Порвали два трояна

🙄🤥🤨 Уроки инцидента

Неотъемлемая часть реагирования на инцидент — извлечение уроков, позволяющее улучшить технологии и процессы в компании и предотвратить будущие атаки. Как сделать «разбор полётов» продуктивным упражнением, а не игрой в горячую картошку? Чего обычно не хватает в первоначальных отчётах о расследовании инцидента? Как правильно воспользоваться информацией об уязвимостях, пробелах в видимости ИБ, человеческих ошибках? Почему важно отмечать позитивные моменты, честно признавать, где просто повезло, делиться информацией с коллегами? Обо всём этом читайте в нашем гиде!

#советы @П2Т

🟡 Финансово мотивированные кибератаки: чего ждём в 2025?

Наши эксперты, отслеживающие тенденции crimeware, уже готовы предсказать, с чем столкнутся защитники в наступающем году.

Полный обзор итогов 2024 года и предсказаний доступен на Securelist, а здесь — самые интересные тренды:

🔅 Открытые API и ЦВЦБ
Оцифровка финансов на уровне центробанков продолжается, создавая новую привлекательную мишень для крупных кибератак. Государственные цифровые валюты (ЦВЦБ, CDBC) и открытый банкинг пилотируются во многих странах, одновременно создавая гигантскую поверхность атаки на новые и недостаточно изученные API.

🍏 Рост мобильных угроз
Банковское ВПО для Windows стагнирует, а вот число мобильных угроз за год выросло вдвое. Тренд продолжится в 2025 году.

💎 Китайское подполье на экспорт
Финансово ориентированные группировки из Поднебесной начинают проявлять интерес к Европе и Латинской Америке. Пока это выражается в Android-троянцах и фишинге для угона банковских карт, но более сложные схемы тоже появляются.

👮‍♀️ Новые трюки ransomware
Попытки сделать жертвам побольнее и увеличить стоимость восстановление после атаки продолжаются. Ожидаются эксперименты с «отравлением» данных в инфраструктуре, которое сложнее заметить и исправить. Чаще будет применяться и давление с упором на регуляторные последствия для жертвы.

📌 Ещё полдюжины трендов ждут вас на Securelist.

#статистика #KSB @П2Т

➡️ Как меняются подходы к ИБ в РФ?
➡️ Готовы ли российские крупные организации и объекты КИИ к полному импортозамещению?
➡️ Какие новые ИБ-продукты появились на рынке, а какие всё ещё в дефиците?
➡️ В чём подводные камни перехода на Linux?
➡️ Как проходит переход к облачным инфраструктурам в России?

Обо всём этом Анна Кулашова, вице-президент «Лаборатории Касперского» в России и СНГ, подробно рассказала «Ведомостям» для проекта «IT-тренды 2025».

#новости @П2Т

💻 Ноябрьский вторник патчей: идём на рекорд?

Свежее обновление Microsoft закрывает 92 уязвимости, в том числе две эксплуатируемые вживую и четыре разглашённые до устранения. Четыре уязвимости имеют статус критических. 52 дефекта приводили к RCE, 26 — к повышению привилегий, 1 — к разглашению информации, также есть 4 DoS и 2 обхода функций безопасности. В целом за этот год Редмонд выкатил уже почти 950 обновлений безопасности, так что после декабрьского пакета обновлений год может быть рекордным по числу найденных и устранённых дефектов.

В реальных атаках используются:
CVE-2024-43451 (CVSS 6.5) — очередной привет от Internet Explorer, утечка хэшей NTLMv2 через компонент MSHTML. Пользователь должен кликнуть на вредоносный файл (не открыть, а просто выбрать его).
CVE-2024-49039 (CVSS 8.8)— побег из AppContainer, повышение привилегий до Medium integrity.
Про оба дефекта пока неизвестно, кто именно и как их использовал, но второй был найден несколькими группами исследователей, одна из которых — Google TAG, что может свидетельствовать об относительно широком применении этого зиродея какими-то крупными APT.

