Как стать автором
Обновить
40
0

Пользователь

Отправить сообщение

Yet Another RAT: особенности новой версии известного ВПО

Время на прочтение17 мин
Количество просмотров2.5K

Во время очередного расследования наша команда Solar JSOC CERT наткнулась на неизвестный RAT. Но после проведения глубокого анализа стало понятно, что перед нами новая версия уже известного RAT (3.3a), который использует группировка APT31. Его первую версию эксперты по кибербезопасности описывали еще в 2021 году. За это время ВПО претерпело множество изменений и обзавелось новым функционалом. Его и разберем в статье. Дополнительно опишем особенности библиотеки wolfSSL, используемой злоумышленниками для реализации протокола TLS при взаимодействии с C2, а также возможные шаги для определения ее версии.

Познакомиться с RAT
Всего голосов 10: ↑10 и ↓0+10
Комментарии0

Зловред PlugX: как мы встретили старого знакомого в новом обличии

Уровень сложностиСложный
Время на прочтение15 мин
Количество просмотров2.8K

Бэкдор PlugX многим хорошо известен. Зловред нацелен на хищение самого дорогого — конфиденциальной информации. В 2022 году в рамках одного из расследований наша команда Solar JSOC CERT наткнулась на очередной сэмпл этого вредоноса. Главной его особенностью было то, что он использовался для продвижения в локальной сети заказчика, а не для связи с управляющим сервером. И это далеко не все, чем интересна новая версия PlugX в сравнении с предыдущей. Подробности расскажем в этом посте.

Препарировать вредонос
Всего голосов 7: ↑7 и ↓0+7
Комментарии1

APT35 — неожиданная угроза: как мы обнаружили иранских хакеров в инфраструктурах нескольких компаний

Время на прочтение12 мин
Количество просмотров9.6K

С мая 2022 года мы столкнулись с двумя кейсами, где атакующие используют уязвимость Microsoft Exchange ProxyShell для первоначального доступа и размещения веб-шеллов. Скорее всего, атака связана с группой APT35 (иранская группировка, спонсируемая государством). К такому выводу мы пришли, проанализировав тактики и техники, приписываемые группе. Также некоторые обнаруженные индикаторы схожи с теми, что атрибутированы группе. Но обо всем по порядку.

Читать далее
Всего голосов 17: ↑16 и ↓1+19
Комментарии4

Jli.dll по-новому: как хакеры использовали известную DLL в фишинге якобы от имени Минцифры

Время на прочтение5 мин
Количество просмотров3K

В конце мая стало известно о том, что хакеры пытались организовать вредоносную рассылку якобы от Минцифры. Архив из этой рассылки получили для анализа специалисты Solar JSOC CERT. В нем мы обнаружили jli.dll. Эту DLL часто используют злоумышленники для размещения вредоносного кода, так как с помощью техники DLL Side Loading её подгружает довольно большое число легитимных файлов. Но в данном кейсе DLL использовалась по-другому – в рамках одного стандартного приложения Java. А как именно – расскажем в этом посте.

Что там в письме?
Всего голосов 20: ↑19 и ↓1+20
Комментарии0

По следам TeamBot: как мы столкнулись с новыми функциями знакомого ВПО

Время на прочтение16 мин
Количество просмотров3K

В октябре 2021 года к нам в Solar JSOC CERT поступил запрос: одна крупная технологическая компания попросила помочь в расследовании инцидента. В процессе работы мы обнаружили старую знакомую - вредоносную DLL TeamBot (aka TeamSpy, TVSPY, TeamViewerENT, TVRAT), которая загружалась легитимной утилитой TeamViewer. Это ВПО уже лет 10 фигурирует в отчетах как отечественных, так и зарубежных ИБ-компаний. Но за эти годы TeamBot научился кое-чему новому,  о чем мы и расскажем в этом посте.

Читать далее
Всего голосов 9: ↑9 и ↓0+9
Комментарии0

Кого только не встретишь в инфраструктуре: с какими семействами ВПО мы чаще всего имели дело в этом году

Время на прочтение9 мин
Количество просмотров4K

Годы идут, а ВПО остается основной головной болью кибербезопасников. Мы недавно считали: почти 40% хакерских атак происходит именно с помощью вредоносного ПО. Одни вирусы даже не успевают попасть в ИТ-периметр – их ловят на подлете. Другим же удается сидеть в инфраструктуре год-два и больше. Появляются ранее неизвестные угрозы, а уже знакомые вредоносы эволюционируют, приобретая новые свойства и совершенствуя маскировку. В этом посте мы расскажем, какие семейства ВПО чаще всего попадались нам на глаза в различных инфраструктурах с начала этого года.

