Представьте: пользователь открывает совершенно легитимную программу — скажем, видеоплеер, корпоративный мессенджер или даже встроенный в Windows инструмент. Программа запускается, выполняет свои функции. Антивирус молчит. Мониторы пользователя не показывают ничего подозрительного. Но в этот самый момент, под прикрытием доверенного процесса, в памяти компьютера уже тихо работает вредоносный код, крадущий конфиденциальные данные или готовящий почву для атаки на сеть. Как он туда попал и почему не был обнаружен? 

Один из возможных вариантов — использование атакующими техники DLL-Hijacking (Mitre T1574.001). Я встречал мнение, что техника (а если быть точным, то это подтехника для T1574: Hijack Execution Flow) DLL Hijacking — баян десятилетней давности и не может считаться актуальной угрозой для корпоративных Windows-сред. Затрудняюсь определить причину такого мнения, потому что атаки с использованием DLL-библиотек явно не ушли в прошлое — их по-прежнему упоминают в уважаемых отчетах по кибербезу — к примеру, здесь (Mandiant M-Trends 2024, стр.50) и здесь (Лаборатория Касперского, «Азиатские APT-группировки: тактики, техники и процедуры»). 

Причин широкого распространения таких атак несколько. В первую очередь, это скрытность, так как вредоносное ПО выполняется в контексте легитимного процесса, обходя сигнатурные проверки антивирусов, а для обнаружения требуется EDR и навыки работы с ним. 

Во-вторых, простота, так как для успеха часто достаточно лишь правильно названного файла .dll, помещенного в «нужную» папку, куда пользователь или приложение его случайно положат или откуда запустят уязвимую программу. 

В-третьих, техника работает на всех актуальных версиях Windows, поскольку уязвимы не столько сами ОС, сколько миллионы приложений, полагающихся на стандартный (и небезопасный по умолчанию) механизм поиска библиотек.

Наконец, как мне думается, в последнее время из-за распространения нейросетей сильно упал входной порог компетенций для конструкторов вредоносов. Я не эксперт в разработке приложений, но подозреваю, что написать вредоносную dll-библиотеку с помощью ChatGPT значительно проще, чем без него. 

В этой статье мы: 

За 90 секунд освежим в памяти, что такое DLL, как работает, в чем фундаментальная уязвимость механизма загрузки. 

Осветим примеры атак с подменой DLL согласно их классификации.

Расскажем о защитных мерах для предотвращения атак этого типа.

Приведем рекомендации для SOC по обнаружению атаки (и объясним, почему цифровая подпись — не гарантия легитимности библиотеки). 

Итак, добро пожаловать под кат!

В корпоративных средах развертывание Active Directory (AD) — де-факто стандарт для администрирования ИТ-инфраструктуры на Windows. Да, в России есть тренд импортозамещения и сопутствующее ему «переползание» на отечественные решения типа Astra Linux-ALD Pro и так далее. Но пока еще Windows стоит много где, и оборона домена AD — это стратегическая задача для большинства организаций.

Кроме того, в процессе импортозамещения AD в вашей организации вполне может оказаться, что полный отказ от Windows+AD невозможен по ряду причин. Причем, как часто бывает, это может проявиться на этапе после того, как вы составили и согласовали техническое решение со всеми нужными инстанциями и регуляторами. Например, внезапно выясняется, что существует некий критический софт, который применяется только на винде и нормально работает только в условиях AD-домена. В итоге часть инфраструктуры продолжит функционировать по «неимпортозамещенной» схеме, при этом ежедневные задачи по администрированию и защите этого сегмента никуда не денутся. 

Даже если ваша организация избежит таких «подводных камней» при миграции на отечественные решения, согласитесь, что подобный переезд — продолжительный процесс, который в крупных инфраструктурах с большим количеством legacy вполне может занять годы. Атаки на Active Directory, по моему опыту, происходят каждый день, и тот факт, что организация в это самое время мигрирует на другое решение, не поможет оправдаться, если вас взламывают прямо сейчас. 

Короче говоря, если Active Directory используется в организации здесь и сейчас, не стоит пренебрегать мероприятиями по защите, несмотря ни на что. 

Пока что концепция «ЦОД без людей» еще не достигла уровня устойчивого решения «в продакшене». А значит, перед компаниями, которые имеют мощности в дата-центрах, все еще стоит задача по найму специалистов в штат компании. 

Независимо от количества стоек и объема финансового оборота, любой провайдер заинтересован в определенной квалификации своих сотрудников. Безусловно, на многих позициях не нужны кадры с высокой квалификацией, вроде CISO или системного архитектора с опытом работы 20 лет. Однако это не означает, что можно набирать людей «с улицы» или с нерелевантным опытом работы.  

