О небезопасной десериализации
Что такое небезопасная десериализация? Почему исследователи продолжают находить новые векторы атак и успешно эксплуатировать форматы данных, считавшиеся защищенными долгое время?
Если вы постоянно задаетесь такими вопросами, то вам срочно нужно посмотреть доклад Миши Щербакова😃
✅ На реальных примерах в презентации разобраны недостатки, лежащие в корне проблемы небезопасной десериализации. Раскрыт вопрос построения модели угроз, разобраны, какие инструменты и подходы существуют для поиска и эксплуатации новых уязвимостей.
Что такое небезопасная десериализация? Почему исследователи продолжают находить новые векторы атак и успешно эксплуатировать форматы данных, считавшиеся защищенными долгое время?
Если вы постоянно задаетесь такими вопросами, то вам срочно нужно посмотреть доклад Миши Щербакова😃
✅ На реальных примерах в презентации разобраны недостатки, лежащие в корне проблемы небезопасной десериализации. Раскрыт вопрос построения модели угроз, разобраны, какие инструменты и подходы существуют для поиска и эксплуатации новых уязвимостей.
«Работодатель года»
В сентябре прошлого года наш #PTExpertSecurityCenter начал расследование инцидента в одной из крупнейших фармацевтических компаний. Злоумышленникам всего за четыре дня удалось получить частичный контроль над инфраструктурой компании 🕵️
Начав анализировать тактики и техники злоумышленников, мы нашли сходство с атаками группы Lazarus, уже подробно описанными ранее другими специалистами по кибербезопасности 🕵️🕵️♀️
Недавно обнаруженные проблемы, связанные с уязвимостью менеджера пакетов и установочных зависимостей для атак на цепочки поставок мы подробно разобрали на PHDays.
👀 А прочитать историю «работодателя года» можно в нашем исследовании
В сентябре прошлого года наш #PTExpertSecurityCenter начал расследование инцидента в одной из крупнейших фармацевтических компаний. Злоумышленникам всего за четыре дня удалось получить частичный контроль над инфраструктурой компании 🕵️
Начав анализировать тактики и техники злоумышленников, мы нашли сходство с атаками группы Lazarus, уже подробно описанными ранее другими специалистами по кибербезопасности 🕵️🕵️♀️
Недавно обнаруженные проблемы, связанные с уязвимостью менеджера пакетов и установочных зависимостей для атак на цепочки поставок мы подробно разобрали на PHDays.
👀 А прочитать историю «работодателя года» можно в нашем исследовании
Полезные правила для обнаружения хакеров
➡️ Первый день кибербитвы The Standoff. В 10:00 атакующие получили доступ к инфраструктуре, в 10:03 запустили сканеры. В 10:08 PT Application Firewall зафиксировал 4359 атак высокого уровня и 12 269 — среднего 🤷
За пять минут мы увидели, что PT Application Firewall выдал большее количество сработок, чем то, на которое аналитик в состоянии отреагировать. И среди них не было ложноположительных.
➡️ Первый отчет о выявлении уязвимости глобальный SOC получил на 23-й минуте игры. Это была Path Traversal, которая позволяла читать произвольные файлы на сервере. Атакующие первым делом вытащили /etc/passwd.
🔴 как глобальный SOC кибербитвы под управлением #PTExpertSecurityCenter готовил PT Application Firewall к игре,
🔴 какие хитрости мы использовали при написании правил,
🔴 чего нового почерпнули в ходе The Standoff.
Обо всем этом в нашем блоге на Habr
➡️ Первый день кибербитвы The Standoff. В 10:00 атакующие получили доступ к инфраструктуре, в 10:03 запустили сканеры. В 10:08 PT Application Firewall зафиксировал 4359 атак высокого уровня и 12 269 — среднего 🤷
За пять минут мы увидели, что PT Application Firewall выдал большее количество сработок, чем то, на которое аналитик в состоянии отреагировать. И среди них не было ложноположительных.