Вспомнить все
Всего голосов 12: ↑12 и ↓0+12
Комментарии1

Как мы искали связь между Mēris и Glupteba, а получили контроль над 45 тысячами устройств MikroTik

Время на прочтение5 мин
Количество просмотров21K
Неделю назад стало известно о рекордной DDoS-атаке на компанию Яндекс с впечатляющим значением в 21,8 млн RPS. Сотрудники Яндекса совместно с компанией Qrator Labs рассказали,
что инструментом проведения атаки был ботнет Mēris, состоящий из сетевых устройств компании Mikrotik. При этом они отметили, что изучить образец бота у них не было возможности, но утверждение, что Mēris – это «вернувшийcя Mirai», не совсем точно из-за различия в сетевых уровнях атаки (L7 и L3).



Мы уверены, что данные обстоятельства привлекли внимание многих специалистов
по информационной безопасности в попытках изучения внутреннего устройства ботнета Mēris
и природы его возникновения. Мы в Solar JSOC CERT не стали исключением и пришли к выводу, что, возможно, Mēris начал зарождаться еще в 2018 году с помощью вредоносного семейства Glupteba, которое до сих пор является «поставщиком» устройств для Mēris. Так же нам удалось получить контроль над 45 тысячами устройств MikroTik.
Читать дальше →
Всего голосов 53: ↑53 и ↓0+53
Комментарии30

Glupteba – скрытая угроза: как мы нашли вредонос, который больше двух лет прятался в инфраструктуре заказчика

Время на прочтение9 мин
Количество просмотров15K
2020 год для Solar JSOC CERT оказался непростым, но и 2021-й не отстает, постоянно подкидывая нам интересные кейсы. В этом посте мы расскажем, как обнаружили вредонос (даже целую сеть вредоносов) по, казалось бы, несвойственной ему активности. Он незаметно «жил» в инфраструктуре больше двух лет, втихаря обновлялся и без препятствий собирал ценные данные в инфраструктуре жертвы.


Читать дальше →
Всего голосов 21: ↑20 и ↓1+26
Комментарии7

Атаки китайской APT-группировки HAFNIUM c использованием 0-day в Microsoft Exchange Server: как это было в России

Время на прочтение5 мин
Количество просмотров13K


Важная новость в мире информационной безопасности появилась на прошлой неделе от компании Microsoft о том, что китайская группировка HAFNIUM атакует американские компании и организации с использованием 0-day уязвимости в Microsoft Exchange Server. Новость стала настолько резонансной, что ее транслировали даже федеральные каналы, а ведущие ИБ-компании незамедлительно публиковали подробности атак, которые они наблюдали (Volexity, Fireeye, Cisco Talos Intelligence Group).

Вопрос, который всю предыдущую неделю задавал себе, наверное, каждый специалист по ИБ в России: а как же мы? Нас тоже атаковали с использованием 0-day уязвимости? Спойлер – да. Технические подробности под катом.
Читать дальше →
Всего голосов 27: ↑27 и ↓0+27
Комментарии5

NTA здорового человека: что должны уметь системы анализа сетевого трафика (и пока что не умеют)

Время на прочтение9 мин
Количество просмотров11K

Кадр из м/ф «Инспектор Гаджет»

У людей, занимающихся обнаружением и расследованием компьютерных инцидентов, есть неписаная истина: «Инцидент рождается и умирает на хосте». Сегодня подавляющее большинство статей, исследований и правил детекта связаны именно с хостовыми логами (поэтому на рынке и появился EDR). Тем не менее очевидно, что события с хоста не дают полной картины происходящего и необходимо анализировать то, что происходит не только на конечных точках, но и в сети. Не так давно появился Network Traffic Analysis (NTA) – относительно молодой класс решений, который помогает обнаружить злоумышленника, «живущего в сети». Четкого понимания о функционале NTA у ИБ-сообщества пока не сформировалось, но мы со стороны центра мониторинга и реагирования на кибератаки все-таки попробуем рассказать, какой должна быть такая система и как она должна работать в идеале, чтобы полностью решать свои задачи.
Читать дальше →
Всего голосов 14: ↑14 и ↓0+14
Комментарии1

Чем нас «радовали» злоумышленники последние полгода

Время на прочтение6 мин
Количество просмотров5.7K
Последние полгода были, мягко говоря, непростыми. Новая реальность – новые векторы кибератак, хотя и про старые, проверенные временем инструменты злоумышленники не забывали. Solar JSOC и JSOC CERT скучать не приходилось: атаки на RDP, новые оболочки известного ВПО и методы сокрытия Mimikatz… Подробности, как всегда, письмом ниже.
Читать дальше →
Всего голосов 17: ↑17 и ↓0+17
Комментарии1

Чуть сложнее, чем кажется: как атакует группировка TinyScouts

Время на прочтение8 мин
Количество просмотров9.2K
Какое-то время назад мы начали фиксировать попытки заражения инфраструктур наших заказчиков ранее не известным вредоносным ПО. Оно доставлялось пользователям через фишинговые рассылки, иногда посвященные второй волне коронавируса, а иногда – четко «заточенные» под атакуемую организацию и связанные с ее деятельностью. Злоумышленники выдавали себя за различные существующие компании, например, «Норильский Никель», Российский союз промышленников и предпринимателей, Финаудитсервис и т.д.