Разглашёнными Microsoft считает
CVE-2024-49019 (CVSS 7.8) EoP в Active Directory Certificate Service, она же EKUwu.
CVE-2024-49040 (CVSS 7.5) spoofing в Exchange. Письма с нестандартным заголовком P2 FROM могут отображаться с поддельным адресом отправителя. Microsoft считает, что эксплуатация этого дефекта не за горами и рекомендует дополнительные настройки для защиты пользователей.

Впрочем, ZDI считают также публичными ещё два CVE из обновления:
критическую RCE в .NET и VSCode (CVE-2024-43498, CVSS 9.8) и RCE в OpenSSL ( CVE-2024-5535, CVSS 9.2).

Среди уязвимостей, которые не были разглашены, мурашки вызывает CVE-2024-43639, RCE в Kerberos со скромным CVSS 9.8 — подвержены все Windows Server, код выполняется с высокими привилегиями, а вот атакующему не нужно даже быть аутентифицированным. Правда, Редмонд обнадёживает, что exploitation less likely.

#новости #Microsoft @П2Т

💻 Защита администратора дебютирует в Windows 11

Microsoft вносит посильный вклад в борьбу с раздачей админских прав налево и направо, а также с порочной практикой работы под админской учёткой всё время. В Insider Preview Windows 11 (начиная со сборки 27718) появится функция Administrator Protection, которая усложнит ВПО эксплуатацию повышенных привилегий.

В отличие от старой системы UAC, где одно нажатие Yes разрешает системе и приложениям использовать суперадминский токен для любых задач, после включения Administrator Protection токен повышенных админских привилегий выдаётся отдельной учётной записи, которая управляется операционной системой. В эту учётку со случайным именем невозможно войти напрямую, она связана с обычной учётной записью администратора, которая получает лишь базовый набор прав.
При выполнении административных действий человек должен ввести пароль или пройти биометрическую аутентификацию, после чего его по сути переключит в эту дополнительную учётку с настоящими администраторскими привилегиями. Они будут доступны только задаче, требующей этих привилегий. ВПО не сможет перехватить токен повышенных привилегий, как в популярных схемах UAC bypass.

Технические подробности реализации и описание групповых политик, позволяющих включить эту функцию, описаны здесь.

#новости #Microsoft @П2Т

👩‍💻 Интересные исследования APT и новости ИБ за неделю

🟣Группировка CloudComputating/ BackdoorDiplomacy/ FakingDragon вооружилась новым модульным бэкдором QSC, применяя его для шпионажа за телеком-компаниями в Азии. Его разворачивают в параллель с ранее известным бэкдором Quarian, в качестве запасного инструмента для сохранения доступа к сети при обнаружении защитниками.

🟣А BlueNoroff продолжает оттачиватть атаки на macOS — в новой кампании HiddenRisk используются интересные механизмы закрепления в системе. Жертвы, как обычно — игроки рынка криптовалюты.

🟣Разбор целевых атак на ИТ-подрядчиков госорганизаций с применением Linux-импланта GoblinRAT. Известно всего несколько жертв, поскольку атакующие исключительно скрытны. В каждом заражении — уникальные образцы, имена процессов, серверы C2, которыми служат взломанные сайты легитимных учреждений.

🟣Изменения в таргетинге и тактике ряда азиатских APT: группа MirrorFace активизировалась в Европе, а Flax Typhoon и Gallium устанавливают у жертв VPN-сервер SoftEther для скрытного доступа внутрь атакуемой сети.

🟣Разбор новой версии Silent Skimmer, который разворачивают сугубо у создателей платёжных шлюзов и другой подобной инфраструктуры.

🟣Технический разбор тактик и инструментов DDoS ныне арестованных товарищей из Anonymous Sudan (в отчёте называются LameDuck). Ничего технически эксклюзивного там нет, но организационная сложность, точный таргетинг и скоординированность разных компонентов атаки впечатляет.

