Как стать автором
Обновить
41
Карма
0
Рейтинг

Пользователь

  • Подписчики 30
  • Подписки

Помощь в борьбе с Log4Shell: сделали сканер для Log4j

Блог компании BI.ZONE Информационная безопасность *
image

Log4Shell — это критическая уязвимость в библиотеке логирования Log4j, которую используют многие веб-приложения на Java.

Чтобы защититься от атак с использованием Log4Shell, надо знать, какие приложения уязвимы — а это трудно выяснить. Мы упростили задачу: разработали и выложили на GitHub специальный сканер.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 12K
Комментарии 10

Качественные фиды на примере оценки OSINT-источников

Блог компании BI.ZONE Информационная безопасность *


Мы с командой постоянно используем в работе фиды с данными о киберугрозах. И мы не понаслышке знаем о таких проблемах, как недостаточное количество информации или ее дублирование в разных источниках, а также слишком большое число ложных срабатываний. Чтобы облегчить себе жизнь, мы решили подумать, как оценивать источники и выбирать из них наиболее качественные.


В статье я расскажу об OSINT-фидах, которые мы сравнивали с нашими и партнерскими данными. Всего на поиск и анализ источников, написание скриптов для загрузки данных, создание методики, тестирование данных, оценку по методике ушло около двух-трех месяцев. В результате исследования нам удалось найти несколько фишек, которые делают поиск данных более приятной процедурой. Табличку с критериями для оценки качества и наши выводы ищите в конце.

Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 2.1K
Комментарии 8

История одной кампании Business Email Compromise

Блог компании BI.ZONE Информационная безопасность *

Мы фиксируем всплеск атак типа Business Email Compromise (BEC). BEC-атаки — не новое и не редкое явление, но эта волна привлекла наше внимание масштабом.


С июня к нам обращаются множество пострадавших компаний, и всех жертв объединяют схожие признаки компрометации.


В статье расскажем, как действуют злоумышленники в рамках этой BEC-кампании и можно ли защититься от них.


Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 2.2K
Комментарии 2

Greybox-фаззинг: level up. Как улучшали фаззеры

Блог компании BI.ZONE Информационная безопасность *


Автор: Иннокентий Сенновский


В предыдущей статье мы рассмотрели, какие вообще фаззеры бывают и как они работают. В этой мы увидим, какие улучшения внедрили разработчики в современные фаззеры, чтобы они стали еще более полезным инструментом.

Читать дальше
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 1.7K
Комментарии 2

Немного про современные технологии Greybox-фаззинга

Блог компании BI.ZONE Информационная безопасность *


Автор: Иннокентий Сенновский


Как найти баги, о которых вы и не догадывались, или что такое фаззинг


Все уже привыкли, что программу надо покрывать тестами, чтобы потом не было стыдно. Но вот проблема: разработчик может защититься только от багов, которые он способен предугадать. Да и тестировщик вряд ли сможет перебрать все варианты входных данных, которые приводят к ошибке.


Чтобы справиться с этой проблемой, придумали фаззеры — инструменты тестирования, которые сами пытаются найти баги в программе. В этой статье я рассмотрю, какие они вообще бывают (для C/C++, потому что баги в таких программах особенно болезненны), но сделаю упор на Greybox-фаззеры (почему, расскажу в статье).

Обожаю статьи, где много букв
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 3.1K
Комментарии 6

Taidoor: мультитул для хакера

Блог компании BI.ZONE Информационная безопасность *Криптография *


Автор: Иннокентий Сенновский


Taidoor — крайне эффективная вредоносная программа класса RAT (remote access trojan), предназначенная для использования без закрепления в системе. Модульная система, реализованная в Taidoor, отличается от многих других RAT гибкостью: операторы программы могут отправлять на зараженную систему только те модули, которые нужны для достижения целей конкретной атаки.


Чтобы затруднить обнаружение, Taidoor использует несколько разных методов: манипуляции с временными метками, удаление файлов с модулями, обфускацию строк, поиск антивируса на атакуемой машине и др.


Мы изучили функциональные возможности и алгоритмы работы Taidoor, а также ее загрузчиков, и хотим поделиться своими наблюдениями.

Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 4.3K
Комментарии 2

Охота на атаки MS Exchange. Часть 2 (CVE-2020-0688, CVE-2020-16875 и CVE-2021-24085)

Блог компании BI.ZONE Информационная безопасность *IT-компании

Автор статьи: Антон Медведев
Ревью статьи: Вадим Хрыков


Наша прошлая статья была посвящена различным методам обнаружения эксплуатации уязвимостей ProxyLogon. В этот раз мы поговорим о методах обнаружения других нашумевших уязвимостей на сервере MS Exchange, а именно CVE-2020-0688, CVE-2020-16875 и CVE-2021-24085.



Несмотря на то что эти уязвимости не такие свежие, как ProxyLogon, мы продолжаем обнаруживать следы их эксплуатации (в том числе успешной) у наших клиентов. А своевременное обнаружение попыток эксплуатации позволит минимизировать последствия атаки для организации или избежать их вовсе.

Читать дальше →
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 3.4K
Комментарии 0

От пентеста до АРТ-атаки: группа киберпреступников FIN7 маскирует свою малварь под инструментарий этичного хакера

Блог компании BI.ZONE Информационная безопасность *Реверс-инжиниринг *

Статья подготовлена командой BI.ZONE Cyber Threat Research


Мы не первый раз натыкаемся на киберпреступные группировки, которые прикидываются легальными организациями и маскируют свою малварь под инструменты для анализа защищенности. Сотрудники таких компаний могут даже не подозревать, что работают на злоумышленников и используют самый настоящий вредоносный пакет.


FIN7 (также именуемая как Carbanak и Navigator Group), одна из знаменитых АРТ-группировок, для разведки и закрепления на зараженных системах разработала Lizar — якобы инструмент для пентеста сетей Windows. Мы заинтересовались им и провели исследование, результатами которого поделимся в статье.


Раньше инструмент назывался Tirion, но дальше по тексту мы будем использовать только новое название Lizar

Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 4.4K
Комментарии 0

Охота на атаки MS Exchange. Часть 1. ProxyLogon (CVE-2021-26855, 26858, 27065, 26857)

Блог компании BI.ZONE Информационная безопасность *Системное администрирование *


Авторы статьи: Антон Медведев, Демьян Соколин, Вадим Хрыков


Microsoft Exchange — один из самых распространенных почтовых серверов, который используют сотни тысяч компаний по всему миру. Популярность и доступность из интернета делают его притягательной целью для злоумышленников.


С конца 2020 года мы наблюдаем резкий рост количества инцидентов, так или иначе связанных с компрометацией сервера MS Exchange и его различных компонентов, в частности OWA (Outlook Web Access). Учитывая 24-летнюю историю сервера MS Exchange, сложность его архитектуры, расположение на периметре и возросший к нему интерес со стороны исследователей по безопасности, можно предположить, что количество найденных уязвимостей в популярном почтовом сервере со временем будет только расти. Свидетельство тому — недавно обнаруженная исследователями из DEVCORE цепочка критических уязвимостей, известная под общим названием ProxyLogon.

Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 9.7K
Комментарии 2

Пока расследование не разлучит нас: малварь, которая может сидеть в сети компании годами

Блог компании BI.ZONE Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *

Недавно мы расследовали АРТ-атаку на одну российскую компанию и нашли много занятного софта. Сначала мы обнаружили продвинутый бэкдор PlugX, популярный у китайских группировок, АРТ-атаки которых обычно нацелены на похищение конфиденциальной информации, а не денег. Затем из скомпрометированной сети удалось вытащить несколько других схожих между собой бэкдоров (nccTrojan, dnsTrojan, dloTrojan) и даже общедоступных утилит.


Программы, используемые в этой преступной кампании, не отличаются сложностью, за исключением, может быть, PlugX. К тому же три из четырех вредоносов использовали при запуске давно известную технику DLL hijacking. Тем не менее, как показало наше исследование, даже при таких условиях злоумышленники могут годами оставаться в скомпрометированных сетях.


Мы решили изучить обнаруженный софт и поделиться своими наблюдениями.

Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 8.8K
Комментарии 3

К чему приводят уязвимости протокола DICOM

Блог компании BI.ZONE Информационная безопасность *Визуализация данных

Автор: Мария Недяк


Вы наверняка видели в медицинском сериале, как интерны бьются над рентгеновским снимком пациента, а потом приходит их наставник и ставит диагноз по едва заметному пятнышку. В реальности такими остроглазыми диагностами становятся модели машинного обучения, применяемые в технологии medical imaging. Благодаря таким штукам можно гораздо быстрее выявить болезнь, например, определить, являются ли клетки на снимках опухолевыми или неопухолевыми.


