Порвали два трояна
Про ИБ в бизнесе, промышленности и многом другом 💼 Главный канал Kaspersky Daily @kasperskylab_ru Связь @KasperskyCrew
Mostrar más5 605
Suscriptores
-724 horas
-337 días
-3530 días
Distribuciones de tiempo de publicación
Carga de datos en curso...
Find out who reads your channel
This graph will show you who besides your subscribers reads your channel and learn about other sources of traffic.
Análisis de publicación
| Mensajes | Vistas | Acciones | Ver dinámicas |
01 Media files | 696 | 3 | Loading... |
02 Media files | 697 | 3 | Loading... |
03 🔎 Трек SOC на PHDays 2 оказался весьма насыщенным!
Как злоумышленники пытаются избежать детектирования и как SOC их всё же может детектировать, рассказали Владислав Бурцев и Николай Сабельфилд, а Глеб Иванов очень практично разобрал, какие задачи SOC непосильны машинному обучению, а для каких ИИ можно приспособить (без боли и сожалений!) уже сегодня.
Небольшие тизеры из докладов How to SOC like a legend и Восстание машин — в кружочках! ⬇️⬇️
#видео @П2Т | 691 | 2 | Loading... |
04 #️⃣🔠Что такое credential stuffing
Сегодня в рубрике #Азбука_ИБ объясняем, как работает одна из самых популярных кибератак, эффективная при взломе и личных, и корпоративных аккаунтов. Credential stuffing (подстановка учётных данных) — это подбор пароля с применением баз, ранее собранных из различных утечек. Атака основана на том, что люди часто используют одинаковые пароли, поэтому ранее взломанный пароль запросто может подойти к другим сервисам, применяемым жертвой.
По имеющейся статистике, до трети попыток входа в любые доступные из Интернета системы приходится на атаки credential stuffing. Противостоять этой угрозе нужно как самим сотрудникам, так и ИБ-командам. Для этого важно не применять простые пароли, а также не использовать один и тот же пароль в разных сервисах. Увы, это правило нарушается систематически. Как можно улучшить ситуация — читайте на блоге!
Первый шаг в борьбе сделать просто — поделитесь этим постом с коллегами.
#Азбука_ИБ #советы #пароли @П2Т | 762 | 7 | Loading... |
05 Media files | 823 | 2 | Loading... |
06 Media files | 802 | 2 | Loading... |
07 😊 Начался киберфестиваль PHDays 2, вернее его профессиональная часть.
Посетителям приходится выбирать, какие треки и доклады посетить, потому что тем много и охватить всё невозможно.
Тем, кто интересуется реагированием на инциденты, проблематикой SOC, мониторингом даркнета и реалиями корпоративной ИБ, рекомендуем не пропускать доклады наших экспертов — они подготовили много нового!
Например сегодня Сергей Голованов рассказал о типичных ошибках, допускаемых во время IR, а Георгий Кигурадзе поделился историей нахождения 24 (!) уязвимостей в популярном устройстве биометрической аутентификации. Кстати, фрагменты из этих докладов — в кружочках ниже ⬇️
#события @П2Т | 762 | 2 | Loading... |
08 💻 Новый инструмент банд ransomware — Bitlocker
Исследователи Kaspersky GERT рассказали о новой кибератаке, в которой для шифрования дисков жертв используется родной инструмент защиты Windows, Bitlocker.
Вредоносное ПО ShrinkLocker реализовано в виде сложного сценария VBscript, который уменьшает разделы диска компьютера на 100 Мб, делает из свободного места загрузочный раздел, а для фиксированных дисков активирует защиту Bitlocker. После этого удаляются все резервные инструменты восстановления ключа, сам ключ отправляется на сервер злоумышленников при помощи одного POST-запроса через туннель Cloudflare, а компьютер перезагружается, оставляя пользователя наедине с экраном ввода пароля Bitlocker.
Традиционную вымогательскую записку в этом сценарии оставить негде, поэтому метки всех дисков системы изменяются на контактный email злоумышленников.
Скрипт способен работать со всеми версиями Windows, начиная с 7 и Server 2008.
Советы по предотвращению подобных LOTL-атак ransomware и детальный разбор скрипта читайте на securelist.
#новости #ransomware @П2Т | 802 | 17 | Loading... |
09 📧 Как защищать почту в 2024 году
Эволюция фишинга не останавливается ни на день, поэтому и для массовых, и тем более для таргетированных атак сегодня применяются очень изощрённые методики доставки вредоносного контента.