🟣Новая угроза в NPM: две тайпсквоттинг-атаки, нацеленные на популярные пакеты для тестирования ПО, разворачивают у жертв кроссплатформенное ПО, работающее под Windows, Linux и macOS. ВПО крадёт чувствительную информацию с компьютеров атакованных разработчиков, а адреса С2 оно достаёт из смарт-контрактов Ethereum.

К сожалению, крепкий симбиоз crimeware и ransomware вынуждает уделять много внимания простым угрозам, в первую очередь инфостилерам.

🟣Новый троянец SteelFox, распространяющийся под видом дистрибутивов различного ПО на форумах и торрентах, интересен технической сложностью и комбинированной «бизнес-моделью». В числе прочего он использует закрепление сертификатов SSL и повышает привилегии при помощи BYOVD. На поражённых системах разворачивают стилер и майнер одновременно.

🟣Ничего святого у людей: новая версия Gootloader распространяется через отравление поисковой выдачи по запросам, связанным с бенгальскими котами. Когда-то Gootloader был эксклюзивным инструментов вымогателей REVil, но эволюционировал в коммерческую платформу первоначального доступа.

🟣Тем временем новая версия GuLoader (ничего общего с Gootloader) распространяется через целевые рассылки по европейским компаниям из сферы инжиниринга и промышленного производства. Присланный по почте архив содержит обфусцированый PowerShell, который внедряет шеллкод в память и загружает различные троянцы на поражённую машину.

🟣А AsyncRAT распространяют под видом невинных текстовых файлов в незакрытых от просмотра папках веб-серверов.

#дайджест #APT #новости @П2Т

⛰ Что общего у лавины и регулирования в ИБ?

На этот провокационный вопрос отвечает Андрей Бондюгин в своём энергичном семиминутном выступлении TED-формата, AM Talk. О практических сложностях соблюдения новых законодательных и индустриальных требований к информационной инфраструктуре, об инструментах, упрощающих эту задачу, поговорим на вебинаре уже во вторник!

Обсудим:

🔵 что изменилось в законодательстве ИБ в 2024 году и как это влияет на бизнес;
🔵 чем может помочь наш Регуляторный хаб и какие у него есть функции;
🔵 как хабом пользуются реальные организации и что о нём думают.

Вебинар состоится завтра, 12 ноября в 11:00 (мск)

Зарегистрироваться на вебинар

Посмотреть видео AM Talk

#события #регулирование @П2Т

Только не сообщения в чате, а алерты SIEM.

#ИБ_мем @П2Т

У всех, наверное, есть этот прекрасный коллега?
Ставьте 🔥 если да, и 🌚 — если их больше одного!

#ИБ_мем @П2Т

Всем привет!

Современные компьютерные вирусы умеют скрывать свой вредоносный код. Чтобы ловить такую заразу, нужно анализировать её поведение. Но как сделать, чтобы запуск вредоноса никому не навредил, а сам вирус не мог определить, что его обманули? Обсуждаем методы работы песочниц, ханипотов и других ловушек для опасных зверушек 🍯🪳🕷🦂

Гости выпуска — Дмитрий Кондратьев, ведущий вирусный аналитик группы поведенческого детектирования, и Виталий Бутузов, руководитель группы эвристического детектирования «Лаборатории Касперского».

Слушайте новый эпизод «Двойка по поведению» на всех подкаст-платформах! 🔊🎵🎶

🔥 Практические курсы ИБ — на русском, в удобное время и комфортном темпе!

Наши эксперты иногда проводят тренинги по реагированию на инциденты, реверс-инжинирингу ВПО, поиску угроз с помощью Suricata и Yara, цифровой криминалистике. Но офлайн-тренинги доступны лишь небольшим группам, поэтому самые популярные учебные курсы есть в онлайн-версиях — на платформе Kaspersky Cybersecurity Training.

