Как стать автором
Обновить
51
Карма
3
Рейтинг

Пользователь

От поиска до блокировки: какие инструменты мы используем для борьбы с фишингом

Время прочтения 9 мин
Просмотры 1.4K
Блог компании BI.ZONE Информационная безопасность *

Фишинг в первую очередь ассоциируется с электронной почтой. Но, чтобы похитить данные, мошенники часто подделывают сайты известных брендов. Компании узнают о проблеме, когда клиенты начинают жаловаться, что у них украли деньги, а услугу не предоставили. Чаще всего страдает диджитал-сфера: злоумышленники могут скопировать сайты банка, интернет-магазина, сервиса доставки или покупки билетов. 

Чтобы не потерять деньги, клиентов и репутацию, нужно мониторить мошеннические сайты в интернете. Все найти не получится, но внушительную часть фишинга можно заблокировать заранее. Мы в BI.ZONE как раз этим занимаемся, так что решили поделиться, как у нас устроен процесс. Если вы хотели знать, как ищут и блокируют фишинг, мы вам покажем.

Показываем и рассказываем
Всего голосов 8: ↑7 и ↓1 +6
Комментарии 3

Чем хардкорнее проекты, тем веселее афтепати: что происходит на хакатоне GO.ZONE

Время прочтения 6 мин
Просмотры 1.4K
Блог компании BI.ZONE Информационная безопасность *Хакатоны

У нас в BI.ZONE очень любят прогать, тусоваться и выпивать вместе. А еще наши крутые эксперты могут сделать что-то полезное для коллег, клиентов или общества — было бы время. Чтобы совместить приятное с полезным, раз в квартал внутри компании проходит GO.ZONE. 

Что это и зачем?
Всего голосов 9: ↑7 и ↓2 +5
Комментарии 1

Микроаудит за 10 тысяч долларов: новая волна атак на MS Exchange в РФ

Время прочтения 8 мин
Просмотры 3.7K
Блог компании BI.ZONE Информационная безопасность *

Последние несколько месяцев российские компании становятся жертвами злоумышленников, вымогающих деньги за непубликацию конфиденциальных данных под видом аудита безопасности. На деле мошенники проверяют лишь наличие одной уязвимости в Microsoft Exchange.

С августа 2022 года мы фиксируем волну атак на десятки российских компаний малого и среднего бизнеса. Злоумышленники пишут жертвам с предложением заплатить деньги за «аудит безопасности», а в противном случае грозят опубликовать конфиденциальные данные. Метод проникновения во всех случаях — SSRF-уязвимость из цепочки ProxyShell. Рассказываем об общем механизме атак и рекомендуем базовые меры защиты от угрозы.

Читать
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 3

Бумажек — меньше, денег — больше: почему багхантеру полезно быть самозанятым?

Время прочтения 4 мин
Просмотры 1.1K
Блог компании BI.ZONE Информационная безопасность *Фриланс

Ожидание багхантера: компании повально выпускают программы bug bounty — только успевай чекать скоуп, находить баги и следить за СМС о поступлении выплат.

Реальность: выход компании на bug bounty пока что занимает много времени, а вознаграждения получить сложно — сплошные бумажки, ожидание ответа неделями и порезанные налогами выплаты.

Но есть вариант, как приблизиться к ожидаемому. В августе мы зарелизили собственную платформу для поиска уязвимостей BI.ZONE Bug Bounty. Вы уже можете искать баги в VK, еще несколько компаний разместят свои программы совсем скоро.

Поговорим о том, как автоматизация выплат и самозанятость позволят получать вознаграждения быстро и с максимальной выгодой. 

Читать
Всего голосов 6: ↑5 и ↓1 +4
Комментарии 0

Как попасть на OFFZONE бесплатно, чтобы побороться за One Day Offer в BI.ZONE

Время прочтения 1 мин
Просмотры 1.3K
Блог компании BI.ZONE Карьера в IT-индустрии

Конференция по практической кибербезопасности OFFZONE стартует 25 августа! В программе: доклады крутых технарей, много фана и живого общения в тусовке экспертов.

В этом году пройдет One Day Offer, где у всех участников будет шанс попасть в команду BI.ZONE за один день без мучительных собеседований. Просто приходите на стенд компании 25 или 26 августа — вас ждут хардкор и грамотный техскрининг. Ссылку на вакансии BI.ZONE ищите на сайте.