Но есть одна проблема — в медицинских технологиях используются DICOM-протоколы, безопасность которых оставляет желать лучшего. О них и пойдет речь в этой статье.


Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 4.3K
Комментарии 11

Через тернии к CVE: как зарегистрировать уязвимость, если у компании нет Bug Bounty

Блог компании BI.ZONE Информационная безопасность *Криптография *

Автор: Иннокентий Сенновский (rumata888)


Хочу поделиться опытом регистрации уязвимостей в продуктах компаний без Bug Bounty. У меня этот процесс занял целых два года, в течение которых я общался с вендорами, боролся с недопониманием и стучался в MITRE.


Проблемы мотивации и целесообразности поиска уязвимостей в таких продуктах оставим за рамками этой статьи. Обсудим, что делать, если баг уже обнаружен. Если вам не терпится сразу почитать советы, переходите к последней части.



Photo credit: https://www.deviantart.com/heroeswho

Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 2K
Комментарии 6

Пасхалка в APK-файлах: что такое Frosting

Блог компании BI.ZONE Информационная безопасность *Разработка под Android *Реверс-инжиниринг *


Автор: Константин Молодяков


Структура файла — увлекательный мир со своими историей, тайнами и собственным цирком уродов, где выступают костыльные решения. Если в ней покопаться, можно найти много интересного.


Я наткнулся на одну особенность APK-файлов — специальную подпись с особым блоком метаданных, Frosting. Она позволяет однозначно определить, распространялся ли файл через Google Play. Эта подпись будет полезна для антивирусных вендоров и песочниц при анализе вредоносов. Кроме того, она может помочь криминалистам при поиске источника файла.


Информации об этом практически нет. Удалось найти только раздел Security metadata in early 2018 в Android Developers Blog и утилиту Avast, которая позволяет проверить данную подпись. Я решил изучить эту штуку, проверить корректность предположений разработчиков Avast о содержании Frosting-блока и поделиться своими выводами.

Читать дальше →
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 3.5K
Комментарии 4

Охота на Zerologon

Блог компании BI.ZONE Информационная безопасность *


Авторы: Демьян Соколин (@_drd0c), Александр Большаков (@spacepatcher), Ильяс Игисинов (@ph7ntom), Хрыков Вадим (@BlackMatter23)


CVE-2020-1472, или Zerologon, уже получила звание одной из самых опасных уязвимостей, обнаруженных за последние годы. Она позволяет атакующему скомпрометировать учетную запись машинного аккаунта контроллера домена и получить доступ к содержимому всей базы Active Directory. Для эксплуатации достаточно наличия сетевой связности с контроллером домена организации.


Мы провели собственное исследование Zerologon и разработали различные методы обнаружения ее эксплуатации: по событиям журналов аудита Windows, по сетевому трафику и при помощи YARA-правил. В этой статье подробно остановимся на каждом из них.

Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 8.5K
Комментарии 0

Attack-defence для бизнеса: разбираем задания корпоративного тренинга Cyber Polygon

Блог компании BI.ZONE Информационная безопасность *CTF *

Типичный парадокс из жизни безопасника:

• инцидентов быть не должно (потому что инциденты = потери для бизнеса);

• но инцидентов должно быть много (потому что без опыта реагирования будет трудно сохранять квалификацию и оперативно отражать атаки).

Для выхода из этого порочного круга крупные компании заказывают услуги Red Team: нанимают сторонних специалистов, которые пытаются взломать компанию. Но, во-первых, это довольно дорого; во-вторых, развернуться здесь трудно: мало кто позволит всерьез ломать бизнес-критичные сервисы.

Мы решили попробовать другой подход — практические учения — и год назад впервые организовали бесплатный тренинг для корпоративных команд Cyber Polygon. В роли Red Team мы атаковали сразу нескольких команд-участниц, причем все происходило в специальной тренировочной инфраструктуре, которую не жалко.

В июле прошел Cyber Polygon 2.0. В нем участвовали уже 120 команд из 29 стран, а сценарии тренинга включали и защиту инфраструктуры от активной атаки (Defence), и реагирование и расследование инцидентов (Response).