➡️ Первый отчет о выявлении уязвимости глобальный SOC получил на 23-й минуте игры. Это была Path Traversal, которая позволяла читать произвольные файлы на сервере. Атакующие первым делом вытащили /etc/passwd.
🔴 как глобальный SOC кибербитвы под управлением #PTExpertSecurityCenter готовил PT Application Firewall к игре,
🔴 какие хитрости мы использовали при написании правил,
🔴 чего нового почерпнули в ходе The Standoff.
Обо всем этом в нашем блоге на Habr
Главный редактор SecurityLab.ru Александр Антипов в специальном репортаже security-новостей с Positive Hack Days 10 и киберполигона The Standoff.
В новом выпуске:
🔴 как в руки исследователей попала виртуальная версия спорткара Audi RS 3 LMS TCR гоночной команды AG Team;
🔴 все секреты взлома банкомата, которые надо знать, чтобы сделать его невзламываемым;
🔴 битва за ресурсы виртуального города на The Standoff: защитники против атакующих.
В новом выпуске:
🔴 как в руки исследователей попала виртуальная версия спорткара Audi RS 3 LMS TCR гоночной команды AG Team;
🔴 все секреты взлома банкомата, которые надо знать, чтобы сделать его невзламываемым;
🔴 битва за ресурсы виртуального города на The Standoff: защитники против атакующих.
YouTube
Спецвыпуск самых жарких новостей на PHDays 10
0:00 Встреча Александра Антипова c подписчиками самых жарких новостей по информационной безопасности на форуме PHDays 10
1:06 Начало экскурсии
2:40 Гоночная команда AG Team и их симуляторы гоночного кара Audi RS 3 LMS TCR
7:48 Как взломать банкомат? О конкурсе…
1:06 Начало экскурсии
2:40 Гоночная команда AG Team и их симуляторы гоночного кара Audi RS 3 LMS TCR
7:48 Как взломать банкомат? О конкурсе…
Поковыряемся в Intel ME? 🤓
Руководитель отдела анализа приложений Positive Technilogies Дмитрий Скляров поможет с этим. И расскажет, куда приводит любопытство.
Последние несколько лет Дмитрий участвовал в совместных исследованиях с экспертами ИБ Марком Ермоловым и Максимом Горячим. В основном, объектом изучения была подсистема Intel ME. Но не только 🤘
Смотрите интересную и легкую презентацию о целях исследований, о том, как они начинались и развивались.
Руководитель отдела анализа приложений Positive Technilogies Дмитрий Скляров поможет с этим. И расскажет, куда приводит любопытство.
Последние несколько лет Дмитрий участвовал в совместных исследованиях с экспертами ИБ Марком Ермоловым и Максимом Горячим. В основном, объектом изучения была подсистема Intel ME. Но не только 🤘
Смотрите интересную и легкую презентацию о целях исследований, о том, как они начинались и развивались.
Как прокачаться на The Standoff
The Standoff`21 — это четыре дня напряженной работы, за которые мы приобрели тонну опыта. Прежде всего кибербитва — это шанс отработать навыки оперативного реагирования: выявлять реальные веб-уязвимости и мгновенно писать правила, позволяющие их закрыть. За четыре дня мы написали более 30 правил, которые помогали выявлять атакующих на первых шагах входа в инфраструктуру и уже прицельно следить за дальнейшим развитием векторов реализации рисков.
🤷 Конечно, в реальной жизни при обнаружении подобных уязвимостей самое верное — это устранять их на уровне кода приложения. Но это небыстрый процесс, поэтому оперативное написание правила, блокирующего вредоносные запросы, является важной задачей команды защиты. В повседневной жизни специалисты PT Expert Security Center каждый день анализируют тысячи запросов к веб-ресурсам наших клиентов, чтобы обнаруживать новые векторы атак на всевозможные системы и противодействовать им.