Более того, некоторые группы применяют корпоративную почту для эксфильтрации данных, да и утечки информации по e-mail, возникшие из-за небрежности сотрудников, тоже случаются.
Вместе с повсеместным переходом на отечественные ОС и офисные решения,необходимо уделить особое внимание защите самого ценного – вашей бизнес-переписки. Мы предлагаем решить эту задачу с помощью значительно доработанной под реалии 2024 года версии Kaspersky Security для почтовых серверов.
Все новшества наглядно продемонстрируем на вебинаре «Лаборатории Касперского» 30 мая!
Обсудим:
▶️ новые возможности фильтрации контента и карантина;
▶️ визуализацию событий для SOC;
▶️ инструменты мониторинга исходящих писем;
▶️ интеграция с системами виртуализации РЕД;
▶️ комплексное предложение: защита почты + защита от целевых атак;
▶️ планы развития.
Регистрируйтесь, чтобы не пропустить онлайн-трансляцию и демо!
Ждём вас в четверг, 30 мая, в 11:00 (МСК). Приходите!
Забронировать себе место ⟶
#события @П2Т | 941 | 11 | Loading... |
10 Media files | 1 028 | 3 | Loading... |
11 ⏰ Чтобы узнать свежие новости российской цифровизации, не обязательно ехать на ЦИПР в Нижний Новгород.
Присоединяйтесь к трансляции и узнавайте свежие новости ИБ – приглашает Юлия Новикова! 👇 | 1 016 | 2 | Loading... |
12 🔔 Уязвимость в Fluent bit: DoS, утечка информации, шанс RCE
Коллектор логов Fluent bit, используемый в многих высоконагруженных облачных инфраструктурах (включая всех топовых игроков в public cloud), уязвим к достаточно простой атаке (CVE-2024-4323, CVSS 9.8), приводящей к отказу в обслуживании и утечке небольшого фрагмента памяти. Для проведения атаки достаточно низких привилегий и доступа к уязвимому API-запросу /api/v1/trace. Авторы исследования утверждают, что хотя потенциал эксплуатации в виде RCE есть, надёжный эксплойт для этого написать нелегко. Тем не менее, уже есть публичные PoC, поэтому острота проблемы может вырасти в любой момент.
Для устранения уязвимости нужно применить изменения из этого PR на Github, либо дождаться обновления версии, запланированного разработчиками Fluent bit. В качестве митигации возможны отключение доступа к уязвимому API и ограничение доступа к Fluent bit узким кругом авторизованных пользователей. Пользователям публичных облаков стоит изучить страницы статуса у своего провайдера или обратиться в техподдержку, чтобы уточнить статус устранения уязвимости.
#новости #уязвимости #CVE @П2Т | 1 075 | 6 | Loading... |
13 🗣 Как обеспечить безопасность облаков?
Когда: 22 мая 2024 в 11:00 (МСК)
Изменения в ландшафте ИТ за последние 2 года преобразили модель рисков для облачной инфраструктуры, а также привели к переоценке ИТ-командами всей системы использования облачных ресурсов. Одновременно значительно выросло число и разнообразие киберугроз. Как обеспечить безопасности облачных сред и на уровне инфраструктуры, и на уровне разработки в этих условиях?
На онлайн-конференции AM Live ведущие эксперты по облачной безопасности обсудят все практические аспекты защиты:
▶️ как оценить зрелость кибербезопасности облачного провайдера;
▶️ что такое «аттестация облака» и какие требования к облачным средам предъявляют государственные регуляторы;
▶️ как разграничиваются ответственность за инцидент ИБ между облачным провайдером и заказчиком;
▶️ какие облачные платформы наиболее дружелюбны для наложенных средств защиты;
▶️ насколько безопасны облака, которые построены на open source;
▶️ что важно учитывать при собственной разработке облака;
▶️ как правильно позаботиться о высокой доступности и предусмотреть потенциальные катастрофы.
👤 От «Лаборатории Касперского» выступит Мария Павленко, эксперт по защите виртуальных сред и публичных облаков
Встречаемся в среду утром: 22 мая 2024 в 11:00 (МСК).
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т | 1 107 | 9 | Loading... |
14 📌 Вышел монументальный отчёт «Лаборатории Касперского» о ландшафте угроз в РФ и СНГ, основанный на большом количестве источников — от статистики Kaspersky Security Network и работы ханипотов до анализа реальных инцидентов и OSINT.
Пересказывать добрую сотню страниц не будем, но пару интересных и печальных моментов хочется отметить.
