А если реально хотите разобраться, кому, когда и главное, зачем нужна Threat Intelligence, можем порекомендовать следующие книги и материалы:
⭐Intelligence-Driven Incident Response. R. Brown & S.J. Roberts
Авторы объясняют, как разрабатывать упреждающую стратегию реагирования на инциденты. Книга научит задавать правильные вопросы, чтобы построить активную стратегию защиты. Написана простым языком.
⭐Psychology of Intelligence Analysis. R. Heuer
Нестареющая классика от ветерана ЦРУ Ричардса Хойера. Описывает особенности нашего мышления, ошибки и предубеждения, которые генерирует наш мозг.
⭐Компьютерные сети. Принципы, технологии, протоколы В. Олифер и Н. Олифер База, которая объясняется на пальцах. Отлично подойдет для тех, кто делает первые шаги (https://t.me/F_A_C_C_T/3152) в изучении основ информационной безопасности.
Авторы детально объясняют, как использовать разведку и анализ техник противника, чтобы защитить сети от атак. Можно встретить примеры и для начинающих аналитиков.
Простая и полезная книга для понимания основ киберразведки. Здесь приводится научный подход к анализу атак, в основе которого лежит так называемая бриллиантовая модель.
Мы впервые видим такое активное использование омоглифов именно во вредоносных рассылках.
А связано это с увеличением количества фишинговых вредоносных рассылок, для которых злоумышленники используют публичные почтовые сервисы.
С одной стороны, сегодня они достаточно хорошо умеют скрывать вредоносную нагрузку в письмах.
С другой стороны, именно количество групповых однотипных рассылок стало проблемой, которое вызывает дополнительное внимание со стороны почтового провайдера. Омоглифы позволяют эту проблему нивелировать.
Из еще — есть несколько показательных архивных кейсов: МВД и Group-IB ликвидировали группу, заразившую миллион смартфонов https://blog.group-ib.ru/cron Полиция разгромила группу "телефонных мошенников", наживавшихся на пенсионерах https://blog.group-ib.ru/mobile
Погодите-погодите. Компания уже более 20 лет очень ОТВЕТСТВЕННО борется с киберпреступностью. Мы ликвидировали два десятка крупных преступных группировок, которые похищали деньги у клиентов банков и у самих банков, и довели до суда уголовные дела 1500 преступников.
Мы отправляли на скамью подсудимых операторов ботнетов, скамеров, вымогателей и шантажистов, манимулов, ddos-еров, телефонных мошенников, педофилов и даже одного пирата.
Вы рассуждаете про внесудебные блокировки, но фишинговые сайты и скам-ресурсы плодятся на колоссальных скоростях. Только в этом году мы отловили в Рунете более 10 000 фишинговых доменов — и вы хотите, что б "цвели все цветы киберзла"?
Совершая интернет-покупки, вы или ваши родные могут нарваться на фишинговый ресурс, который под видом маркетплейса или службы доставки попытается украсть данные вашей банковской карты.
В свою очередь инвесторы рискуют наткнуться "липовый" сайт криптобиржи или банка, который уведет логины-пароли от входа в личный кабинет.
Когда пользователи авторизуются на поддельном сайте Binance, хакеры могут украсть их учетные данные (https://www.binance.com/).
И даже на легальном сайте с базой бухгалтерских и финансовых документов можно скачать банковский троян Buhtrap — в этом случае преступники могут добраться уже до банковского счета компании.
Пример страницы сайта formy-i-blank[.]ru, с которой хакеры "раздавали" банковский троян Buhtrap
Если ресурс распространяет в Рунете вредоносные программы, фишинг или с него идет управление бот-сетями, абсолютно легально и правомочно CERT-F.A.C.C.T. может заблокировать плохой домен в течение 24 часов. Кстати, на сайте Координационного центра доменов .RU/.РФ размещен полный список компаний и организаций, которые имеют право блокировать "плохие сайты" в Рунете. Например, РОЦИТ борется с пропагандой насилия и терроризма, распространением наркотиков в сети, а Лига безопасного интернета — с детской порнографией.
CERT-GIB занимается блокировкой вредоносных сайтов и фишинга во всех существующих доменных зонах, которых на данный момент около 2500. https://www.reg.ru/domain/new/zonepedia
Автоматическая блокировка осуществляется не у всех регистратур/регистраторов, но в полуавтоматическом режиме наши обращения обрабатываются по всему миру.
Разумеется, мы не ограничиваемся обращениями лишь к регистраторам — блокировка производится с использованием всех возможных контактов, способных повлиять на работоспособность сайта. Нередко, мы подключаем к работе локальные CERT-команды.
О это очень хороший вопрос, сейчас подробно ответим про досудебную блокировку.