✅ Главным показателем нашей работы как глобального SOC стало то, что мы полностью понимали ход игры, знали, где есть уязвимости, где команды находятся в конкретный момент, и в большинстве случаев видели реализацию рисков задолго до получения отчета от атакующих. Киберполигон The Standoff — отличный шанс найти пробелы в собственных знаниях и стать лучше, расти и совершенствовать подходы к мониторингу.
The Standoff`21 — это четыре дня напряженной работы, за которые мы приобрели тонну опыта. Прежде всего кибербитва — это шанс отработать навыки оперативного реагирования: выявлять реальные веб-уязвимости и мгновенно писать правила, позволяющие их закрыть. За четыре дня мы написали более 30 правил, которые помогали выявлять атакующих на первых шагах входа в инфраструктуру и уже прицельно следить за дальнейшим развитием векторов реализации рисков.
🤷 Конечно, в реальной жизни при обнаружении подобных уязвимостей самое верное — это устранять их на уровне кода приложения. Но это небыстрый процесс, поэтому оперативное написание правила, блокирующего вредоносные запросы, является важной задачей команды защиты. В повседневной жизни специалисты PT Expert Security Center каждый день анализируют тысячи запросов к веб-ресурсам наших клиентов, чтобы обнаруживать новые векторы атак на всевозможные системы и противодействовать им.
✅ Главным показателем нашей работы как глобального SOC стало то, что мы полностью понимали ход игры, знали, где есть уязвимости, где команды находятся в конкретный момент, и в большинстве случаев видели реализацию рисков задолго до получения отчета от атакующих. Киберполигон The Standoff — отличный шанс найти пробелы в собственных знаниях и стать лучше, расти и совершенствовать подходы к мониторингу.
Банки договорились с властями о постепенном переходе на российский софт
Требование об импортозамещении должно вступить в силу с начала 2023 года. По плану, банки будут заменять иностранное ПО и оборудование на отечественный аналог по мере истечения действия лицензий или сроков амортизации. Им не придется делать это одномоментно.
Напоминаем, что на PHDays есть стенд Payment Village, где каждый может попрактиковаться в атаках на банковские системы (в рамках закона, конечно же). Туда же мы приглашаем экспертов, которые рассказывают, как работают платежные устройства и какие в них уязвимости. Еще они делятся кейсами из проектов по анализу защищенности. В специальной демозоне продемонстрированы сценарии атак на банкоматы и POS-терминалы 😎
✅ А самых смелых всегда ждем на The Standoff, где команды атакующих устроят краш-тест (чаще всего жесткий) любой системе.
Подробнее
Требование об импортозамещении должно вступить в силу с начала 2023 года. По плану, банки будут заменять иностранное ПО и оборудование на отечественный аналог по мере истечения действия лицензий или сроков амортизации. Им не придется делать это одномоментно.
Напоминаем, что на PHDays есть стенд Payment Village, где каждый может попрактиковаться в атаках на банковские системы (в рамках закона, конечно же). Туда же мы приглашаем экспертов, которые рассказывают, как работают платежные устройства и какие в них уязвимости. Еще они делятся кейсами из проектов по анализу защищенности. В специальной демозоне продемонстрированы сценарии атак на банкоматы и POS-терминалы 😎
✅ А самых смелых всегда ждем на The Standoff, где команды атакующих устроят краш-тест (чаще всего жесткий) любой системе.
Подробнее
Hack me, если сможешь 👀
Теперь лучшие выступления с PHDays можно не только смотреть, но и слушать. Мы запустили свой подкаст.
Подключайтесь на любой удобной вам платформе: Яндекс Музыке, Apple Подкастах, Google, VK.
И, конечно, подписывайтесь и ставьте лайки 🖤
Теперь лучшие выступления с PHDays можно не только смотреть, но и слушать. Мы запустили свой подкаст.
Подключайтесь на любой удобной вам платформе: Яндекс Музыке, Apple Подкастах, Google, VK.