Во-первых, в топе сетевых уязвимостей, которые пытаются эксплуатировать злоумышленники, до сих пор доминируют баги 2018-2021 годов: Log4shell, Bluekeep, а также старые дефекты в OpenSMTPD, Spring Framework, Apache Struts и Confluence.
То есть защититься от значительного количества атак можно, если обновлять свои системы чаще раза в год 🙈
Или, говоря более точно, грамотно выстроив процесс Patch Management и применяя решения со встроенными средствами управления уязвимостями и установкой исправлений.
📊 Высокую остроту сохраняет угроза шифровальщиков. При этом увеличивается совокупный размер выкупов, а вот наиболее активные игроки и штаммы ВПО каждый год новые. В 2024 году топ-5 самых распространённых шифровальщиков снова значительно обновился.
Что ещё есть в отчёте?
✔️ перечень атакованных стран и индустрий;
✔️ популярные TTPs;
✔️ перечень сопутствующих угроз в регионе;
✔️ описание митигаций рисков.
Скачать отчёт
#статистика #киберугрозы @П2Т | 1 105 | 28 | Loading... |
15 Media files | 984 | 3 | Loading... |
16 👮 Какие техники злоумышленников чаще всего встречаются в кибератаках?
Мы проанализировали недавние отчёты наших сервисов MDR и Incident Response, и попробовали объединить самые часто встречающиеся техники ATT&CK, применяемые хакерами, в нечто вроде хит-парада.
Встречайте горячую десятку приёмов: от фишинга и эксплойтов до манипуляции аккаунтами и LOLbins.
Командам ИБ есть что противопоставить всем этим трюкам — мы снабдили каждый из них кратким описанием и рекомендациями по противодействию.
🟢 Изучить топ-10
#советы @П2Т | 1 126 | 18 | Loading... |
17 📌 Вышел монументальный отчёт «Лаборатории Касперского» о ландшафте угроз в РФ и СНГ, основанный на большом количестве источников — от статистики Kaspersky Security Network и работы ханипотов до анализа реальных инцидентов и OSINT.
Пересказывать добрую сотню страниц не будем, но пару интересных и печальных моментов хочется отметить.
Во-первых, в топе сетевых уязвимостей, которые пытаются эксплуатировать злоумышленники, до сих пор доминируют баги 2018-2021 годов: Log4shell, Bluekeep, а также старые дефекты в OpenSMTPD, Spring Framework, Apache Struts и Confluence.
То есть защититься от значительного количества атак можно, если обновлять свои системы чаще раза в год 🙈
Или, говоря более точно, грамотно выстроив процесс Patch Management и применяя решения со встроенными средствами управления уязвимостями и установкой исправлений.
📊 Высокую остроту сохраняет угроза шифровальщиков. При этом увеличивается совокупный размер выкупов, а вот наиболее активные игроки и штаммы ВПО каждый год новые. В 2024 году топ-5 самых распространённых шифровальщиков снова значительно обновился.
Что ещё есть в отчёте?
✔️ перечень атакованных стран и индустрий;
✔️ популярные TTPs;
✔️ перечень сопутствующих угроз в регионе;
✔️ описание митигаций рисков.
Скачать отчёт
#статистика #киберугрозы @П2Т | 1 | 0 | Loading... |
18 Media files | 1 | 0 | Loading... |
19 ➡️Интересные исследования APT и новости ИБ за неделю
👀 Интересная разновидность ViperSoftX: распознаёт изображения на компьютере при помощи опенсорсной OCR Tesseract, отправляет атакующим всё, похожее на пароли, ключи криптокошельков и другую подобную информацию.
🥸 Новая уязвимость протокола 802.11: SSID confusion позволяет при определённых условиях обходить VPN.
😶 Вторая часть подробного отчёта про APT Earth Hundun. — разбор механик работы имплантов Deuterbear и Waterbear. Напомним, что целью обычно являются правительственные, технологические и исследовательские организации в АТР.
Продолжая путешествие по Азии, прикоснёмся и к китайскому инфосеку — разбору кампаний APT-C-08 (гугл-перевод), атакующих примерно тот же круг жертв.
🔄 Анализ нового ВПО Gomir, атакующего Linux-системы и применяемого APT Kimsuky/Springail. Имплант является развитием более старого Gobear.
🗿 А в России нашёлся загрузчик PhantomDL, доставляющий ВПО группировки PhantomCore. Как и предполагалось, первоначальное заражение идёт через целевой фишинг и RAR/ZIP архивы, эксплуатирующие CVE-2023-38831.
Майнинг крипты на серверах по-прежнему в моде: ещё одна цепочка атак с применением Log4shell и установкой XMrig.