Во-первых, наш Центр реагирования на инциденты информационной безопасности — CERT-GIB, созданный еще в 2011 году, это первый частный СERT в России. Он обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов более чем в 2500 доменных зонах. CERT-GIB является одной из 12 компетентных организаций, которые предоставляют Координационному центру и аккредитованным регистраторам доменных имен информацию о ресурсах с противоправным контентом, о случаях фишинга, несанкционированного доступа к информационным системам и распространения вредоносных программ с доменных имен, находящихся в зонах .ru и .рф.
Во-вторых, наше профильное решение для борьбы со скамом и фишингом — Digital Risk Protection снижает цифровые риски для брендов и защищает интеллектуальную собственность от мошенничества, пиратства, утечек данных, предоставляя лучшую в своем классе защиту. Group-IB блокирует опасные ресурсы по всему миру благодаря тесному сотрудничеству с регистраторами доменов, хостинг-провайдерами, регуляторами доменных зон, профессиональными ассоциациями и администраторами крупнейших сайтов. Мы обращаемся к ним напрямую с запросом о блокировке определенного сайта или веб-страницы. Статус доверенного вендора в некоторых доменных зонах позволяет нам автоматически снимать домены с делегирования в течение нескольких минут через API.
Спасибо за отзыв! Есть несколько публичных кейсов, о которых упомянула Аня. Если интересны подробности — загляните в наш блог: — Братья по кибероружию. Хакеры-близнецы Дмитрий и Евгений Попелыши сели в тюрьму со второго раза https://blog.group-ib.ru/brothers — Падение «Крона». МВД и Group-IB ликвидировали группу, заразившую миллион смартфонов https://blog.group-ib.ru/cron — Абонент недоступен. Полиция разгромила группу "телефонных мошенников", наживавшихся на пенсионерах https://blog.group-ib.ru/mobile
Занудство — не порок, ты спрашивай, а мы ответим. Group-IB — это и про интеллект, и про технологии, и про цели, достойные супергероев. А Аня всегда на стиле — радует глаз окружающих коллег)
Если внимательно следишь за темой, чекни, что было в наших предыдущих сериях:
Blacklynx, это вообще очень интересная тема — спасибо, что предоставил возможность покачаться на волнах нашей памяти. Первый блог Group-IB про Bad Rabbit вышел как раз в день атаки, 24-го октября — мы тогда вели онлайн-трансляцию в Telegram и Twitter и верстали его буквально "с колес". В тот день многие ИБ-вендора писали про Bad Rabbit, но наши эксперты по анализу кода установили связь между Bad Rabbit и шифровальщиком Not Petya, а самое главное - показали связь с конкретной группой, которая стоит за атакой. А на его основе был выпущен технический отчет. И, да — он был первым полноценным отчетом, который атрибутировал атакующих, описывал ход атаки и инструменты, предоставил технические индикаторы компрометации и рекомендации, как избежать заражения.
Что касается антифишинга, старожилы Group-IB рассказали, что в отличие от конкурентов мы собрали систему, которая детектит атаки и собирает доказательства нарушений именно под конкретные бренды, что позволяла нам запустить первый антифишинг в России и предлагать его клиентам. Год спустя, в 2011, появился CERT-GIB, первый коммерческий CERT в России. Первый CERT, который получил возможность снимать с делегации российские домены. Первый российский CERT, который вошёл в FIRST. Автоматизация увеличила количество выявленных и заблокированных совместно с CERT-GIB ссылок до 150 тыс. в месяц!
В том числе от оригинального домена отличается последний символ в имени:
"Домен @diadok[.]net, с которого было отправлено вредоносное письмо, мимикрирует под оригинальный домен компании “Контур.Диадок” - diadoc[.]ru. "
Да, похоже прошлогодний мем, на котором крупнейший дисплей MSG Sphere в Лас-Вегасе показывает «синий экран смерти» оказался пророческим.
Точно, спасибо! Добавили хеш данного клиента UltraVNC в иоки и упомянули про иконку приложения OneDrive.
Ох. Ну, как говорится, кто не понял, тот поймет.
А если реально хотите разобраться, кому, когда и главное, зачем нужна Threat Intelligence, можем порекомендовать следующие книги и материалы:
⭐Intelligence-Driven Incident Response. R. Brown & S.J. Roberts
Авторы объясняют, как разрабатывать упреждающую стратегию реагирования на инциденты. Книга научит задавать правильные вопросы, чтобы построить активную стратегию защиты. Написана простым языком.
⭐Psychology of Intelligence Analysis. R. Heuer
Нестареющая классика от ветерана ЦРУ Ричардса Хойера. Описывает особенности нашего мышления, ошибки и предубеждения, которые генерирует наш мозг.