И, конечно, подписывайтесь и ставьте лайки 🖤
Четыре из пяти объектов электроэнергетики могут быть уязвимы для кибератак из-за рубежа
НТИ «Энерджинет» сообщает, что 80% отечественных производителей вторичного оборудования для электроэнергетики используют иностранную электронную компонентную базу и 40% разработчиков — зарубежное ПО. Низкий процент использования отечественных ЭКБ и ПО в электроэнергетике, создают риски не только кибератак, но и отказа работы оборудования на фоне геополитической ситуации, отметили эксперты.
🤷 Зачем ждать, пока кто-то воспользуется уязвимостями и выведет из строя промышленный объект?
На The Standoff уже несколько лет используются микропроцессорные устройства, применяемые в составе вторичных систем, в частности, вторичного оборудования. В том числе и российского производства.
На киберполигоне цифровой обмен между устройствами выполнен с использованием протоколов стандарта МЭК 61850 и МЭК 60870-5-104, широко применяемых в электроэнергетике. Мы можем подключить аналогичные системы, в том числе и вторичное оборудование для электроэнергетики. То есть любой российский разработчик может проверить, смогут ли его разработки противостоять настоящим хакерам в реальных условиях.
Приходите на The Standoff! Мы не зря это все придумали 🤘
НТИ «Энерджинет» сообщает, что 80% отечественных производителей вторичного оборудования для электроэнергетики используют иностранную электронную компонентную базу и 40% разработчиков — зарубежное ПО. Низкий процент использования отечественных ЭКБ и ПО в электроэнергетике, создают риски не только кибератак, но и отказа работы оборудования на фоне геополитической ситуации, отметили эксперты.
🤷 Зачем ждать, пока кто-то воспользуется уязвимостями и выведет из строя промышленный объект?
На The Standoff уже несколько лет используются микропроцессорные устройства, применяемые в составе вторичных систем, в частности, вторичного оборудования. В том числе и российского производства.
На киберполигоне цифровой обмен между устройствами выполнен с использованием протоколов стандарта МЭК 61850 и МЭК 60870-5-104, широко применяемых в электроэнергетике. Мы можем подключить аналогичные системы, в том числе и вторичное оборудование для электроэнергетики. То есть любой российский разработчик может проверить, смогут ли его разработки противостоять настоящим хакерам в реальных условиях.
Приходите на The Standoff! Мы не зря это все придумали 🤘
Известия
Меж двух сетей: 80% объектов электроэнергетики назвали уязвимыми для кибератак
Какие риски несет задержка с переходом на отечественное ПО и оборудование
Количество атак на интернет вещей выросло в 8 раз
Основными проблемами в безопасности IoT являются уязвимости в программном обеспечении и использование учетных записей по умолчанию🤦
Поэтому следует регулярно обновлять ПО, а также убедиться, что стандартные учетные записи отключены и установлены надежные пароли. Нужно мониторить и анализировать сетевой трафик в инфраструктуре для того, чтобы вовремя распознать нелегитимную активность в сети в случае взлома.
✅ Предлагаем обзор проблем безопасности экосистемы интернета вещей, которые в значительной степени отражают текущий уровень безопасности устройств в мире интернета вещей - от коммуникаций до физических атак, изучения прошивок, криптографических хранилищ, серверных и мобильных приложений.
Педро Умбелино расскажет о камерах наблюдения, умных пылесосах, дверных звонках и других устройствах, которые начинают повсеместно встречаться в нашей жизни. Поговорит о том, в каком направлении еще предстоит развиваться, и о последствиях отсутствия контроля безопасности для обычного пользователя.
Подробнее об атаках
Основными проблемами в безопасности IoT являются уязвимости в программном обеспечении и использование учетных записей по умолчанию🤦
Поэтому следует регулярно обновлять ПО, а также убедиться, что стандартные учетные записи отключены и установлены надежные пароли. Нужно мониторить и анализировать сетевой трафик в инфраструктуре для того, чтобы вовремя распознать нелегитимную активность в сети в случае взлома.