Для решения этой задачи за тысячи лет эволюции человечество придумало такую штуку как собеседование. На интервью работодатель должен убедиться, что кандидат соответствует позиции. Но вот загвоздка — чтобы магия сработала, необходимо задавать соискателю правильные вопросы. В статье мы рассмотрим 14 фундаментальных вопросов, которые могут задать на собеседовании, и предоставим развернутые ответы, помогающие кандидатам эффективно подготовиться.

В мире, где всё чаще происходят кибератаки, важно иметь понимание процесса реагирования на инциденты информационной безопасности. Особенно важно это в контексте Linux-систем, которые являются основой многих критически важных элементов ИТ-инфраструктуры компаний. Под катом вы найдете базовые моменты этого процесса, команды, которые могут быть использованы для анализа, а также точки интереса, на которые стоит обращать внимание. Статья будет полезна в первую очередь начинающим администраторам Linux-систем и отделам ИБ для составления планов по реагированию. 

В этой статье мы поговорим о методах поиска информации в операционной системе Windows — с целью выявления различных инцидентов. Это сведения о пользователях и входах, базовой информации системы, сетевом подключении, а также о восстановлении удаленных файлов, просмотрe открывавшихся документов, выявлении подключавшихся к компьютеру флешек и т. д. — данные, позволяющие установить факты нарушения безопасности или несанкционированного доступа. Затронем также тему этики при проведении экспертиз такого рода. 

Может показаться, что для решения большинства из этих задач специальных знаний не требуется и достаточно простого владения компьютером на уровне уверенного пользователя. Что ж, может, так и есть. Хотите знать наверняка? Добро пожаловать под кат. 

Когда-то не так давно ИТ-специалист из России мог прийти на экзамен конкретного вендора и, сдав его, подтвердить свою квалификацию. Так происходит во всем мире и сейчас, но не у нас. Вот уже два года, как сдать экзамен Microsoft, Cisco, Red Hat и других зарубежных вендоров человеку из России, мягко говоря, затруднительно. В то же время несколько месяцев назад в прессе начали появляться новости о планах создания в России «единого центра сертификации IT-специалистов». Точных данных, как это будет работать, пока нет, но тем интереснее высказать свое мнение как автора и порассуждать о комплексе проблем, которые потребуется решить создателям такой системы. Об особенностях национальной ИТ-сертификации — под катом. 

Когда-то давно, в далеком 2007 году, была у меня симпатичная раскладушка Nokia 6131. Вполне обычный телефон для своего времени: 1.3 мегапикселя, дисплей 320х240, интернет по GPRS и батарейка, выдерживающая в режиме ожидания больше недели. А еще — объем памяти в 10 мегабайт, которых хватало на пару видео или несколько полифонических мелодий. Плюс-минус такие же характеристики имел любой телефон в то время. 

Сегодняшние смартфоны представляют собой устройства, на несколько порядков превосходящие своих предшественников из нулевых. На самом деле это уже и не телефон в традиционном понимании слова, хоть мы и продолжаем их так называть по инерции. Смартфоны, которые мы знаем сегодня, способны решать широкий спектр задач. Они позволяют нам развлекаться, хранить информацию, ориентироваться в мире, управлять финансами и делать многое другое. Откровенно говоря, для современного человека смартфон — это персональный аксессуар, без которого становится проблематичным выполнение даже рутинных повседневных задач, вроде заказа такси или покупок в магазине. 

Видя разницу между мобильниками пятнадцатилетней давности и современными мобильными устройствами, можно предположить, что за следующие 15 лет индустрию смартфонов ждут новации, которые изменят ее так же сильно, как и предыдущие 15 лет. 

Под катом попытаемся разобраться, чего именно стоит ожидать от смартфонов будущего, и как они смогут трансформировать нашу повседневную жизнь. 

Я провожу много времени, уткнувшись глазами в экран. Днем я, как и большинство здесь, работаю за компьютером, а вечером — по дороге домой, за ужином или лежа в кровати — смотрю в смартфон. Ведь позалипать в любимый канал перед сном – святое дело, не правда ли? Однако постоянное использование компьютеров и других устройств с экранами может негативно сказаться на здоровье глаз человека, с чем каждый из нас в той или иной мере сталкивался в течение жизни. 

Особую досаду вызывает тот факт, что это может произойти внезапно – год назад, во время подготовки к очередному экзамену, у меня резко ухудшилось зрение всего за пару месяцев, упав с -0.25 до -2. Причиной этому, вероятно, было увеличение времени ежедневной работы за компьютером примерно на 30% – не так уж и много, кстати говоря. 

Что более важно, вместе с падением зрения меня начали беспокоить довольно болезненные ощущения в области глаз, значительно ухудшающие работоспособность: постоянное слезотечение, жжение и так далее.

Всё это вынудило меня заняться своими глазами. По итогам забега по медицинским сайтам и кабинетам офтальмологии был получен некий объем знаний, которым я делюсь в статье. Мы рассмотрим, как работа за компьютером влияет на зрение, какие упражнения для глаз эффективны и эффективны ли они вообще, что можно посоветовать современному компьютерному юзеру для профилактики заболеваний глаз.