⭐Компьютерные сети. Принципы, технологии, протоколы
В. Олифер и Н. Олифер База, которая объясняется на пальцах. Отлично подойдет для тех, кто делает первые шаги (https://t.me/F_A_C_C_T/3152) в изучении основ информационной безопасности.
⭐Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf)
E. Hutchins, M. Cloppert, and R. Amin
Авторы детально объясняют, как использовать разведку и анализ техник противника, чтобы защитить сети от атак. Можно встретить примеры и для начинающих аналитиков.
⭐The Diamond Model of Intrusion Analysis (http://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf)
S. Caltagirone, A, Pendergast, and C. Betz
Простая и полезная книга для понимания основ киберразведки. Здесь приводится научный подход к анализу атак, в основе которого лежит так называемая бриллиантовая модель.
Мы впервые видим такое активное использование омоглифов именно во вредоносных рассылках.
А связано это с увеличением количества фишинговых вредоносных рассылок, для которых злоумышленники используют публичные почтовые сервисы.
С одной стороны, сегодня они достаточно хорошо умеют скрывать вредоносную нагрузку в письмах.
С другой стороны, именно количество групповых однотипных рассылок стало проблемой, которое вызывает дополнительное внимание со стороны почтового провайдера. Омоглифы позволяют эту проблему нивелировать.
Конечно, можем.
Не надо бла-бла: МВД и F.A.C.C.T. ликвидировали группу мошенников, наживавшихся на попутчиках https://www.facct.ru/media-center/press-releases/jewelry-team-scam/
Из еще — есть несколько показательных архивных кейсов:
МВД и Group-IB ликвидировали группу,
заразившую миллион смартфонов https://blog.group-ib.ru/cron
Полиция разгромила группу "телефонных мошенников", наживавшихся на пенсионерах https://blog.group-ib.ru/mobile
Погодите-погодите. Компания уже более 20 лет очень ОТВЕТСТВЕННО борется с киберпреступностью. Мы ликвидировали два десятка крупных преступных группировок, которые похищали деньги у клиентов банков и у самих банков, и довели до суда уголовные дела 1500 преступников.
Мы отправляли на скамью подсудимых операторов ботнетов, скамеров, вымогателей и шантажистов, манимулов, ddos-еров, телефонных мошенников, педофилов и даже одного пирата.
Вы рассуждаете про внесудебные блокировки, но фишинговые сайты и скам-ресурсы плодятся на колоссальных скоростях. Только в этом году мы отловили в Рунете более 10 000 фишинговых доменов — и вы хотите, что б "цвели все цветы киберзла"?
Совершая интернет-покупки, вы или ваши родные могут нарваться на фишинговый ресурс, который под видом маркетплейса или службы доставки попытается украсть данные вашей банковской карты.
В свою очередь инвесторы рискуют наткнуться "липовый" сайт криптобиржи или банка, который уведет логины-пароли от входа в личный кабинет.
И даже на легальном сайте с базой бухгалтерских и финансовых документов можно скачать банковский троян Buhtrap — в этом случае преступники могут добраться уже до банковского счета компании.
Если ресурс распространяет в Рунете вредоносные программы, фишинг или с него идет управление бот-сетями, абсолютно легально и правомочно CERT-F.A.C.C.T. может заблокировать плохой домен в течение 24 часов. Кстати, на сайте Координационного центра доменов .RU/.РФ размещен полный список компаний и организаций, которые имеют право блокировать "плохие сайты" в Рунете. Например, РОЦИТ борется с пропагандой насилия и терроризма, распространением наркотиков в сети, а Лига безопасного интернета — с детской порнографией.
спасибо за идею! думаем, что это будет тема отдельного технического блога
Несмотря на закрытые уязвимости, факты компрометации IPhone специалисты Лаборатории наблюдают и в настоящее время.
CERT-GIB занимается блокировкой вредоносных сайтов и фишинга во всех существующих доменных зонах, которых на данный момент около 2500. https://www.reg.ru/domain/new/zonepedia
Автоматическая блокировка осуществляется не у всех регистратур/регистраторов, но в полуавтоматическом режиме наши обращения обрабатываются по всему миру.
Разумеется, мы не ограничиваемся обращениями лишь к регистраторам — блокировка производится с использованием всех возможных контактов, способных повлиять на работоспособность сайта. Нередко, мы подключаем к работе локальные CERT-команды.
О это очень хороший вопрос, сейчас подробно ответим про досудебную блокировку.