✅ Предлагаем обзор проблем безопасности экосистемы интернета вещей, которые в значительной степени отражают текущий уровень безопасности устройств в мире интернета вещей - от коммуникаций до физических атак, изучения прошивок, криптографических хранилищ, серверных и мобильных приложений.
Педро Умбелино расскажет о камерах наблюдения, умных пылесосах, дверных звонках и других устройствах, которые начинают повсеместно встречаться в нашей жизни. Поговорит о том, в каком направлении еще предстоит развиваться, и о последствиях отсутствия контроля безопасности для обычного пользователя.
Подробнее об атаках
Positive Events
Hack me, если сможешь 👀 Теперь лучшие выступления с PHDays можно не только смотреть, но и слушать. Мы запустили свой подкаст. Подключайтесь на любой удобной вам платформе: Яндекс Музыке, Apple Подкастах, Google, VK. И, конечно, подписывайтесь и ставьте…
На всякий случай, напоминаем. Делаем новые выпуски каждый день 🐴
1000 и 1 способ забайпасить IDS и RDP-клиент о котором вы еще не слышали 👩🦳
Разбираем конкурс IDS Bypass на Positive Hack Days 10 👇🏼
Разбираем конкурс IDS Bypass на Positive Hack Days 10 👇🏼
Forwarded from Codeby
Codeby Radio теперь везде :)
С момента запуска подкастов и новостных выпусков на форуме, мы получили отличный feedback 👍! Мы крайне рады, что вам понравилась наша инициатива, но нет предела совершенству, мы будем и дальше работать над улучшением сервиса подкастов на The Codeby.
Один из основных пунктов, о которых вы нам писали, это - неудобство прослушивания подкастов и дайджестов вне дома. И правда, что может быть приятнее, чем послушать хороший подкаст в поездке🚗, грея косточки на пляже🏝 или утренней пробежке👟.
Именно поэтому мы разместили подкасты "Радио Кодебай" на таких популярных площадках как:
🎧 Apple Podcasts
🎧 Google Podcasts
🎧 Yandex Podcasts
🎧 VK.com Podcasts
🎧 RSS.com Poscasts
🎧 Spotify Podcasts (возможны региональные ограничения)
Мы всегда открыты для вашей критики и предложений!
Команда The Codeby желает вам жаркого лета☀️ и приятного прослушивания🎧!
С момента запуска подкастов и новостных выпусков на форуме, мы получили отличный feedback 👍! Мы крайне рады, что вам понравилась наша инициатива, но нет предела совершенству, мы будем и дальше работать над улучшением сервиса подкастов на The Codeby.
Один из основных пунктов, о которых вы нам писали, это - неудобство прослушивания подкастов и дайджестов вне дома. И правда, что может быть приятнее, чем послушать хороший подкаст в поездке🚗, грея косточки на пляже🏝 или утренней пробежке👟.
Именно поэтому мы разместили подкасты "Радио Кодебай" на таких популярных площадках как:
🎧 Apple Podcasts
🎧 Google Podcasts
🎧 Yandex Podcasts
🎧 VK.com Podcasts
🎧 RSS.com Poscasts
🎧 Spotify Podcasts (возможны региональные ограничения)
Мы всегда открыты для вашей критики и предложений!
Команда The Codeby желает вам жаркого лета☀️ и приятного прослушивания🎧!
👍1
Telegram стал самым скачиваемым приложением в России за второй квартал 2021 года
Чем больше пользователей, тем больше и злоумышленников. Месседжеры часто используются для управления своим вредоносным ПО или скачиванием своих компонент. И это неудивительно: тот же Telegram уменьшает накладные расходы, связанные с необходимостью арендовать VPS, покупать домен, заботиться о сокрытии своих персональных и банковских данных. Предлагаем обзор популярного в Telegram ВПО 👇🏼
❌ Модифицированный QuasarRAT
QuasarRAT – популярная утилита удаленного администрирования для Windows с открытым исходным кодом, написана на C#. Ее возможности очень широки: поддержка IPv6, файловый менеджер, диспетчер задач, управление файлами, удаленные рабочий стол и консоль, редактор реестра, кейлоггер, восстановление паролей… Неудивительно, что такая программа станет объектом добавления новой функциональности. Мы наблюдаем отдельные экземпляры данной утилиты, которые работают с применением Telegram API.