Приступая к работе в ЦОД, можно легко запутаться в различных типах кабелей, которые используются для соединения и подключения сетевых устройств и серверов. Некоторые из них распространены и в повседневной жизни, а потому хорошо узнаваемы – Ethernet-кабели (с коннекторами RJ-45) и кабели питания (например, с распространенными вилками C13). Но другие, такие как оптические кабели с коннекторами стандарта SFP, LC, SC, силовые с вилкой типа IEC-309 и т. д., известны не так широко.

Если вы проводите какие-либо работы непосредственно в стойке, любая ошибка может стоить дорого – нажата не та кнопка, и клиенты уже в дауне, а любимые и глубоко уважаемые специалисты техподдержки шлют вам тикеты счастья. Даже Uptime Institute в своем исследовании 2021 года отмечает, что в 79% случаев причиной падения серверов в ЦОДах является человеческий фактор.  Всё надо делать вовремя – и нажимать кнопки, и менять комплектующие, и переключать кабели… 

Так вот о кабелях. Чтобы начать с ними работать, было бы неплохо хотя бы знать, как они выглядят и какие функции выполняют. 

Этот материал как раз об этом. 

В первую очередь, он будет полезен в роли шпаргалки сотрудникам-стажерам, только начинающим работу с аппаратной частью ИТ-инфраструктуры. 

Конечно, обычно такие статьи пишут эйчары. Но в этой выражается мнение из другого лагеря — потерявшая берега от конских зарплат в отрасли избалованная общественность (в моем лице инженера техподдержки) пытается разобраться, какие бенефиты могут быть предложены компанией потенциальным сотрудникам — и зачем вообще их предлагать.

26 января 2023 года компания SрасеХ запустила очередную партию телекоммуникационных спутников Starlink — всего 54 спутника за один запуск. Миссия получила обозначение Starlink 5–2 и будет 71-й по счету. В настоящее время на орбиту выведено более трёх тысяч спутников, а общий размер группировки может составить от 12 (количество уже одобрено) до 42 (ожидает одобрения ITU) тысяч аппаратов.

К дате этого запуска (да и следующие не за горами) будет нелишним напомнить о возможности самостоятельно отслеживать космические объекты — спутники, планеты и так далее — с помощью вашего компьютера или смартфона, но без какого‑либо оптического оборудования наподобие телескопов.

Отрасль архитектуры и строительства всегда была чем-то большим, чем бригады гостей из бывших союзных республик, укладывающие новые ступеньки лестницы на крыльце вашего офиса. Как и в других отраслях, работа высококлассных специалистов — архитекторов и инженеров-проектировщиков, разрабатывающих новые планы — редко видна публике. Но это не значит, что в ней не происходит ничего нового. Особенно это касается инструментария.

В этой статье рассказываем об информационном моделировании (или BIM), достаточно недавно появившемся инструменте в арсенале проектирования.

В этой статье мы говорим о грамотном размещении оборудования в стойке, а иными словами, системно рассматриваем эксплуатацию серверного шкафа: от составления плана и инсталляции до маркировки проводов. Всё повествование строится, в первую очередь, на моем опыте работы инженером ЦОД, и, хорошо это или не очень, я стараюсь придерживаться именно этих правил и практик.

Продолжая уже поднимавшуюся в этом блоге тему беспилотных летательных аппаратов, сегодня я расскажу об опыте посещения пятидневных курсов операторов БПЛА от Московского авиационного института.

В этой статье говорим о технологии погружного (иммерсионного) охлаждения вычислительных систем: что это такое, зачем надо, почему до сих пор не применяется широко и какие у этого всего дела перспективы.

Вряд ли для кого-то станет открытием тот факт, что обилие оборудования в машинном зале дата-центра создает высокий шумовой фон, опасный для здоровья персонала. Конечно, за те пять минут, которые занимает обход кондиционеров и вводов питания, ничего страшного с ушами случиться не может – это правда. Но для специалистов, регулярно проводящих многочасовые работы в машинных залах, защита слуха есть суровая необходимость. 

На связи Павел, инженер дежурной смены компании FirstVDS в ДЦ IXcellerate North, и сегодня мы рассмотрим, какие критерии стоит принимать во внимание при выборе средств защиты слуха, а также некоторые конкретные модели.

Не так давно правовое регулирование использования беспилотных летательных аппаратов (БЛА) гражданского назначения отсутствовало вовсе — как в России, так и в мире. Но быстрые темпы развития беспилотной авиации заставили законотворцев задуматься о государственном контроле в этой отрасли. 

Сегодня в России существуют законодательно закрепленные процедуры регистрации и учета гражданских беспилотников, а также правила полетов. В этой статье попробуем разобраться, как легально поднять ваш беспилотник в воздух и немного поговорим о том, какие изменения нас могут ожидать в этой области в скором времени.