Можно самостоятельно знакомиться с инструкциями и видеоуроками, а потом отрабатывать навыки в полностью настроенной лаборатории, развёрнутой в облаке. Практиковаться на реальных образцах вредоносного кода и артефактах, которые встречали наши исследователи в своих расследованиях. Для доступа нужен только браузер, учиться можно в своём темпе. При этом для учеников есть чаты по обмену опытом и консультации с преподавателями.

Раньше курсы были доступны только на английском, но теперь у них появляются и русские версии.
Изучите полный список курсов и записывайтесь, пока действует скидка в честь запуска в России!

#события @П2Т

🔆 Как заставить побудить сотрудников воспринимать кибер-риски всерьёз?

Gartner взывает к патриотизму и вспоминает 1942 год — как ни странно, речь вовсе не о политике, а о том, как сделать соблюдение правил безопасности нормой в организации.

Когда во время Второй Мировой в США пропагандировали соблюдение режима секретности, в ходу были плакаты «Loose lips sink ships» (болтуны топят корабли). Наиболее известным русским аналогом является плакат «Болтун — находка для шпиона», но разница между этими сообщениями как раз в том, что американское сразу демонстрирует фатальные последствия нарушения правил безопасности. Именно в этом основная рекомендация исследователей — сделать ощущение кибер-риска более весомым и реальным, чтобы у сотрудников появилась мотивация избегать этого риска, а также применять культурные и социальные рычаги для превращения этого поведения в норму.

Многие программы ИБ в организациях ставят в приоритет знание о рисках и умение их опознавать, но проблема не только в знаниях — опрос Gartner показывает, что 74% сотрудников готовы нарушить известные им политики ИБ для достижения бизнес-задач. Почему? Ответ из топ-3: за это ничего не будет!

Чтобы сделать безопасное поведение поощряемой в организации социальной нормой, рекомендуются пять тактик:

1️⃣ Связать поведение с его последствиями (можно и нужно в позитивном ключе — когда соблюдение лучших практик ИБ упрощает жизнь в организации).

2️⃣ Увязать «кибербезопасное» поведение с уже уважаемыми в организациями ценностями и нормами (техника безопасности на производстве, соблюдение банковской тайны в финорганизациях и так далее).

3️⃣ Усилить восприятие последствий реализованного кибер-риска через социальное давление и ущерб для коллег.

4️⃣ Показать реализацию риска через беды конкретных людей и личный ущерб сотрудникам. Например, серьезный киберинцидент достаточно дорого устранять и это влияет на показатели организации, снижая бонусы всего менеджмента.

5️⃣ Использовать юмор, чтобы любые призывы и примеры запоминались лучше.

Каждая из тактик в исследовании сопровождается примерами, но их некоторая натянутость прекрасно иллюстрирует, как сложно применять подобные подходы на практике, и как важен «индивидуальный пошив» под предметную область и культуру конкретной организации.

Конечно, Гартнер не был бы Гартнером без волшебного квадранта графика, поэтому управление «человеческими» рисками визуализировано на диаграмме выше.

Страница исследования с пейволом Gartner.
Полная версия

#советы #CISO @П2Т

🗣 Защита КИИ: законы и практика

Когда: 13 ноября 2024 в 11:00 (МСК)

Критическая информационная инфраструктура требует не только глубоко продуманной защиты, но и соответствия целому ряду законодательных актов, в том числе регламентирующих сроки и масштабы импортозамещения в этой сфере. В результате отделы ИБ должны решить сложную задачу — соблюсти баланс между общими требованиями своей архитектуры ИБ, бюджетными ограничениями и корректным применением норм законодательства. Как это происходит на практике, поговорим на онлайн-конференции AM Live! Обсудим:

▶️ как менялись требования к защите КИИ и что требуется сегодня;
▶️ есть ли реальные атаки на КИИ и почему кейсы не становятся публичными;
▶️ проводятся ли проверки ФСТЭК и ФСБ;
▶️ что мешает переходить на отечественное ПО на объектах КИИ;
▶️ могут ли помочь отечественные ПАК и есть ли доверенные ПАК;
▶️ что, помимо того что обозначено в законе, нужно делать субъекту;
▶️ что делать, когда ЗОКИИ есть, а денег на защиту не выделяют?