❌ Echelon Stealer
Совершенно случайно у нас затесалось очень много семплов, представляющих собой Echelon – опенсорсный стилер, написанный на C#, не особо популярный на Гитхабе. Можно отметить интересную обфускацию строк – они пожаты GZIP-ом, затем накрыты base64. Также автор заботливо продублировал описание проекта на русском и английском. Данный стилер собирает информацию о системе, содержимое буфера обмена, учетные записи Discord, Telegram, популярных VPN-сервисов, Outlook, FileZilla, а также крадёт данные из криптокошельков, в последней версии поддерживая 12 различных клиентов. Собранную информацию он отправляет злоумышленнику через телеграм бота.
❌ Snake Keylogger
Сравнительно новый стилер, первые упоминания о котором появились в январе 2021. Snake написан под .Net Framework, имеет модульную структуру и, судя по отчету компании HP, часто накрывается различными обфускаторами. Использует два стандартных способа для закрепления – копирование себя в папку автозапуска и использование ключа реестра Run. Конфигурационный файл предполагает использование связи с командным центром посредством FTP, SMTP или Telegram. Присутствуют модули сбора ввода с клавиатуры, создания скриншотов, извлечения паролей из браузеров, почтовых клиентов, месседжеров Discord и Pidgin, FTP-клиента FileZilla.
❌ Bainky / Telegram-RAT
Тоже достаточно серьезная программа для удаленного администрирования, написанная на Python. Умеет собирать видеопоток с экрана, захватывать камеру и звук, отправлять компьютер на перезагрузку, выключение, в гибернацию, разлогинивать пользователя и вызывать синий экран смерти, прописываться в автозагрузки, управлять файлами и процессами, а также просто ради развлечения запускать форкбомбу, зипбомбу, открывать пользователю ссылки, устанавливать обои рабочего стола, показывать и произносить сообщения. Обладает широкими возможностями по краже данных из различных источников: закладки, пароли, куки, история посещений, сессии телеграма, токены Дискорда, сохраненные данные подключения к Wi-Fi, кредитные карты.
Чем больше пользователей, тем больше и злоумышленников. Месседжеры часто используются для управления своим вредоносным ПО или скачиванием своих компонент. И это неудивительно: тот же Telegram уменьшает накладные расходы, связанные с необходимостью арендовать VPS, покупать домен, заботиться о сокрытии своих персональных и банковских данных. Предлагаем обзор популярного в Telegram ВПО 👇🏼
❌ Модифицированный QuasarRAT
QuasarRAT – популярная утилита удаленного администрирования для Windows с открытым исходным кодом, написана на C#. Ее возможности очень широки: поддержка IPv6, файловый менеджер, диспетчер задач, управление файлами, удаленные рабочий стол и консоль, редактор реестра, кейлоггер, восстановление паролей… Неудивительно, что такая программа станет объектом добавления новой функциональности. Мы наблюдаем отдельные экземпляры данной утилиты, которые работают с применением Telegram API.
❌ Echelon Stealer
Совершенно случайно у нас затесалось очень много семплов, представляющих собой Echelon – опенсорсный стилер, написанный на C#, не особо популярный на Гитхабе. Можно отметить интересную обфускацию строк – они пожаты GZIP-ом, затем накрыты base64. Также автор заботливо продублировал описание проекта на русском и английском. Данный стилер собирает информацию о системе, содержимое буфера обмена, учетные записи Discord, Telegram, популярных VPN-сервисов, Outlook, FileZilla, а также крадёт данные из криптокошельков, в последней версии поддерживая 12 различных клиентов. Собранную информацию он отправляет злоумышленнику через телеграм бота.
