Positive Technologies

🧑‍💻 Что нужно для оптимизации продукта и ускорения его работы? Для начала — обнаружить код, на исполнение которого приложение тратит больше всего времени. Провести такую диагностику поможет профилирование. Александр Слепнев, специалист отдела инжиниринга производительности Positive Technologies, написал статью для Хабра, в которой рассказал, какой инструмент для этого выбрать, и посоветовал алгоритм для работы с ним. Метод отлично работает и уже помог найти множество оптимизаций для продуктов Positive Technologies. Хотите прокачаться в оптимизации? Делимся лайфхаком в материале на Хабре. #PositiveЭксперты

💀 Эксплуатация цепочки уязвимостей могла бы привести к полной компрометации системы Cacti и проникновению злоумышленника во внутреннюю сеть Избежать этого печального сценария помог наш коллега — Алексей Соловьев, старший специалист группы анализа защищенности веб-приложений Positive Technologies, который обнаружил возможность проведения атаки с использованием цепочки из трех уязвимостей.

«На первом этапе надо было вынудить авторизованного пользователя перейти по ссылке для запуска вредоносного JavaScript-кода. Далее злоумышленник мог бы использовать SQL-инъекцию, чтобы записать необходимую информацию в базу данных, затем выйти за пределы каталога и включить зараженный файл. Это привело бы к выполнению произвольного кода на сервере», — рассказал Алексей.

Мы уведомили вендора об угрозе в рамках политики ответственного разглашения, и он уже выпустил пропатченное обновление (если пользуетесь Cacti, установите версию 1.2.27 и выше). 📞 Для тех, кто не знает, Cacti — ПО с открытым кодом, которое используется в дата-центрах, телеком-компаниях, хостинг-провайдерах для оперативного мониторинга, сбора данных и для управления сбоями сетевой инфраструктуры. Под угрозой (на май 2024 года) оказалось около 1300 систем, в которых работает Cacti. В основном в Индонезии, Бангладеш, США и Китае. @Positive_Technologies #PositiveЭксперты

🔥 Какая амбициозная цель у команды разработки PT NGFW? Создать самый производительный межсетевой экран нового поколения на российском рынке, который не уступает зарубежным аналогам и дарит эмоции 😍 😎 Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies, в интервью Максиму Горшенину на ПМЭФ-2024 рассказал, с чего началась разработка PT NGFW, как строится команда и почему межсетевой экран нового поколения нужен компаниям любых масштабов, даже автомобильной заправочной станции. Смотрите выпуск на YouTube-канале imaxairu 👀 В выпуске Максим также поговорил с Евгением Добаевым, заместителем технического директора по стратегическому развитию метапродуктов Positive Technologies, о белых хакерах, кибербитве Standoff и метапродуктах MaxPatrol O2 и MaxPatrol Carbon. #PTNGFW @Positive_Technologies

🤖 Исследователи Positive Technologies обнаружили более тысячи мошеннических телеграм-ботов индонезийского происхождения Пользователи получали вложения в виде APK-файлов и скачивали их, не обращая внимания на расширение. В итоге незаметно для владельца на телефон устанавливался СМС-стилер — программа, перехватывающая одноразовые коды для входа в учетные записи. Получив такой пароль от банковского аккаунта, мошенники могли вывести средства со счета жертвы.

«Исследуя ботов в Telegram, мы выявили множество чатов индонезийского происхождения и связанные с чатами СМС-стилеры, цепочка заражений которыми чаще всего начиналась с фишинга в WhatsApp. В качестве приманки злоумышленники в большинстве случаев использовали свадебные приглашения, банковские и другие сервисы и документы», — рассказал Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies (вот, кстати, их телеграм-канал).

😱 Больше всего пострадавших от этой схемы — в Индонезии, там число жертв атак с применением стилеров SMS Webpro и NotifySmsStealer измеряется тысячами. Десятки инцидентов зафиксированы в Индии и Сингапуре. В России, Белоруссии и Малайзии пока что отмечены единичные случаи возможных атак. Наши эксперты дали несколько советов, как защитить ваши устройства от проникновения стилеров: 1️⃣Проверяйте расширения передаваемых файлов. 2️⃣ Не скачивайте приложения по ссылкам из сообщений, полученных с незнакомых номеров, кем бы ни представились отправители. 3️⃣ При загрузке приложения из Google Play проверьте правильность его названия в официальных источниках. 4️⃣ Не загружайте и не устанавливайте приложения, требующие подозрительных разрешений. Ищите полную версию исследования про стилеры и Telegram на нашем сайте (пойдем и сами его дочитаем, очень интересное). #PositiveЭксперты @Positive_Technologies