⛔️ Интересные инструменты Turla: LunarWeb ведет коммуникации с C2 при помощи невинно выглядящих https-запросов и стеганографии, а LunarMail устанавливается как дополнение к Outlook и связывается с C2 по e-mail 🐦.
🎁 Целая группа отчётов, посвященная вредоносному спаму и распространяемым через него инструментам:
- приманки в виде документов на подпись (DocuSign)
- RemcosRAT распространяется через вредоносный архив, эксплуатирующий легитимный бинарник GotoMeeting для запуска
- ещё RemcosRAT, но завёрнутый в MaaS PrivateLoader.
- Agent Tesla
- Sugar Gh0stRAT
- Vidar infostealer, умело замаскированный под юридические письма о нарушении авторских прав
Много атак различных коммерческих RAT на пользователей Foxit PDF reader: в неудачно сделанных предупреждениях безопасности слишком легко кликнуть на «разрешить» и таким образом запустить ВПО с удалённого сервера.
🍏 Apple отчиталась о том, что в 2023 году предотвратила мошеннических транзакций в App Store на $1,8 млрд. Заблокировано 374 млн. мошеннических аккаунтов. В общем, в огороженном саду довольно неспокойно.
#новости #APT @П2Т | 1 200 | 10 | Loading... |
20 💬 Как XDR решает проблемы ИБ-команд и что превращает концепцию XDR в работоспособный и удобный продукт?
💬 Каков «прожиточный минимум», необходимый для эффективного мониторинга, расследования и реагирования на инциденты?
💬 Что даёт Single Management Platform?
Всё о практике и перспективах внедрения XDR — в интервью Евгении Лагутиной для портала Anti-Malware.ru!
🎬 Смотреть интервью
#видео @П2Т | 1 789 | 19 | Loading... |
21 😎⭐️😎 Инфостилеры и утечки данных: объясняем наглядно
Финдиректор и отдел кадров не понимают, что такое утечки данных и почему «какие-то базы в Телеграме» могут привести к серьёзному инциденту ИБ в компании? Мы сталкивались с этой проблемой не раз, поэтому стараемся объяснять сложные темы даже совсем «нетехническими» словами и способами.
Перешлите эти ролики коллегам, и они за 30 секунд поймут:
🆗 как хакеры используют украденные данные;
🆗 чем опасны утечки лично для них;
🆗 как утечка помогает проникнуть в организацию.
🔗 Ну а тем, кто заинтересовался этой темой, можно прислать и полноценный отчёт Kaspersky Digital Footprint Intelligence о проблеме и описание способов борьбы с ней.
Смотрите и делитесь!
#видео #Азбука_ИБ | 1 989 | 31 | Loading... |
22 Снова обновление Chrome — третий 0day за неделю 😳
Google выкатили обновление Chrome до версии 5.0.6422.60/.61 для Windows и 125.0.6422.60 для Linux.
Ключевым устранённым дефектом является критическая CVE-2024-4947 в движке V8. О ней сообщили разработчикам исследователи «Лаборатории Касперского» и она используется в целевых атаках. Время обновляться!
Для тех, кто неделю не обновлялся 👿, заодно будут устранены две других 0day, также используемые в атаках и закрытые ранее: CVE-2024-4671 и CVE-2024-4761.
#новости @П2Т | 1 837 | 11 | Loading... |
23 💻 Майский вторник патчей: три зиродея
Свежее обновление Microsoft закрывает 59 уязвимостей, в том числе одну критическую, две эксплуатируемые до разглашения и одну разглашённую до устранения (но это не точно). 25 дефектов приводили к RCE, 17 — к повышению привилегий, 7 — к разглашению информации, также есть 3 DoS и 2 обхода функций безопасности.
Один зиродей был обнаружен нами, он используется для повышения привилегий до System и его вероятно используют несколько групп киберпреступников, в том числе для инсталляции QakBot. Сама уязвимость является EoP в библиотеке Windows DWM (CVE-2024-30051, CVSS 7.8)
Второй 0day (CVE-2024-30040, CVSS 8.8) является обходом функций безопасности в MSHTML и позволяет выполнить произвольный код после того, как жертва взаимодействует c вредоносным документом.
Третий зиродей — DoS в Visual Studio, обозначен как разглашённый публично, но без каких-либо подробностей. Возможно, это очередная опечатка Редмонда.
Внимания стоит критическая уязвимость CVE-2024-30044 (CVSS 8.8) в SharePoint Server. Это RCE, но для её эксплуатации нужно аутентифицироваться с правами Site Owner.