❌ Snake Keylogger
Сравнительно новый стилер, первые упоминания о котором появились в январе 2021. Snake написан под .Net Framework, имеет модульную структуру и, судя по отчету компании HP, часто накрывается различными обфускаторами. Использует два стандартных способа для закрепления – копирование себя в папку автозапуска и использование ключа реестра Run. Конфигурационный файл предполагает использование связи с командным центром посредством FTP, SMTP или Telegram. Присутствуют модули сбора ввода с клавиатуры, создания скриншотов, извлечения паролей из браузеров, почтовых клиентов, месседжеров Discord и Pidgin, FTP-клиента FileZilla.
❌ Bainky / Telegram-RAT
Тоже достаточно серьезная программа для удаленного администрирования, написанная на Python. Умеет собирать видеопоток с экрана, захватывать камеру и звук, отправлять компьютер на перезагрузку, выключение, в гибернацию, разлогинивать пользователя и вызывать синий экран смерти, прописываться в автозагрузки, управлять файлами и процессами, а также просто ради развлечения запускать форкбомбу, зипбомбу, открывать пользователю ссылки, устанавливать обои рабочего стола, показывать и произносить сообщения. Обладает широкими возможностями по краже данных из различных источников: закладки, пароли, куки, история посещений, сессии телеграма, токены Дискорда, сохраненные данные подключения к Wi-Fi, кредитные карты.
👍2
Hack me, если сможешь
Хотим напомнить, что теперь у нас есть подкаст с лучшими выступлениями с Positive Hack Days. Новый выпуск каждый день 🤘
Подключайтесь 👇🏼
❇️ Яндекс Музыка
❇️ Apple Подкасты
❇️ Google
❇️ VK
Хотим напомнить, что теперь у нас есть подкаст с лучшими выступлениями с Positive Hack Days. Новый выпуск каждый день 🤘
Подключайтесь 👇🏼
❇️ Яндекс Музыка
❇️ Apple Подкасты
❇️ Google
❇️ VK
👍3❤1
По следам майского The Standoff – продолжение. У нас новый материал на Habr с очередным разбором улова в продуктах Positive Technologies.
Что примечательного мы увидели в действиях атакующих с помощью промышленного NTA (network traffic analysis) #PTISIM PT Industrial Security Incident Manager, читайте в статье Сергея Петрова и Сергея Щукина.
Что примечательного мы увидели в действиях атакующих с помощью промышленного NTA (network traffic analysis) #PTISIM PT Industrial Security Incident Manager, читайте в статье Сергея Петрова и Сергея Щукина.
Хабр
По следам The Standoff2021. Какие промышленные системы удалось взломать атакующим и как PT ISIM детектировал их действия
Мы продолжаем уже ставший традиционным цикл статей о том, как продукты Positive Technologies — MaxPatrol SIEM, PT Network Attack Discovery, PT Sandbox, PT Industrial Security Incident Manager и...
О ВПО для Discord
Объем вредонсного ПО, использующего Discord, в пять раз больше, чем у Telegram. Это объясняется особенностью аудитории: менее подкованная в вопросах информационной безопасности, ориентированная на игры. Здесь можно встретить вредоносы, которые позиционируются как читы для игр или сами игры. Видим ли мы здесь что-либо оригинальное и интересное? К сожалению, нет. Подавляющее большинство вредоносов – простенькие немногофункциональные стилеры, которые действуют по схожему принципу. Часть из них написана под .Net Framework.
❌ ReaperGrabber / TokenGrabber / TokenStealer
Имя им легион. Многочисленные свободно доступные версии, исходный код на C#. Некоторые детали различаются в зависимости от версии, но всё сводится к тому, чтобы украсть токен пользователя Discord, таким образом угнав аккаунт. Отправить токен можно через тот же Discord. Иногда к этому функционалу добавляется кража криптокошельков, браузерных данных. В некоторых случаях они распространяются не как самостоятельные программы, а часть чего-то окололегитимного.