💻 Инструменты безопасной разработки Positive Technologies интегрированы с Dev Platform от VK Cloud С ростом количества кибератак обязательным критерием качества любого ИТ-решения, наряду с его функциональностью и удобством, становится и устойчивость к атакам злоумышленников. Поэтому компании-разработчики, ориентированные на создание надежного и эффективного программного обеспечения, все чаще внедряют принципы и инструменты безопасной разработки в цикл создания приложений. Dev Platform от VK Cloud позволяет компаниям разрабатывать ПО и не тратить время на настройку и интеграцию инструментов для DevSecOps. В нее интегрированы: 🐈‍⬛️ PT BlackBox — динамический анализатор приложений. 👁 PT Application Inspector — статический анализатор приложении. 🎁 PT Container Security — продукт для мониторинга активности, выявления аномалий и защиты контейнерных сред. Разработчики смогут находить и устранять уязвимости еще на ранних этапах написания кода. Это позволит сократить время на отладку процессов и даст возможность быстрее выводить проект на рынок.

«Интеграция продуктов Positive Technologies с Dev Platform — это ответ на возрастающий интерес рынка к разработке ПО с учетом требований безопасности», — отметил Иван Соломатин, руководитель развития бизнеса защиты приложений Positive Technologies.

@Positive_Technologies

🤓 Вы гуру в Application Security, но хотите узнать, как сделать вашу работу заметной и важной для бизнеса? Приглашаем тимлидов и руководителей в области информационной безопасности и безопасной разработки на трехдневный очный сентябрьский интенсив в Москве, который станет вашим ключом к организованной и эффективной стратегии AppSec 🗝 Автор интенсива Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies, и ее коллеги-эксперты готовы передать вам практический пятилетний опыт построения AppSec: • поделиться эталонными фреймворками и методологиями; • помочь систематизировать процессы; • научить обосновывать инвестиции в безопасную разработку для топ-менеджмента; • показать эффективные стратегии защиты от хакеров; • рассказать об управлении как организационными, так и техническими аспектами AppSec. Всего за три дня вы получите концентрированный объем актуальных знаний и навыков по AppSec, сможете со стороны взглянуть на то, как построены процессы безопасной разработки в вашей компании, и найдете коллег-единомышленников для обмена опытом. ✉️ Подайте заявку на участие прямо сейчас, чтобы точно попасть на обучение в сентябре. #PositiveEducation @Positive_Technologies

⚔️ Две трети векторов атак, обнаруженных экспертами Positive Technologies при внешних и внутренних пентестах, могут реализовать даже низкоквалифицированные хакеры. В подавляющем большинстве проектов были обнаружены векторы атак низкой (38%) и средней (50%) сложности. С ними смог бы справиться нарушитель, имеющий базовые знания и использующий общедоступные эксплойты и автоматизированное ПО для проведения атак. В рамках внутренних пентестов исследователи смогли проникнуть в инфраструктуру, используя старые версии ПО, недостатки парольной политики, уязвимости в коде веб-приложений (в том числе сторонних продуктов) и недостатки конфигурации сервисов, находящихся на периметре сети (например, VPN2 и Citrix3).

«Чтобы избежать появления уязвимостей, которые уже используются в кибератаках и те, эксплуатация которых прогнозируется на ближайшее время, в инфраструктуре компаний, эксперты Positive Technologies рекомендуют вовремя обновлять ПО, а также использовать системы управления уязвимостями. Например, MaxPatrol VM: информация о трендовых уязвимостях поступает в продукт в течение 12 часов. Благодаря этому эксперты могут вовремя среагировать и принять меры по усилению защищенности», — отметил Григорий Прохоров, аналитик исследовательской группы Positive Technologies.

