Привет! Меня зовут Василий Жуковский, и я отвечаю за работу технической поддержки PT Network Attack Discovery (PT NAD) — системы поведенческого анализа трафика от Positive Technologies. Недавно коллеги из техпода PT Sandbox рассказали, какая работа проводится, пока вы ждете ответ на свое обращение. Вышло здорово, и я решил поддержать этот тренд. Сегодня расскажу, как мы работаем с обращениями и что «дарим» в дополнение к решению проблемы пользователя. За последние три года мы обработали более 3500 запросов, не считая вопросов в нашем телеграм-чате. Давайте рассмотрим пример одного такого обращения.

В прошлый раз мы рассказывали вам, что подтолкнуло нас к созданию автопилота для результативной кибербезопасности и как он влияет на метрики работы SOC. В этом материале мы погрузимся в технологии MaxPatrol O2, чтобы разобраться, как именно работает метапродукт.

Привет, на связи команда по расследованию инцидентов экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC). Вероятно, вы уже читали наши расследования здесь, на Хабре, а может быть, даже заглядывали к нам в блог. В последние два года число расследований у нашей команды выросло более чем вдвое, и в этот раз мы решили проанализировать 100+ последних своих проектов по расследованию, чтобы понять, как действуют злоумышленники и сколько в среднем по времени находятся в инфраструктуре компаний.

Всем привет! Если помните, в этом году Positive Hack Days 12 предстал перед нами в новом формате: помимо традиционной закрытой зоны появилось доступное для всех публичное пространство — кибергород, где посетители узнали, как не стать жертвами мошенников на маркетплейсах, а также об особенностях ChatGPT, выборе безопасного VPN и других аспектах ИТ и ИБ. Неизменной частью киберфестиваля остались его конкурсы. Один из них — конкурс по поиску уязвимостей в онлайн-банке. Год назад мы захотели попробовать новый формат в виде Payment Village, но в этот раз решили вернуться к истокам — конкурсу $NATCH, применив новую концепцию! Белым хакерам мы предложили испытать на прочность созданную для конкурса банковскую экосистему (нет, последнее слово не оговорка, но об этом поговорим позже). Специалисты по информационной безопасности искали банковские (и не только) уязвимости в предоставленной системе и сдавали отчеты через багбаунти-платформу, затем организаторы оценивали найденные уязвимости и присваивали им соответствующий уровень опасности — мы хотели, чтобы участники почувствовали себя настоящими исследователями безопасности.

Под катом наш подробный рассказ о том, что из этого вышло, какие баги мы заложили в онлайн-банк в этом году, а какие были рождены нашими кривыми руками.

Последние несколько лет специалисты нашего экспертного центра безопасности (PT Expert Security Center, PT ESC) регулярно фиксируют фишинговые рассылки вредоносных файлов, вложенных в архив, — их запуск приводит к загрузке модуля CobInt. Это ВПО — один из основных инструментов киберпреступной группы Cobalt. Ранее не фиксировалось использование этого модуля другими группировками. Вредоносные файлы применялись в атаках на российские компании из сфер энергетики, образования и телекоммуникаций — мы обнаружили это в ходе реагирования на инциденты ИБ в 2023 году. Предполагаем, что на территории России не менее 10 потенциальных жертв.

Мы следим за Cobalt с 2016 года. Ранее группа атаковала кредитно-финансовые организации с целью кражи денежных средств, а в последние несколько лет она сместила акцент на кибершпионаж. С 2020 года Cobalt не была замечена в громких кампаниях, но обнаруженные нами факты подтверждают, что группа или некоторые из ее участников до сих пор активны, только используют они новые инструменты.

В статье мы кратко рассмотрим две цепочки атак, а также расскажем про руткит Facefish, используемый для компрометации узлов под управлением ОС Linux

В октябре прошла 85-я встреча сообщества разработчиков MoscowPython, которая была частично посвящена кибербезопасности. Почему? Все просто: эксперты и зрители собрались в недавно открывшемся кибербез-хабе «Кибердом». На встрече прозвучали четыре доклада, авторы двух из них — сотрудники нашей компании, при поддержке которой проходило событие.