#новости @П2Т | 1 867 | 7 | Loading... |
24 👏 Secure by design: лайт-версия от CISA
На конференции RSA не то 68, не то 80 крупных ИТ-компаний под эгидой CISA подписали добровольное обязательство создавать безопасные продукты (secure by design). Мы, признаться, не поверили такой решительности, потому что в нашем понимании secure by design — это как минимум, продукт, созданный в методологии SDL, а как максимум — кибериммуннный. Но, как говорится, ставьте перед собой выполнимые задачи. За следующие 12 месяцев подписанты обязуются показать измеримый прогресс в семи направлениях:
🟣внедрять в продукты механизмы, расширяющие применение MFA;
🟣избавляться от стандартных паролей;
🟣применять методы программирования, избавляющие продукты от целых классов уязвимостей: SQLi, XSS, повреждение участков памяти;
🟣стимулировать оперативное применение патчей: внедрять автообновление или упрощать пользователям ручную установку обновлений;
🟣выработать политику по разглашению уязвимостей, разрешить поиск уязвимостей, опубликовать контактные данные для этих целей, публично отказаться от юридического преследования исследователей безопасности, ответственно их разглашающих;
🟣прозрачно и оперативно отчитываться о найденных CVE, включать данные о CWE и CPE для каждой уязвимости;
🟣упростить пользователям сбор артефактов, если кибератака затронула продукты разработчика.
Всё перечисленное на самом деле очень нужно и полезно, даже если не называть эти меры secure by design.
Посмотрим, как будут двигаться по этому роадмэпу Cisco, Fortinet, Ivanti, Microsoft, Netgear или Okta, которые его подписали 🤪
#новости @П2Т | 1 695 | 3 | Loading... |
25 Зацените какая интересная штукенция!
Чуваки запилили полноценный PoC (proof of concept) создания С2 сервера (command and control) на базе принтеров! Вы наверное неоднократно слышали про взломанные и обезумевшие принтеры которые начинали печатать всякую дичь. Дак вот хорватские чуваки из Diverto пошли дальше- показали, что атакующий может использовать системную службу Microsoft, которая отвечает за работу принтеров, в качестве сервака управления малварой, например. Вторая важная штука - они показали, как это безобразие можно детектить в сети, если кто-то уже это эксплуатирует. То есть тут и вектор атаки и как его находить. Самое крутое, что чуваки из Diverto, судя по всему, уже использовали этот подход в своих проектах по тестированию на проникновение/Red Team проектах. Нужно брать такое на заметку
Пацаны вообще ребята! | 1 650 | 36 | Loading... |
26 ✈️ Интересные новости ИБ и исследования APT за неделю
🍎 Обзор активности APT за первый квартал этого года. Среди интересных операций отметим атаку Kimsuky на цепочку поставок в Южной Корее при помощи ВПО Durian, написанного на Golang. Также спустя 11 лет радиомолчания удалось снова идентифицировать вредоносные операции шпионской группы Careto, нацеленные на жертв в Африке и Южной Америке. Детали этой атаки обещаны на VB.
👩💻 Анализ эксплуатируемых уязвимостей за тот же первый квартал. Много интересной статистики в разрезе ОС, бизнес-приложений, и т.п. В топе - четыре бага Ivanti, два ConnectWise Screenconnect и по одному WinRAR и Windows SmartScreen.
Кстати, об Ivanti — появилась разновидность ботнета Mirai, эксплуатирующая две уязвимости Pulse Secure для заражения новых устройств.
Кстати об уязвимостях, на RSAC анонсировали, что более 80 топ-вендоров ПО добровольно присоединяются к инициативе Secure By Design: обещают стойкие пароли по умолчанию, MFA, безопасное программирование, и так далее. Подробнее напишем отдельно.
💎 Масштабная мошенническая операция Bogusbazaar: тысячи веб-сайтов имитируют магазины брендовых товаров, чтобы воровать деньги и данные кредитных карт. Ущерб оценивают в $50 млн. Многие сайты-фальшивки запущены на истёкших доменах с хорошей репутацией. Авторы отчёта говорят, что мошенники работают из Китая.
🐍 И ещё из Поднебесной: тамошний инструмент red team под названием Viper всё шире используют злоумышленники на замену Cobalt Strike. Благо, интерфейс очень похож 😈
📬 Разбор продвинутого фишкита Tycoon MFA, хорошо приспособленного к обходу MFA в MS365 и Google.