В этом райтапе мы расскажем о заданиях сценария Defence: идеи для него мы черпали из опыта подготовки attack-defence CTF.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 1.3K
Комментарии 2

Самописная криптуха: vulnerable by design, или история одного CTF-таска

Блог компании BI.ZONE Информационная безопасность *Криптография *Математика *CTF *

Автор: Иннокентий Сенновский (rumata888)


Как заинтересовать студента скучным предметом? Придать учебе форму игры. Довольно давно кто-то придумал такую игру в области безопасности — Capture the Flag, или CTF. Так ленивым студентам было интереснее изучать, как реверсить программы, куда лучше вставить кавычки и почему проприетарное шифрование — это как с разбегу прыгнуть на грабли.


Студенты выросли, и теперь в этих «играх» участвуют и взрослые прожженные специалисты с детьми и ипотекой. Они многое успели повидать, поэтому сделать таск для CTF, чтобы «старики» не ныли, не самая простая задача.


А переборщишь с хардкором — и взвоют команды, у которых это непрофильная предметная область или первый серьезный CTF.


В статье я расскажу, как наша команда нашла баланс между «хм, нечто новенькое» и «это какая-то жесть», разрабатывая таск по крипте для финала CTFZone в этом году.


Финальный scoreboard CTFZone 2020


Финальный scoreboard CTFZone 2020

Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 2.4K
Комментарии 2

RDP: слабые места протокола и эксперимент с развертыванием ханипота

Блог компании BI.ZONE Информационная безопасность *Системное администрирование *Антивирусная защита *Серверное администрирование *
RDP — один из самых популярных протоколов для удаленного подключения к машинам Windows. Но при неправильной конфигурации он может стать ахиллесовой пятой любой инфраструктуры.



Читать дальше →
Всего голосов 7: ↑1 и ↓6 -5
Просмотры 14K
Комментарии 11

RATKing: новая кампания с троянами удаленного доступа

Блог компании BI.ZONE Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *
В конце мая мы обнаружили кампанию распространения ВПО класса Remote Access Trojan (RAT) — программ, которые позволяют злоумышленникам удаленно управлять зараженной системой.

Рассматриваемая нами группировка отличилась тем, что она не выбрала для заражения какое-то определенное семейство RAT. В атаках в рамках кампании были замечены сразу несколько троянов (все в широком доступе). Этой чертой группировка напомнила нам о крысином короле — мифическом животном, которое состоит из грызунов с переплетенными хвостами.


Оригинал взят из монографии К. Н. Россикова «Мыши и мышевидные грызуны, наиболее важные в хозяйственном отношении» (1908 г.)

В честь этого существа мы назвали рассматриваемую нами группировку RATKing. В этом посте мы расскажем подробно о том, как злоумышленники проводили атаку, какие инструменты они использовали, а также поделимся своими соображениями относительно атрибуции этой кампании.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 2.8K
Комментарии 0

Страх и ненависть в Лас-Вегасе, или История о том, как CTFZone стал квалифайером DEF CON CTF

Блог компании BI.ZONE Информационная безопасность *CTF *
Автор: Анастасия Позняк (@Poznyak_Metatsya)

Дисклеймер


Этот рассказ не о путешествиях по Неваде под Red Hot Chili Peppers — Californication, не о гигантских казино Лас-Вегаса или вечеринках в небоскребе Mandalay Bay. Это история о том, как мы стали частью DEF CON CTF — самых старинных и крупных соревнований по кибербезопасности, которые проходят каждый год в Лас-Вегасе. Но обо всем по порядку.


Читать дальше →
Рейтинг 0
Просмотры 928
Комментарии 0

PCB-бейдж, которого не будет, или как преодолеть все и проиграть на финише

Блог компании BI.ZONE Схемотехника *Производство и разработка электроники *Носимая электроника Электроника для начинающих
🔥 Технотекст 2020
Привет, Хабр! Мы живем в интересное время: дипфейки, торговые войны, политические игрища, Грета Тунберг, и если вам этого казалось мало, то получите-распишитесь за новинку — коронавирусную инфекцию COVID-19.

Распространение коронавируса повлияло и на нашу конференцию по практической кибербезопасности OFFZONE 2020. Ее пришлось перенести до лучших времен.

К сожалению, это значит, что текстолитовый бейдж, который мы разрабатывали с декабря, в текущем виде не состоится. Данная статья — своеобразная эпитафия его концепции. Под катом рассказываем, как мы боролись за эргономику, добывали компоненты при закрытых границах, расчехляли магию DIY против дефицита и какие обстоятельства оказались сильнее нас.


Читать дальше →
Всего голосов 31: ↑31 и ↓0 +31
Просмотры 8K
Комментарии 12
1

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Работает в
Зарегистрирован
Активность