Примечательными были два аспекта деятельности группировки: во-первых, высокий уровень технических навыков злоумышленников, а во-вторых – вариабельность сценария атаки. Если ты как жертва не интересен – украдут пароли и зашифруют данные, а вот если твоя машина в интересном домене и имеет потенциал для более интересного развития атаки – загрузят Remote Admin Tool (RAT), написанный на PowerShell. Мы назвали группировку TinyScouts – по именам функций из вредоносного кода. В статье мы расскажем о двух ее последних кампаниях, которые условно можно разделить по месяцам – июль и август 2020 года, и сделаем полный разбор инструментов и сценариев TinyScouts.
Читать дальше →
Всего голосов 22: ↑22 и ↓0+22
Комментарии8

Зачем внедрять EDR, если есть SIEM, Sysmon и антивирус?

Время на прочтение8 мин
Количество просмотров8.1K
Без мониторинга конечных точек сегодня уже не получится в полной мере обеспечить безопасность и вовремя обнаруживать факты компрометации инфраструктуры. «Джентельменский» набор — сетевой мониторинг, антивирус и стандартный аудит на конечных точках — уже не позволяет противодействовать не только серьезным группировкам, но даже злоумышленникам с низким уровнем подготовки. Почему? Рассмотрим на конкретных примерах.


Кадр из мультфильма «Жил-был пес»
Читать дальше →
Всего голосов 19: ↑19 и ↓0+19
Комментарии0

Расследование инцидентов ИБ in the wild: неожиданные источники информации

Время на прочтение6 мин
Количество просмотров9.6K
image

О расследовании компьютерных инцидентов, или Digital Forensics, уже много всего написано, есть много готового аппаратного и программного инструментария, основные артефакты операционных систем хорошо известны и описаны в пособиях, книгах и статьях. Казалось бы, что тут сложного – читай мануал и находи требуемое. Но встречаются технически сложные случаи, когда анализ тех самых общеизвестных артефактов не дает достаточной информации для восстановления хронологии событий. Как быть в такой ситуации? Разбираем на реальных примерах наших расследований.
Читать дальше →
Всего голосов 27: ↑27 и ↓0+27
Комментарии5

Про удаленку, незащищенный RDP и рост числа серверов, доступных из интернета

Время на прочтение3 мин
Количество просмотров26K
Из-за спешного массового перехода компаний на удаленную работу стремительно растет число корпоративных серверов, доступных для злоумышленников из интернета. Одна из главных причин – применение незащищенного протокола удаленного доступа RDP (Remote Desktop Protocol). По нашим данным, всего за одну неделю только в России количество устройств, доступных из интернета по протоколу RDP, выросло на 15%.

image
Читать дальше →
Всего голосов 14: ↑12 и ↓2+18
Комментарии58

Зафиксировано первое появление BlueKeep «в дикой природе»

Время на прочтение2 мин
Количество просмотров18K
Вчера появилась информация о попытках эксплуатации BlueKeep (CVE-2019-0708), критичной RCE-уязвимости в ОС Windows, с целью установки криптомайнера Monero. Исследователь Kevin Beamount, сообщил в Твиттере, что несколько хостов из его сети RDP-ханипотов ушли в состоянии BSOD, при этом их совокупный Uptime до этого момента был равен почти 6 месяцам.

Проведенный анализ аварийного дампа оперативной памяти позволил обнаружить следы
шелл-кода, предназначенного для скачивания и запуска криптомайнера с удаленного сервера посредством выполнения powershell-скрипта. При этом этот шелл-код идентичен шелл-коду модуля BlueKeep в составе проекта Metasploit.


Читать дальше →
Всего голосов 33: ↑33 и ↓0+33
Комментарии0

Как вредоносы обходят песочницы с помощью Visual Basic

Время на прочтение5 мин
Количество просмотров10K
Мы в JSOC CERT ежедневно сталкиваемся с событиями из разных песочниц, которые функционируют в составе AntiAPT-решений наших заказчиков и пропускают через себя тысячи файлов из web- и почтового трафика. Стоит отметить, что современные Sandbox-системы в своем развитии ушли намного дальше, чем простой перехват системных вызовов в Kernel Mode и API-функций в User Mode. Все чаще в них используются собственный гипервизор, система эмуляции пользовательской активности, динамическая инструментация, хэширование и кластеризация по участкам кода, анализ покрытия кода и т.д. Такое разнообразие технологий создает иллюзию, что если какой-то файл не отработал в песочнице и не показал свое «истинное лицо», то это наверняка APT или инновационная технология обнаружения виртуального окружения, о котором ИБ-сообществу еще не известно. Но…

Читать дальше →
Всего голосов 37: ↑37 и ↓0+37
Комментарии0

Информация

В рейтинге
Не участвует
Работает в
Зарегистрирован
Активность