Немного эзотерическая атака на VPN, TunnelVision, использует опцию DHCP 121, чтобы пускать трафик в обход VPN, в открытом виде. Не подвержен этому Android, на остальных платформах борьба с уязвимостью сводится к усиленной проверке конфигураций маршрутизации, передаваемых DHCP.
🛡 Новый проект от CISA — Vulrichment. Ещё один подход к приоритизации уязвимостей и обогащению информации о них, используется их же методика Stakeholder Specific Vulnerability Categorization. Прямо на Github лежат удобные .json по каждой свежезаведённой и многим старым CVE.
#дайджест @П2Т | 1 625 | 8 | Loading... |
27 👮♂️ Ransomware: ключевые тенденции 2024 года
Ransomware отвечает за 33% критических инцидентов в минувшем году, затронув бизнесы в каждой отрасли и по всему миру. Многие страны считают ransomware проблемой национальной безопасности, что привело к более координированным операциям правоохранительных органов против известных киберпреступников.
Результат?
Банды становятся всё более фрагментированными, распадаются на мелкие группы, что усложняет полиции охоту за ними.
К сожалению, для защитников эта фрагментация тоже усложняет задачу, количество желающих «пощупать» инфраструктуру компании увеличится. При этом всё больше атак почти молниеносны: более 43% завершаются шифрованием менее чем за сутки.
Вторая тревожная тенденция — существенный рост атак через подрядчиков и поставщиков услуг, включая ИТ-услуги. Это стало одним из трёх основных векторов атак. Другие два — уязвимые приложения, доступные из интернета, а также скомпрометированные учетные данные.
В подробном отчёте на Securelist мы собрали:
🟢 список заметных штаммов ransomware и их излюбленные мишени;
🟢 тактики и техники групп ransomware;
🟢 советы по защите ИТ-инфраструктуры от ransomware-атак.
#статистика #ransomware @П2Т | 2 088 | 11 | Loading... |
28 🌐 Критическая уязвимость в TinyProxy — обновление через ручную пересборку 😞
Уязвимость CVE-2023-49606 (CVSS 9.8) в TinyProxy может приводить к исполнению произвольного кода неаутентифицированным атакующим после отправки специального HTTP-запроса. Дефект присутствует в последней официальной версии 1.11.1, а также в 1.10.0. Учитывая простоту эксплуатации уязвимости, а также присутствие TinyProxy во многих сборках Linux и в устройствах IoT, проблема может стать массовой. На сегодня в интернете доступно более 90 тысяч хостов, на которых установлен TinyProxy, в основном в США, Южной Корее, Китае, Франции и Германии. Уязвимо более половины 😞
Патчинг затруднён тем, что разработчики пока не выпустили обновлённую версию, доступен только отдельный коммит в Github и инструкции по самостоятельной пересборке.
#новости @П2Т | 2 251 | 11 | Loading... |
29 🗂 IR-рекомендации от Microsoft
Команда Incident Response из Microsoft собрала удобный набор шпаргалок по использованию различных неочевидных служб и логов Windows при расследовании инцидентов. Редмонд называет этот документ «руководством по IR», но это пожалуй слишком громко. Это именно набор советов. Но очень полезных для всех, кто собирает артефакты с Windows-машин:
⏺ проверка существования файлов и их SHA1 через AmCache;
⏺ проверка существования (и удаления) файлов по LNK и Jumplist;
⏺ контроль создания и запуска бинарников при помощи Prefetch;
⏺ изучение взаимодействия пользователя с папками и файлами через ShellBags;
⏺ проверка существования файлов и их связи между собой через Shimcache;
⏺ проверка запуска файлов и сетевого трафика через SRUM и UserAssist;
⏺ контроль аномальных доступов и горизонтального перемещения при помощи UAL.
Забирайте и пользуйтесь!
#советы @П2Т | 2 905 | 115 | Loading... |
30 ✈️ Интересные новости ИБ и исследования APT за неделю
🤨 Технический анализ сложного модульного импланта Cuttlefish, который заражает SOHO-роутеры и на лету вылавливает в трафике пароли и другие секреты. ВПО способно подменять DNS- и HTTP-запросы, перехватывать трафик при обращении к серверам в интрасети, но особо интересуется доступами к популярным облачным сервисам.
🤔 Ежегодный отчёт по взломам и утечкам, Verizon DBIR, отмечает двукратный рост числа инцидентов и трёхкратный рост случаев, когда для проникновения использовалась эксплуатация уязвимостей. Львиная доля роста обеспечена атаками вымогателей. Интересно сравнить данные с нашим недавним отчётом по расследованию инцидентов — некоторые тренды очень схожи.