Для того, чтобы найти токен от Discord, стилеры обходят файлы с расширениями .log и .ldb в локальных хранилищах приложений Discord, Discord Canary, Discord PTB и Chromium-based браузеров в поисках значения, которое описывается определенным регулярным выражением.
❌ 600 Bytes Binaries
Помимо возможности отправлять пользовательские данные злоумышленнику, API Discord используется также для скачивания стейджей. Нами были обнаружены маленькие стейджы по 618-629 байт, которые занимаются скачиванием и запуском бинаря, скачанного ими же с CDN Discord-а.
❌ Excel Downloaders
Тут тоже будем малословны: обычное скачивание исполняемых файлов, но с использованием инфраструктуры Discord.
❌ SadLife Stealer
Если задаться целью найти что-либо оригинальное, то можно обратить внимание на стилер SadLife, первый стейдж которого является загрузчиком. В коде реализованы такие проверки окружения, как нахождение в виртуальной машине VmWare или VirtualBox, проверка, что MAC-адрес не является стандартным для app.any.run – и это уже делает это приложение на пару голов выше своих аналогов. Также программа имеет продолжение своей карьеры – вместо того, чтобы просто скинуть украденную информацию и на этом завершить свою миссию, она скачивает следующий стейдж и запускает его. Тот уже в свою очередь позаботится об отключении MS Defender и скачает в том числе NirSoft-овские утилиты WebBrowserPassView, WebBrowserHistoryView, MZCookiesView – для того, чтобы по-умному сдампить необходимую чувствительную информацию.
Объем вредонсного ПО, использующего Discord, в пять раз больше, чем у Telegram. Это объясняется особенностью аудитории: менее подкованная в вопросах информационной безопасности, ориентированная на игры. Здесь можно встретить вредоносы, которые позиционируются как читы для игр или сами игры. Видим ли мы здесь что-либо оригинальное и интересное? К сожалению, нет. Подавляющее большинство вредоносов – простенькие немногофункциональные стилеры, которые действуют по схожему принципу. Часть из них написана под .Net Framework.
❌ ReaperGrabber / TokenGrabber / TokenStealer
Имя им легион. Многочисленные свободно доступные версии, исходный код на C#. Некоторые детали различаются в зависимости от версии, но всё сводится к тому, чтобы украсть токен пользователя Discord, таким образом угнав аккаунт. Отправить токен можно через тот же Discord. Иногда к этому функционалу добавляется кража криптокошельков, браузерных данных. В некоторых случаях они распространяются не как самостоятельные программы, а часть чего-то окололегитимного.
Для того, чтобы найти токен от Discord, стилеры обходят файлы с расширениями .log и .ldb в локальных хранилищах приложений Discord, Discord Canary, Discord PTB и Chromium-based браузеров в поисках значения, которое описывается определенным регулярным выражением.
❌ 600 Bytes Binaries
Помимо возможности отправлять пользовательские данные злоумышленнику, API Discord используется также для скачивания стейджей. Нами были обнаружены маленькие стейджы по 618-629 байт, которые занимаются скачиванием и запуском бинаря, скачанного ими же с CDN Discord-а.
❌ Excel Downloaders
Тут тоже будем малословны: обычное скачивание исполняемых файлов, но с использованием инфраструктуры Discord.
❌ SadLife Stealer
Если задаться целью найти что-либо оригинальное, то можно обратить внимание на стилер SadLife, первый стейдж которого является загрузчиком. В коде реализованы такие проверки окружения, как нахождение в виртуальной машине VmWare или VirtualBox, проверка, что MAC-адрес не является стандартным для app.any.run – и это уже делает это приложение на пару голов выше своих аналогов. Также программа имеет продолжение своей карьеры – вместо того, чтобы просто скинуть украденную информацию и на этом завершить свою миссию, она скачивает следующий стейдж и запускает его. Тот уже в свою очередь позаботится об отключении MS Defender и скачает в том числе NirSoft-овские утилиты WebBrowserPassView, WebBrowserHistoryView, MZCookiesView – для того, чтобы по-умному сдампить необходимую чувствительную информацию.