальные вакансии Group-IB.

Читать далее
Всего голосов 9: ↑1 и ↓8 -7
Просмотры 3.4K
Комментарии 4