Читать
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 2

Применение TI в SIEM на примере QRadar

Время прочтения 13 мин
Просмотры 2.1K
Блог компании BI.ZONE Информационная безопасность *

Эта статья — продолжение цикла про поиск и применение TI-информации. В нем мы делимся нашим опытом и надеемся, что он поможет сэкономить время на самостоятельное изучение. Мы расскажем про то, как загрузить и применить индикаторы компрометации в SIEM на примере IBM QRadar. IBM ушла с российского рынка в 2022 году, но продукт все еще распространен, и вряд ли ситуация поменяется в ближайшее время.

Предыдущая статья.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Комментарии 0

Очумелые ручки на OFFZONE 2022: как прокачать бейдж конференции

Время прочтения 6 мин
Просмотры 2K
Блог компании BI.ZONE Конференции Схемотехника *Носимая электроника Электроника для начинающих
Туториал

Мы возвращаемся с хрониками OFFZONE :)

В 2022-м, как и всегда, бейджи участников будут запоминающимися. Обещаем классный дизайн и много интерактива.

Кратко напомним эволюцию бейджа OFFZONE. На последней конференции мы сделали его в виде интерактивной печатной платы в форме дискеты 3,5 дюйма. Плату можно было тюнинговать: участники напаивали на нее дисплей, ИК-приемник и другие интересные штуки прямо на мероприятии. Подробнее рассказывали в посте.

А с 2020-го OFFZONE приходилось откладывать — так что замысловатый бейдж-2020 так и не увидел свет 😔

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 0

Уязвимости в системе лицензирования J-Link, или Почему так важно исследовать безопасность устройств

Время прочтения 10 мин
Просмотры 6.7K
Блог компании BI.ZONE Информационная безопасность *Реверс-инжиниринг *Схемотехника *Производство и разработка электроники *

Бреши в устройствах не всегда можно закрыть, в отличие от уязвимостей в софте. Однако это не повод для фрустрации! Исследовать безопасность IoT, телефонов, планшетов, блоков управления и т. д. все равно нужно. По крайней мере, можно предупредить пользователей об уязвимостях, а также устранить недостатки в новых версиях продуктов.

Мы с командой покопались в одном из самых популярных отладчиков для микроконтроллеров — J-Link. В результате нашли уязвимости в его системе лицензирования, которые позволяют за несколько секунд превратить бюджетную версию устройства в дорогую. 

Читать далее
Всего голосов 13: ↑13 и ↓0 +13
Комментарии 30

Помощь в борьбе с Log4Shell: сделали сканер для Log4j

Время прочтения 2 мин
Просмотры 13K
Блог компании BI.ZONE Информационная безопасность *
image

Log4Shell — это критическая уязвимость в библиотеке логирования Log4j, которую используют многие веб-приложения на Java.

Чтобы защититься от атак с использованием Log4Shell, надо знать, какие приложения уязвимы — а это трудно выяснить. Мы упростили задачу: разработали и выложили на GitHub специальный сканер.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 10

Качественные фиды на примере оценки OSINT-источников

Время прочтения 11 мин
Просмотры 3.5K
Блог компании BI.ZONE Информационная безопасность *


Мы с командой постоянно используем в работе фиды с данными о киберугрозах. И мы не понаслышке знаем о таких проблемах, как недостаточное количество информации или ее дублирование в разных источниках, а также слишком большое число ложных срабатываний. Чтобы облегчить себе жизнь, мы решили подумать, как оценивать источники и выбирать из них наиболее качественные.


В статье я расскажу об OSINT-фидах, которые мы сравнивали с нашими и партнерскими данными. Всего на поиск и анализ источников, написание скриптов для загрузки данных, создание методики, тестирование данных, оценку по методике ушло около двух-трех месяцев. В результате исследования нам удалось найти несколько фишек, которые делают поиск данных более приятной процедурой. Табличку с критериями для оценки качества и наши выводы ищите в конце.

Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 8

История одной кампании Business Email Compromise

Время прочтения 8 мин
Просмотры 2.9K
Блог компании BI.ZONE Информационная безопасность *

Мы фиксируем всплеск атак типа Business Email Compromise (BEC). BEC-атаки — не новое и не редкое явление, но эта волна привлекла наше внимание масштабом.