🐱 Детальный обзор деятельности кластера APT42, состоящего из таких подгрупп, как Charming Kitten, TA 453 и др. В своей шпионской деятельности APT умело комбинирует ВПО и социальную инженерию. Среди продвинутых социальных трюков — приглашение жертв на различные мероприятия и интервью. После установления доверительных отношений, жертве присылают убедительную фишинговую ссылку для выманивания пароля с обходом MFA. В дальнейшем интересные данные извлекаются из облачных сред Microsoft 365 или Citrix Apps. В разделе про ВПО описаны два свежих изделия группировки, TAMECAT и NICECURL.
✈️ Другие умелые фишеры, Kimsuky/APT43, освоили новые техники целевого фишинга, основанные на обходе слабых политик DMARC в атакованной организации.
🍄 Разбор деятельности MaaS DarkGate, которые отличились в этом году обходом предупреждений SmartScreen.
😞 Кибер-агентства «пяти глаз» выпустили предупреждение о защите «малых форм АСУ ТП» вроде городских водонапорных станций. Их, якобы, пытаются взламывать пророссийские хактивисты. Оставляя политическую часть за скобками, отметим, что панели HMI, торчащие в интернет и доступные через давно устаревшие версии VNC — это очень плохо и требует устранения, вне зависимости от того, в какой стране происходит. Рекомендации по харденингу вполне толковые и выполнимые.
🔜 Запутанный DNS-детектив про пассивную разведку мировой интернет-инфраструктуры при помощи Великого Самизнаетечьего Файрвола. Цели атакующих до конца не ясны, ясно только, что терпения и технологической грамотности им не занимать.
🔥 Эту новость мы не могли обойти — новые требования к ИБ автомобилей в Европе вынуждают производителей прекратить продажу на этом рынке ряда моделей, включая, например, Porsche Macan.
🤡 Новый релиз на Github: встречайте MS-DOS 4.0. 😂
#дайджест @П2Т | 2 008 | 7 | Loading... |
31 #ИБ_мем | 2 460 | 41 | Loading... |
32 👀 Сколько паролей ваших сотрудников гуляет по даркнету?
Легитимные учётные записи являются одним из основных векторов начального проникновения в организацию. Поэтому разработка и распространение инфостилеров, крадущих пароли, продолжает быть оживлённым теневым бизнесом.
🔥 В свежем отчёте Kaspersky Digital Footprint Intelligence разобраны основные тенденции рынка скомпрометированных учётных данных, очень рекомендуем ознакомиться. Число утечек из корпоративных сред растёт, а реагирование на них часто бывает неполным.
👽 При обнаружении скомпрометированного пароля недостаточно его просто сменить. Необходимо провести расследование и проверить подозрительные события на атакованном устройстве, чтобы исключить распространение ВПО или дальнейшую утечку информации, а также настойчиво потребовать у сотрудника проверить личные устройства на признаки компрометации.
#статистика @П2Т | 2 286 | 10 | Loading... |
33 🤔 Разобрали имеющуюся информацию по взлому Dropbox Sign. Ключевой момент — сервис в значительной мере отделён от файлового сервиса Dropbox, поэтому если вы не пользовались именно функциями электронной подписи документов, скорее всего вы не затронуты этой утечкой.
Интересно посмотреть, как этот сюжет будет развиваться далее. Ведь утечка API-ключей и токенов Oauth в принципе позволяла злоумышленникам подписывать чужие документы юридически значимой подписью. Говорят, доступа к документам не обнаружили, но расследование продолжается, поэтому сюрпризы возможны. Надо отметить, что пароли всем пользователям сбросили автоматически, а вот для Oauth и API только «координируют ротацию секретов». То есть неправомерный доступ возможно продолжается и сегодня.
#новости @П2Т | 2 381 | 9 | Loading... |
🔎 Трек SOC на PHDays 2 оказался весьма насыщенным!
Как злоумышленники пытаются избежать детектирования и как SOC их всё же может детектировать, рассказали Владислав Бурцев и Николай Сабельфилд, а Глеб Иванов очень практично разобрал, какие задачи SOC непосильны машинному обучению, а для каких ИИ можно приспособить (без боли и сожалений!) уже сегодня.
Небольшие тизеры из докладов How to SOC like a legend и Восстание машин — в кружочках! ⬇️⬇️
#видео @П2Т
👍 1
#️⃣🔠Что такое credential stuffing
Сегодня в рубрике #Азбука_ИБ объясняем, как работает одна из самых популярных кибератак, эффективная при взломе и личных, и корпоративных аккаунтов. Credential stuffing (подстановка учётных данных) — это подбор пароля с применением баз, ранее собранных из различных утечек. Атака основана на том, что люди часто используют одинаковые пароли, поэтому ранее взломанный пароль запросто может подойти к другим сервисам, применяемым жертвой.