Во-первых, наш Центр реагирования на инциденты информационной безопасности — CERT-GIB, созданный еще в 2011 году, это первый частный СERT в России. Он обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов более чем в 2500 доменных зонах. CERT-GIB является одной из 12 компетентных организаций, которые предоставляют Координационному центру и аккредитованным регистраторам доменных имен информацию о ресурсах с противоправным контентом, о случаях фишинга, несанкционированного доступа к информационным системам и распространения вредоносных программ с доменных имен, находящихся в зонах .ru и .рф.
Во-вторых, наше профильное решение для борьбы со скамом и фишингом — Digital Risk Protection снижает цифровые риски для брендов и защищает интеллектуальную собственность от мошенничества, пиратства, утечек данных, предоставляя лучшую в своем классе защиту. Group-IB блокирует опасные ресурсы по всему миру благодаря тесному сотрудничеству с регистраторами доменов, хостинг-провайдерами, регуляторами доменных зон, профессиональными ассоциациями и администраторами крупнейших сайтов. Мы обращаемся к ним напрямую с запросом о блокировке определенного сайта или веб-страницы. Статус доверенного вендора в некоторых доменных зонах позволяет нам автоматически снимать домены с делегирования в течение нескольких минут через API.
Судя по тому, что прошло уже много лет, а этот клиент остался с нами и у него всё хорошо, "дырками" так никто и не воспользовался.
Как ситх - ситху. "Крутой" — слово, как вы понимаете, оценочное. И как любое оценочное слово, сказанное человеком — субъективно.
А посыл фразы достаточно простой: мотивация сильных программистов в первую очередь — это интерес и только во вторую деньги.
скорее, это указатель на остроту зрения)
250 млн руб
Спасибо за отзыв!
Есть несколько публичных кейсов, о которых упомянула Аня. Если интересны подробности — загляните в наш блог:
— Братья по кибероружию. Хакеры-близнецы Дмитрий и Евгений Попелыши сели в тюрьму со второго раза https://blog.group-ib.ru/brothers
— Падение «Крона». МВД и Group-IB ликвидировали группу, заразившую миллион смартфонов https://blog.group-ib.ru/cron
— Абонент недоступен. Полиция разгромила группу "телефонных мошенников", наживавшихся на пенсионерах https://blog.group-ib.ru/mobile
Занудство — не порок, ты спрашивай, а мы ответим. Group-IB — это и про интеллект, и про технологии, и про цели, достойные супергероев. А Аня всегда на стиле — радует глаз окружающих коллег)
Если внимательно следишь за темой, чекни, что было в наших предыдущих сериях:
Анастасия Тихонова: «Нам крупно повезло, что атаки APT пока еще не привели к массовым человеческим жертвам» https://habr.com/ru/company/group-ib/blog/545104/
Артем Артемов: «Компьютерная криминалистика — это чистый дофамин» https://habr.com/ru/company/group-ib/blog/554044/
Никита Ростовцев: «Мы способны найти многое, чего не видят другие» https://habr.com/ru/company/group-ib/blog/666144/
Олег Скулкин: «Мы начали следить за шифровальщиками, когда еще мало кто считал их серьезной угрозой» https://habr.com/ru/company/group-ib/blog/652673/
Blacklynx, это вообще очень интересная тема — спасибо, что предоставил возможность покачаться на волнах нашей памяти. Первый блог Group-IB про Bad Rabbit вышел как раз в день атаки, 24-го октября — мы тогда вели онлайн-трансляцию в Telegram и Twitter и верстали его буквально "с колес". В тот день многие ИБ-вендора писали про Bad Rabbit, но наши эксперты по анализу кода установили связь между Bad Rabbit и шифровальщиком Not Petya, а самое главное - показали связь с конкретной группой, которая стоит за атакой. А на его основе был выпущен технический отчет. И, да — он был первым полноценным отчетом, который атрибутировал атакующих, описывал ход атаки и инструменты, предоставил технические индикаторы компрометации и рекомендации, как избежать заражения.
Что касается антифишинга, старожилы Group-IB рассказали, что в отличие от конкурентов мы собрали систему, которая детектит атаки и собирает доказательства нарушений именно под конкретные бренды, что позволяла нам запустить первый антифишинг в России и предлагать его клиентам. Год спустя, в 2011, появился CERT-GIB, первый коммерческий CERT в России. Первый CERT, который получил возможность снимать с делегации российские домены. Первый российский CERT, который вошёл в FIRST. Автоматизация увеличила количество выявленных и заблокированных совместно с CERT-GIB ссылок до 150 тыс. в месяц!
Most of the exposed databases discovered between the Q1’2021 and Q1’2022 used Redis database management system. https://www.group-ib.com/media/wp-content/uploads/2022/04/info-1@2x.png
К сожалению, издательство не планировало перевод.