С июня к нам обращаются множество пострадавших компаний, и всех жертв объединяют схожие признаки компрометации.


В статье расскажем, как действуют злоумышленники в рамках этой BEC-кампании и можно ли защититься от них.


Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Комментарии 2

Greybox-фаззинг: level up. Как улучшали фаззеры

Время прочтения 13 мин
Просмотры 2.3K
Блог компании BI.ZONE Информационная безопасность *


Автор: Иннокентий Сенновский


В предыдущей статье мы рассмотрели, какие вообще фаззеры бывают и как они работают. В этой мы увидим, какие улучшения внедрили разработчики в современные фаззеры, чтобы они стали еще более полезным инструментом.

Читать дальше
Всего голосов 7: ↑7 и ↓0 +7
Комментарии 2

Немного про современные технологии Greybox-фаззинга

Время прочтения 20 мин
Просмотры 4.6K
Блог компании BI.ZONE Информационная безопасность *


Автор: Иннокентий Сенновский


Как найти баги, о которых вы и не догадывались, или что такое фаззинг


Все уже привыкли, что программу надо покрывать тестами, чтобы потом не было стыдно. Но вот проблема: разработчик может защититься только от багов, которые он способен предугадать. Да и тестировщик вряд ли сможет перебрать все варианты входных данных, которые приводят к ошибке.


Чтобы справиться с этой проблемой, придумали фаззеры — инструменты тестирования, которые сами пытаются найти баги в программе. В этой статье я рассмотрю, какие они вообще бывают (для C/C++, потому что баги в таких программах особенно болезненны), но сделаю упор на Greybox-фаззеры (почему, расскажу в статье).

Обожаю статьи, где много букв
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 6

Taidoor: мультитул для хакера

Время прочтения 16 мин
Просмотры 4.9K
Блог компании BI.ZONE Информационная безопасность *Криптография *


Автор: Иннокентий Сенновский


Taidoor — крайне эффективная вредоносная программа класса RAT (remote access trojan), предназначенная для использования без закрепления в системе. Модульная система, реализованная в Taidoor, отличается от многих других RAT гибкостью: операторы программы могут отправлять на зараженную систему только те модули, которые нужны для достижения целей конкретной атаки.


Чтобы затруднить обнаружение, Taidoor использует несколько разных методов: манипуляции с временными метками, удаление файлов с модулями, обфускацию строк, поиск антивируса на атакуемой машине и др.


Мы изучили функциональные возможности и алгоритмы работы Taidoor, а также ее загрузчиков, и хотим поделиться своими наблюдениями.

Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 2

Охота на атаки MS Exchange. Часть 2 (CVE-2020-0688, CVE-2020-16875 и CVE-2021-24085)

Время прочтения 11 мин
Просмотры 4.9K
Блог компании BI.ZONE Информационная безопасность *IT-компании

Автор статьи: Антон Медведев
Ревью статьи: Вадим Хрыков


Наша прошлая статья была посвящена различным методам обнаружения эксплуатации уязвимостей ProxyLogon. В этот раз мы поговорим о методах обнаружения других нашумевших уязвимостей на сервере MS Exchange, а именно CVE-2020-0688, CVE-2020-16875 и CVE-2021-24085.



Несмотря на то что эти уязвимости не такие свежие, как ProxyLogon, мы продолжаем обнаруживать следы их эксплуатации (в том числе успешной) у наших клиентов. А своевременное обнаружение попыток эксплуатации позволит минимизировать последствия атаки для организации или избежать их вовсе.

Читать дальше →
Всего голосов 1: ↑1 и ↓0 +1
Комментарии 0

От пентеста до АРТ-атаки: группа киберпреступников FIN7 маскирует свою малварь под инструментарий этичного хакера

Время прочтения 22 мин
Просмотры 5K
Блог компании BI.ZONE Информационная безопасность *Реверс-инжиниринг *

Статья подготовлена командой BI.ZONE Cyber Threat Research


Мы не первый раз натыкаемся на киберпреступные группировки, которые прикидываются легальными организациями и маскируют свою малварь под инструменты для анализа защищенности. Сотрудники таких компаний могут даже не подозревать, что работают на злоумышленников и используют самый настоящий вредоносный пакет.