Если пропустили прямую трансляцию и хотите узнать о Python больше — этот материал для вас. Под катом собрали все самое интересное с митапа.

Друзья! На связи Роман Резников и исследовательская группа департамента аналитики ИБ Positive Technologies. Продолжаем делиться с вами информацией об актуальных киберугрозах. Сколько бы я ни изучал мир информационной безопасности, не перестаю удивляться. Не стоит на месте научная хакерская мысль. И вроде бы только начинаешь привыкать к текущим тенденциям, как злоумышленники придумывают что-то еще. О новых (и старых, но работающих!) мошеннических схемах, приемах кибервымогателей и шантажистов читайте в полной версии нашего свежего исследования, а здесь остановимся на жертвах и последствиях кибератак III квартала. Итак, погнали.

На самом деле, эта статья должна была выйти еще полтора года назад, но в какой-то момент мне стало не до нее. Зато удалось проверить, насколько правильны мои суждения. Да еще и повод появился: совсем недавно один за одним исследователями безопасности были взломаны сразу два спутника на орбите. К счастью, эти взломы были запланированы и полностью контролировались. 

За пределами «летающих полигонов» взломов пока не происходило, но я убежден, что люди в черных головных уборах могут начать угонять спутники уже очень скоро. Могу сказать даже без особых преувеличений: человечество оказалось на пороге космического пиратства. Но не того, когда люди в скафандрах плазменными резаками вскрывают шлюз космического корабля, а такого, когда злоумышленник, покачиваясь в гамаке под пальмой, в два клика заставляет спутник превратиться в самый яркий метеор на небосводе…

По результатам пентестов, проведенных нашими специалистами в 2021–2022 годах, 96% компаний оказались не защищены от проникновения в локальную сеть, причем в 8 из 10 организаций мог бы проникнуть даже низкоквалифицированный злоумышленник. Среди протестированных предприятий каждое пятое — из отрасли промышленности, и инциденты на них гораздо серьезнее и страшнее, чем взлом кассового аппарата продуктового магазина. Остановка турбины АЭС грозит экологической катастрофой, авария на металлургическом заводе практически всегда приводит к человеческим жертвам. А что будет, если хакеры атакуют аэропорт?

Мы проверили и узнали — ничего хорошего. На кибербитве Standoff команда красных взломала SCADA-систему аэропорта виртуального Государства F. Более того, им удалось получить контроль над телетрапом.

Сегодня мы пошагово разберем действия red team, расскажем, как модели машинного обучения могли бы помочь их поймать, и покажем, какими методами можно обнаружить атаку и выявить ее источник.

Друзья, и снова привет. Меня зовут Алексей Потапов, я представляю отдел обнаружения атак экспертного центра безопасности Positive Technologies (PT Expert Security Center). Продолжу историю о том, как наши знания обогащают продукты Positive Technologies, чтобы они обеспечивали конечную цель — результативную кибербезопасность. Ранее мы уже рассказывали вам о нашем подходе к обнаружению атак в SIEM-системах и, не побоюсь этого слова, киллер-фиче — механизме построения цепочек запускаемых процессов на основе нормализованных событий.

В этот раз поговорим о том, как в продукты для кибербезопасности проникают технологии machine learning (ML, машинное обучение) — на примере использования ML-модуля для поведенческого анализа в MaxPatrol SIEM. О некоторых технических аспектах работы отдельно взятых моделей мы недавно рассказали на Positive Hack Days — запись можно посмотреть тут (также есть в формате статьи). Еще больше подробностей читайте в другом материале на Хабре.

В конце лета 2023 года наш SOC с помощью системы мониторинга событий ИБ MaxPatrol SIEM зафиксировал аномальную сетевую активность. После этого привлекли нас, команду по расследованию инцидентов (PT CSIRT). Как выяснилось, пользователь одной из российских компаний был скомпрометирован достаточно простым, но неизвестным ранее вредоносным ПО. Мы не обнаружили ни следов фишинга, ни взлома внешнего контура, ни применение других техник — пострадавший всего лишь установил программу, скачанную через торрент.