Полный текст исследования о пентестах, проведенных нашими коллегами в 2023 году, ищите на сайте. #MaxPatrolVM #PositiveЭксперты @Positive_Technologies

9️⃣ В июне наши эксперты отнесли к трендовым девять уязвимостей Злоумышленники уже используют их в атаках или могут начать использовать в ближайшее время. 🪲 Уязвимости в системах Windows Потенциально затрагивают около миллиарда устройств. Уязвимости позволяют злоумышленнику получить максимальные привилегии в системе и продолжить развитие атаки. Последствия могут коснуться всех пользователей устаревших версий Windows. 🪲 Уязвимость в подсистеме межсетевого экрана netfilter ядра Linux Может коснуться более полутора миллионов устройств. Ее эксплуатация позволяет авторизованному в системе злоумышленнику повысить привилегии до уровня root (то есть до максимальных). Это может привести к развитию атаки и реализации недопустимых для организации событий. 🪲 Уязвимости в VMware vCenter В сети работает более 2000 узлов vCenter, которые могут быть подвержены этим эксплойтам. Они позволяют неаутентифицированному злоумышленнику выполнить произвольный код на сервере платформы и получить полный контроль над системой для дальнейшего развития атаки. 🪲 Уязвимость в скриптовом языке PHP Позволяет злоумышленнику выполнить удаленный код в системе, получить над ней полный контроль и развивать атаку дальше. 🪲 Уязвимость в VPN-шлюзе компании Check Point Software Technologies Появляется из-за того, что в исходном коде приложения некорректно проверяется адрес, который запрашивает пользователь. Может дать киберпреступникам доступ к чувствительной информации, хранящейся на сервере. 🪲 Уязвимость в ПО Veeam Backup Enterprise Manager Позволяет злоумышленнику получить доступ к любой учетной записи на сервере. Недостаток безопасности возникает из-за того, что пользователь контролирует адрес сервера с технологией единого входа (SSO). Это дает преступникам манипулировать вводом данных. Напоминаем, что MaxPatrol VM, в который информация об обнаруженных недостатках поступает в течение 12 часов, помогает быстро выявлять эти и другие уязвимости в инфраструктуре компании и управлять ими. Читайте подробный дайджест на нашем сайте. #втрендеVM @Positive_Technologies

👻 Как найти и обезвредить вредоносного призрака с помощью MaxPatrol EDR GHOSTENGINE, или, как его еще называют, HIDDENSHOVEL, — новое вредоносное ПО, обнаруженное в мае этого года. Злоумышленники используют его для установки и запуска майнера XMRig на устройствах. Примечательно то, какие техники используют атакующие на различных этапах доставки этого вредоносного ПО. Среди них — модуль kill.png, который может завершать процессы установленных средств защиты. Вот, как начинается цепочка заражения: 1️⃣ Пользователь запускает вредоносный файл с именем TiWorker.exe. 2️⃣ Этот файл маскируется под легитимный системный процесс, отвечающий за установку модулей Windows и обновлений ОС. 3️⃣ Вредоносный процесс TiWorker запускает PowerShell и скачивает с С2‑сервера модули для дальнейших стадий атаки. Один из них — kill.png. 🔦 Наш продукт MaxPatrol EDR для защиты конечных устройств обнаруживает Ghostengine на самом раннем этапе заражения и реагирует на него в автоматическом режиме, удаляя вредоносное ПО с устройств. Детальный разбор «призрака» и подробности о том, как MaxPatrol EDR его детектирует, — на Хабре, в материале Виталия Самаля, старшего специалиста отдела обнаружения ВПО экспертного центра безопасности Positive Technologies (@ptescalator). Внутри статьи — полный список из 1661 процесса в распакованном модуле kill.png, которые ВПО принудительно завершает для уклонения от обнаружения. Читать статью на Хабре 🔥 #MaxPatrolEDR @Positive_Technologies

Мы добавили в MaxPatrol SIEM, входящую в состав решения PT ICS, пакет экспертизы с правилами для обнаружения угроз в программно-техническом комплексе AstraRegul. Это оборудование используется на промышленных предприятиях для создания распределенных систем управления технологическими процессами. 🔎 Новый пакет экспертизы позволяет операторам вовремя обнаруживать действия, которые могут угрожать работе АСУ ТП под управлением AstraRegul. Например, такие, как подбор пароля, подмена файлов, подозрительные действия с конфигурациями и мнемосхемами технологических процессов, запуск и остановка критически важных сервисов и приложений. Также PT ICS регистрирует события информационной безопасности для ПЛК REGUL RX00: вход и выход пользователей, изменение их прав, опасные манипуляции с микропрограммой ПЛК, корректировку параметров системы защиты.

«Мы развиваем сотрудничество с вендорами систем автоматизации и регулярно добавляем в платформу PT ICS новые пакеты экспертизы, — отметил Андрей Кудеров, руководитель отдела по работе с технологическими партнерами Positive Technologies. — Внедрение защищенной системы позволяет компаниям избежать киберинцидентов на производстве и проходить проверки на соответствие требованиям ФСТЭК».

#PTICS @Positive_Technologies