👤 От «Лаборатории Касперского» выступит Андрей Бондюгин, директор направления по сопровождению проектов по промышленной безопасности.

Встречаемся в среду утром: 13 ноября 2024 в 11:00 (МСК).
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶
#события @П2Т

Руководство по оценке EDR от Red Canary мне показался полезным. Ниже приведу список, что мне показалось важным.

EDR - неотъемлемая часть AV, Next-Gen-ов и, собственно, EDR, обеспечивающего визибилити, о чем я писал 8 лет назад. Поэтому предлагаю использовать общий термин, подсмотренный у Gartner, - Endpoint Protection Platfrom (EPP).

Рынок EDR полностью сложился и в общем все вендоры предлагают схожий набор функциональных возможностей, однако, то, что наиболее подходит конкретной организации сильно зависит от особенностей последней.

Функциональные возможности, и необходимая телеметрия, EDR рассматриваются в перспективах: Visibility, Alerting, Prevention, Response, Reporting.

Open Cybersecurity Schema Framework (OCSF) - набирающий популярность стандарт

Некоторые фичи IRP, по агрегации и корреляции алертов от разных поставщиков, отмечены как требуемый функционал от XDR/EDR. Полагаю, это правильно, поскольку, уж если назвали себя "XDR", надо выдавать собранный на базе событий из разных источников алерт, а не требовать внешней агрегации. Однако, вместе с тем, отмечается необходимость SIEM по корреляции и агрегации, что наводит мысль о стандартной (но с моей точки зрения, кривой) схеме: EDR/XDR коррелирует события своих сенсоров, а SIEM делает то же уже с алертами EDR/XDR и событиями других источников за пределами возможностей XDR/EDR.

Prevention, в т.ч. и по поведению - обязательный функционал современного EDR. Приводится некий список того, что надо бы блокировать, но я бы исходил не из конкретных видов активности, а из технической возможности на базе собираемой телеметрии автоматически принять решение о вредоносности активности (я об этом не раз писал, в т.ч. и в статье по ссылке выше).

Для реализации prevention не исключается возможность применения песочниц. Песочницы и эндпоинт хорошо дополняют друг друга, о чем я говорил в докладе

Приведен список респонсов и требуется возможность автоматического исполнения респонсов для некоторых алертов, для чего необходима "легковесная" оркестрация (часть SOAR)

Поскольку размыты границы между EDR/XDR, SIEM, SOAR, обязательно наличие функционального API.

Многе EDR имеют возможность запуска кастомных скриптов, однако надо иметь в виду совместимость версий требуемых интерпретаторов.

Подсвечен риск компрометации самой платформы EDR, что откроет перед атакующим безграничные возможности, а в качестве контроля предлагается MFA 😁. Без комментариев.

Особенно важна инвентаризационная отчетность, как о защищаемой системе (кстати, важная информация для корреляции), так и о состоянии самого защитного решения.

По всему документу можно отметить, что критерии больше подходят для облачного EDR/XDR, что понятно, зная модель бизнеса Канареек. Однако, не вижу большой проблемы поддержки тех же фич и в on-prem.

Документ будет полезен лицам, принимающим решение о выборе EDR\MDR для своей инфраструктуры.

#MDR #vCISO

🤖 Общий подход к ИИ-рискам

В Google доработали свой Secure AI Framework и опубликовали удобный сайт, позволяющий ознакомиться с полным спектром ИИ-рисков на всех этапах жизненного цикла ИИ — от сбора данных и тренировки модели до прикладных аспектов повседневного применения.

Карта носит ознакомительный характер, в разделе resources почему-то перечислены только исследования команд Google, а вот Secure AI development primer представляет собой реально полезный базовый курс по теме.

Рекомендуем обратить внимание на характерные для таких фрейморков подразделы Risks и Controls, которые изложены очень высокоуровнево, но могут служить удобным чеклистом и подсказкой, какие меры стоит внедрить для управления своими ИИ-рисками.