Вредоносная программа собирала информацию о компьютере жертвы, устанавливала RMS (программу для удаленного управления) и майнер XMRig, архивировала содержимое пользовательской папки Телеграма (tdata) — и это лишь наиболее деструктивные действия. ВПО отправляло собранную информацию в телеграм-бот, который выступал в роли контрольного сервера.

Нашей команде удалось установить более 250 000 зараженных устройств в 164 странах (большинство жертв — обычные пользователи, которые скачивают нелегальные программы с сайтов на свои домашние компьютеры) и определить вероятного автора вредоноса, который мы назвали autoit stealer.

В начале 2023 года спецслужбы активно взялись за дарквеб: арестовали владельца крупного теневого форума Breached, захватили серверы группировки вымогателей Hive и перехватили контроль над популярным у мошенников мессенджером Exclu. Но этих мер оказалось мало, чтобы очистить мир от киберпреступности. Мы, аналитики Positive Technologies, прошерстили другую сторону интернета и выяснили, что сейчас интересно злоумышленникам. Если коротко — Ближний Восток. Хакеры ежедневно предлагают купить доступы к местным компаниям, продают гигантские базы данных и не стесняясь показывают, насколько этот регион беззащитен даже перед неопытными мошенниками.

Подробности нашего ралли по кибербарханам ищите в полном отчете, а под катом — немного спойлеров.

Standoff 10 прошел насыщенно: юбилейная кибербитва ознаменовалась масштабными учениями атакующих (red team) и защитников (blue team), актуальными докладами и дискуссиями по вопросам кибербезопасности. Мероприятие стало знаковым и для нашей команды, отвечающей в компании за мониторинг и реагирование, — SOC PT Expert Security Center.  Во-первых, на битве компания объявила о старте первой в России багбаунти-программы на реализацию недопустимого события — хищения денежных средств со счетов Positive Technologies. Ее особенность в том, что багхантеры атакуют нашу действующую инфраструктуру. До сих пор провести многоэтапную атаку вплоть до неприемлемого для нас сценария не удалось ни одному белому хакеру, поэтому компания увеличила размер вознаграждения втрое — до 30 млн рублей.

Во-вторых, мы с коллегами из SOC приняли участие в митапе Standoff Talks, в рамках которого я рассказала о распространенных ошибках атакующих, которые помогают нам быстро и эффективно их обнаруживать. Все это могло предвещать определенное изменение атакующего воздействия на нашу инфраструктуру — как количественное, так и качественное. 

И действительно, с первого дня запуска багбаунти-программы мы фиксировали всплеск интереса к нашим ресурсам, применение нестандартных техник и методов. Совпадение или нет, но стали встречаться и предложенные нами на Standoff Talks подходы к байпасу SOC 😊.

На волне впечатлений от разнообразной активности атакующих я решила, что самое время написать статью по мотивам моего доклада. Какие опрометчивые действия чаще всего совершают редтимеры на киберучениях? На какие маркеры всегда обращает внимание SOC? И как стать чуть менее заметными для синих команд? Обо всем этом читайте под катом!

Некоторое время назад мы стали знакомить вас с нашими аналитическими исследованиями. Мы уже давно изучаем актуальные киберугрозы в России и мире и регулярно делимся важными для рынка цифрами и фактами, анализируем тренды и даже предсказываем будущее кибербезопасности. С недавних пор мы стали делать подробные исследования по странам Азии и Африки. (Спокойствие! Актуальные угрозы мира никуда не денутся из нашего поля зрения.) И, поверьте аналитику, там есть на что посмотреть: уникальные тренды кибербезопасности, специфика поведения атакующих, техники и тактики атак, особенный портрет жертв. Мы решили рассказывать вам об этом.

Для начала держите подборку самых интересных атак на Ближнем Востоке за последние полтора года. 🧭Идем на Восток!