FIN7 (также именуемая как Carbanak и Navigator Group), одна из знаменитых АРТ-группировок, для разведки и закрепления на зараженных системах разработала Lizar — якобы инструмент для пентеста сетей Windows. Мы заинтересовались им и провели исследование, результатами которого поделимся в статье.


Раньше инструмент назывался Tirion, но дальше по тексту мы будем использовать только новое название Lizar

Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 0

Охота на атаки MS Exchange. Часть 1. ProxyLogon (CVE-2021-26855, 26858, 27065, 26857)

Время прочтения 15 мин
Просмотры 16K
Блог компании BI.ZONE Информационная безопасность *Системное администрирование *


Авторы статьи: Антон Медведев, Демьян Соколин, Вадим Хрыков


Microsoft Exchange — один из самых распространенных почтовых серверов, который используют сотни тысяч компаний по всему миру. Популярность и доступность из интернета делают его притягательной целью для злоумышленников.


С конца 2020 года мы наблюдаем резкий рост количества инцидентов, так или иначе связанных с компрометацией сервера MS Exchange и его различных компонентов, в частности OWA (Outlook Web Access). Учитывая 24-летнюю историю сервера MS Exchange, сложность его архитектуры, расположение на периметре и возросший к нему интерес со стороны исследователей по безопасности, можно предположить, что количество найденных уязвимостей в популярном почтовом сервере со временем будет только расти. Свидетельство тому — недавно обнаруженная исследователями из DEVCORE цепочка критических уязвимостей, известная под общим названием ProxyLogon.

Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 2

Пока расследование не разлучит нас: малварь, которая может сидеть в сети компании годами

Время прочтения 18 мин
Просмотры 11K
Блог компании BI.ZONE Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *

Недавно мы расследовали АРТ-атаку на одну российскую компанию и нашли много занятного софта. Сначала мы обнаружили продвинутый бэкдор PlugX, популярный у китайских группировок, АРТ-атаки которых обычно нацелены на похищение конфиденциальной информации, а не денег. Затем из скомпрометированной сети удалось вытащить несколько других схожих между собой бэкдоров (nccTrojan, dnsTrojan, dloTrojan) и даже общедоступных утилит.


Программы, используемые в этой преступной кампании, не отличаются сложностью, за исключением, может быть, PlugX. К тому же три из четырех вредоносов использовали при запуске давно известную технику DLL hijacking. Тем не менее, как показало наше исследование, даже при таких условиях злоумышленники могут годами оставаться в скомпрометированных сетях.


Мы решили изучить обнаруженный софт и поделиться своими наблюдениями.

Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 3

К чему приводят уязвимости протокола DICOM

Время прочтения 7 мин
Просмотры 5.9K
Блог компании BI.ZONE Информационная безопасность *Визуализация данных *

Автор: Мария Недяк


Вы наверняка видели в медицинском сериале, как интерны бьются над рентгеновским снимком пациента, а потом приходит их наставник и ставит диагноз по едва заметному пятнышку. В реальности такими остроглазыми диагностами становятся модели машинного обучения, применяемые в технологии medical imaging. Благодаря таким штукам можно гораздо быстрее выявить болезнь, например, определить, являются ли клетки на снимках опухолевыми или неопухолевыми.


Но есть одна проблема — в медицинских технологиях используются DICOM-протоколы, безопасность которых оставляет желать лучшего. О них и пойдет речь в этой статье.


Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 11

Через тернии к CVE: как зарегистрировать уязвимость, если у компании нет Bug Bounty

Время прочтения 11 мин
Просмотры 2.5K
Блог компании BI.ZONE Информационная безопасность *Криптография *

Автор: Иннокентий Сенновский (rumata888)


Хочу поделиться опытом регистрации уязвимостей в продуктах компаний без Bug Bounty. У меня этот процесс занял целых два года, в течение которых я общался с вендорами, боролся с недопониманием и стучался в MITRE.


Проблемы мотивации и целесообразности поиска уязвимостей в таких продуктах оставим за рамками этой статьи. Обсудим, что делать, если баг уже обнаружен. Если вам не терпится сразу почитать советы, переходите к последней части.



Photo credit: https://www.deviantart.com/heroeswho

Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 6

Информация

В рейтинге
773-й
Откуда
Москва, Москва и Московская обл., Россия
Работает в
Зарегистрирован
Активность