По имеющейся статистике, до трети попыток входа в любые доступные из Интернета системы приходится на атаки credential stuffing. Противостоять этой угрозе нужно как самим сотрудникам, так и ИБ-командам. Для этого важно не применять простые пароли, а также не использовать один и тот же пароль в разных сервисах. Увы, это правило нарушается систематически. Как можно улучшить ситуация — читайте на блоге!
Первый шаг в борьбе сделать просто — поделитесь этим постом с коллегами.
#Азбука_ИБ #советы #пароли @П2Т
Что такое подстановка учетных данных (credential stuffing)
Как злоумышленники используют базы данных с украденными или слитыми ранее паролями для проведения атаки с подстановкой учетных данных (credential stuffing).
👍 5💯 1
😊 Начался киберфестиваль PHDays 2, вернее его профессиональная часть.
Посетителям приходится выбирать, какие треки и доклады посетить, потому что тем много и охватить всё невозможно.
Тем, кто интересуется реагированием на инциденты, проблематикой SOC, мониторингом даркнета и реалиями корпоративной ИБ, рекомендуем не пропускать доклады наших экспертов — они подготовили много нового!
Например сегодня Сергей Голованов рассказал о типичных ошибках, допускаемых во время IR, а Георгий Кигурадзе поделился историей нахождения 24 (!) уязвимостей в популярном устройстве биометрической аутентификации. Кстати, фрагменты из этих докладов — в кружочках ниже ⬇️
#события @П2Т
👍 4🔥 2
💻 Новый инструмент банд ransomware — Bitlocker
Исследователи Kaspersky GERT рассказали о новой кибератаке, в которой для шифрования дисков жертв используется родной инструмент защиты Windows, Bitlocker.
Вредоносное ПО ShrinkLocker реализовано в виде сложного сценария VBscript, который уменьшает разделы диска компьютера на 100 Мб, делает из свободного места загрузочный раздел, а для фиксированных дисков активирует защиту Bitlocker. После этого удаляются все резервные инструменты восстановления ключа, сам ключ отправляется на сервер злоумышленников при помощи одного POST-запроса через туннель Cloudflare, а компьютер перезагружается, оставляя пользователя наедине с экраном ввода пароля Bitlocker.
Традиционную вымогательскую записку в этом сценарии оставить негде, поэтому метки всех дисков системы изменяются на контактный email злоумышленников.
Скрипт способен работать со всеми версиями Windows, начиная с 7 и Server 2008.
Советы по предотвращению подобных LOTL-атак ransomware и детальный разбор скрипта читайте на securelist.
#новости #ransomware @П2Т
New ransomware group abusing BitLocker
The Kaspersky GERT has detected a new group that has been abusing Microsoft Windows features by modifying the system to lower the defenses and using the local MS BitLocker utility to encrypt entire drives and demand a ransom.
🔥 5😱 2
Photo unavailableShow in Telegram
📧 Как защищать почту в 2024 году
Эволюция фишинга не останавливается ни на день, поэтому и для массовых, и тем более для таргетированных атак сегодня применяются очень изощрённые методики доставки вредоносного контента.
Более того, некоторые группы применяют корпоративную почту для эксфильтрации данных, да и утечки информации по e-mail, возникшие из-за небрежности сотрудников, тоже случаются.
Вместе с повсеместным переходом на отечественные ОС и офисные решения,необходимо уделить особое внимание защите самого ценного – вашей бизнес-переписки. Мы предлагаем решить эту задачу с помощью значительно доработанной под реалии 2024 года версии Kaspersky Security для почтовых серверов.
Все новшества наглядно продемонстрируем на вебинаре «Лаборатории Касперского» 30 мая!
Обсудим:
▶️ новые возможности фильтрации контента и карантина;
▶️ визуализацию событий для SOC;
▶️ инструменты мониторинга исходящих писем;
▶️ интеграция с системами виртуализации РЕД;
▶️ комплексное предложение: защита почты + защита от целевых атак;
▶️ планы развития.
Регистрируйтесь, чтобы не пропустить онлайн-трансляцию и демо!
Ждём вас в четверг, 30 мая, в 11:00 (МСК). Приходите!
Забронировать себе место ⟶
#события @П2Т
🔥 3👍 2