В мае этого года мы запустили в опытно-промышленную эксплуатацию MaxPatrol O2 — наш автопилот для результативной кибербезопасности. В этом материале расскажем, что подтолкнуло нас к созданию этого метапродукта, как он влияет на метрики SOC и какие вызовы мы ставим перед ним в этом и следующем году.

В 2022 году одна промышленная компания пригласила нас, специалистов PT Expert Security Center, расследовать киберинцидент. В ее скомпрометированной инфраструктуре мы обнаружили образцы не встречавшегося ранее вредоносного ПО. Дальнейший анализ показал, что это сложный модульный бэкдор с хорошо проработанными архитектурой и транспортной системой. В его имени компиляции есть строка «MATA», а еще он может долго и незаметно работать в захваченных системах, поэтому мы дали ему имя MataDoor.

Стоящая за его созданием новая киберпреступная группировка, которую мы назвали Dark River, целенаправленно атакует промышленные предприятия. На данный момент известно всего четыре случая применения MataDoor в атаках, причем все жертвы этого опасного вредоноса связаны с оборонкой. По нашим данным, бэкдор нацелен на шпионаж и хищение секретов российского ОПК.

Подробнее о способах его доставки и устройстве, а также о том, как MataDoor внедряется в инфосистемы и действует, рассказываем в этом посте.

Я не встречал людей, которые любят делать одну и ту же рутинную работу. Большинству из нас хочется автоматизировать подобную деятельность, чтобы скучные и повторяющиеся операции выполняла бездушная машина. В центрах мониторинга информационной безопасности немало таких задач, особенно на первой линии. В этой статье я, Константин Грищенко, руководитель отдела мониторинга безопасности в Positive Technologies и участник открытого сообщества Security Experts Community, расскажу о том, как мы в отделе упрощаем свою работу с помощью инструмента SiemMonkey. Любой желающий может скачать его и установить в браузере.

Киберпреступники постоянно совершенствуют методы атак, используя среди прочего знания о принципах работы систем защиты. Например, появилось целое направление техник обхода песочниц: такие методы позволяют определять, что вредоносное ПО выполняется в контролируемой виртуальной среде, и, исходя из этого, менять его поведение или завершать работу. К наиболее популярным техникам из указанной категории можно отнести проверки:

• бита гипервизора в регистре ECX инструкции CPUID(1);

• имени гипервизора в результате выполнения инструкции CPUID(0x40000000);

• имени текущего пользователя или компьютера по списку;

• MAC-адресов сетевых адаптеров, присутствующих в системе;

• количества ядер процессора, общего объема оперативной памяти, размера жесткого диска, разрешения экрана;

• наличия файлов, путей реестра, сервисов, драйверов и процессов, специфичных для виртуальных сред;

• времени, прошедшего с момента последнего запуска системы.

Детальнее о техниках обхода песочниц в таргетированных атаках — в другой нашей статье. А сегодня поговорим о более продвинутых временных атаках, использующих особенности работы гипервизора для детектирования виртуального окружения.

Привет! На связи Николай Лыфенко и Артем Проничев, мы занимаемся разработкой и внедрением моделей машинного обучения в продукты Positive Technologies. Сегодня расскажем, как ML помогает автоматизировать действия специалистов по безопасности и детектировать кибератаки. Сначала разберем теоретическую основу, а после подкрепим ее кейсами из нашей работы.

На кибербитве Standoff 11 в виртуальном государстве F впервые представили атомную промышленность. Задачей атакующих (red team) было реализовать недопустимые события на виртуальной АЭС, а защитников (blue team) — расследовать атаку с помощью продуктов Positive Technologies. Как все прошло? Заглядываем в ретроспективу событий, сохранившихся в SOC, за который на Standoff отвечал наш соорганизатор Innostage. Атаку шаг за шагом распутывает Данил Лобачев, специалист группы обнаружения атак на конечных устройствах экспертного центра безопасности Positive Technologies (PT Expert Security Center).

В атомной промышленности мы выделили основные отраслевые элементы и этапы — от добычи урановой руды до захоронения отходов. По сценарию кибербитвы для атак доступны АЭС (включая электроподстанцию) и завод по обогащению урана.