Раздел самооценки позволяет, заполнив короткий опросник, получить индивидуальный список рисков, приоритетный в вашем случае.

#AI #ИИ #советы @П2Т

🚓 Interlock шифрует серверы FreeBSD

С конца сентября отмечаются случаи ransomware-атак на серверы FreeBSD, проводимые новой группировкой Interlock. Это редкий случай — обычно шифровальщики целятся в Linux и ESXi. В арсенале группировки есть и более традиционное ВПО для Windows. Тактика бандитов в целом традиционна — двойное вымогательство с угрозами публикации данных и одновременно шифрование инфраструктуры. На сайте утечек есть информация о шести жертвах.

#угрозы #ransomware #новости @П2Т

🎃 Интересные исследования APT и новости ИБ за неделю

👩‍💻 Powershell под видом капчи: злоумышленники продолжают использовать этот социнженерный трюк, расширяя круг жертв и распространяя троян Amadey в дополнение к инфостилеру Lumma.

👮‍♀️ Детальный разбор многолетней вредоносной кампании Phish'n'Ships, атакующие взломали более 1000 легитимных интернет-магазинов, чтобы через них заманивать посетителей в свои вредоносные магазины и брать деньги за несуществующие товары. Исследователи оценивают ущерб жертв за пять лет в десятки миллионов долларов.

💻 Прямолинейная тактика актора Emeraldwhale оказалась эффективной — всего за два месяца они просканировали широкий диапазон IP-адресов и обнаружили множество неверно сконфигурированных Git-серверов, украв с них более 15000 учётных данных к облачным сервисам.

👀 Серьёзный инцидент с компрометацией цепочки поставок: обновление опенсорсного видеоплеера Lottie Player содержало вредоносный скрипт для кражи криптовалюты. Сайты, применяющие этот плеер, стали запрашивать у посетителей подключение криптокошельков и воровать у согласившихся деньги.

🔄 В целом с доверием становится всё хуже - в том смысле, что доверять некому. В Chrome Web Store долго жило легитимное расширение Hide Youtube Shorts с 100к пользователей, но недавно в нём появилась вредоносная функциональность.

🗿 Админам Confluence приготовиться — на серверах пытаются разворачивать криптомайнер Titan. Для этого используется старая CVE-2023-22527.

Инфостилер SYS01 нацеливают на администраторов бизнес-аккаунтов запрещённой в РФ Meta при помощи вредоносной рекламы — и через угнанные аккаунты начинают крутить вы не поверите какую рекламу, Схему легко перенести на VK, поэтому отечественным маркетологам не стоит расслабляться.

🚓 ФБР отчиталось, что за год прервало более 30 операций ransomware. Хвастаются, что некоторые акторы перестали-таки из-за этого целиться в компании из США. Также отмечено, что больший процент атак теперь не включает в себя собственно шифрование, вымогатели ограничиваются кражей данных.

🛰 Детективная история о том, как Sophos вычислил две специализированных организации по разработке эксплойтов для межсетевых экранов Sophos.

🍏 Обзор техник и инструментов, применяемых предположительно северокорейскими APT для заражения macOS-устройств.

⚙️ Детальный разбор оригинального протокола общения с С2, применяемого в имплантах MuddyRot/BugSleep от APT MuddyWater. Протокол работает на чистых TCP сокетах, поэтому для его блокировки потребуются специальные правила, в статье приведён готовый пример Snort.

🪩 Разбор open source троянца PySilon, написанного на Python и использующего Discord в качестве С2.

📱 Анализ Android-троянца CraxsRAT, применявшегося для атак на российские госорганы.

Новые фичи неприятного Android ВПО FakeCall.

#дайджест #новости @П2Т

Ох, ну и насыщенные вебинарные недели получаются!

Поэтому у нас назрел к вам вопрос! ⬇️

Не можем же мы вас без пользы оставить, но хочется сделать это ещё и удобным 🙂