По следам майского The Standoff – продолжение. У нас новый материал на Habr с очередным разбором улова в продуктах Positive Technologies.

Что примечательного мы увидели в действиях атакующих с помощью промышленного NTA (network traffic analysis) #PTISIM PT Industrial Security Incident Manager, читайте в статье Сергея Петрова и Сергея Щукина.

О ВПО для Discord

Объем вредонсного ПО, использующего Discord, в пять раз больше, чем у Telegram. Это объясняется особенностью аудитории: менее подкованная в вопросах информационной безопасности, ориентированная на игры. Здесь можно встретить вредоносы, которые позиционируются как читы для игр или сами игры. Видим ли мы здесь что-либо оригинальное и интересное? К сожалению, нет. Подавляющее большинство вредоносов – простенькие немногофункциональные стилеры, которые действуют по схожему принципу. Часть из них написана под .Net Framework.

❌ ReaperGrabber / TokenGrabber / TokenStealer
Имя им легион. Многочисленные свободно доступные версии, исходный код на C#. Некоторые детали различаются в зависимости от версии, но всё сводится к тому, чтобы украсть токен пользователя Discord, таким образом угнав аккаунт. Отправить токен можно через тот же Discord. Иногда к этому функционалу добавляется кража криптокошельков, браузерных данных. В некоторых случаях они распространяются не как самостоятельные программы, а часть чего-то окололегитимного.

Для того, чтобы найти токен от Discord, стилеры обходят файлы с расширениями .log и .ldb в локальных хранилищах приложений Discord, Discord Canary, Discord PTB и Chromium-based браузеров в поисках значения, которое описывается определенным регулярным выражением.
 
❌ 600 Bytes Binaries
Помимо возможности отправлять пользовательские данные злоумышленнику, API Discord используется также для скачивания стейджей. Нами были обнаружены маленькие стейджы по 618-629 байт, которые занимаются скачиванием и запуском бинаря, скачанного ими же с CDN Discord-а.
 
❌ Excel Downloaders
Тут тоже будем малословны: обычное скачивание исполняемых файлов, но с использованием инфраструктуры Discord.
 
❌ SadLife Stealer
Если задаться целью найти что-либо оригинальное, то можно обратить внимание на стилер SadLife, первый стейдж которого является загрузчиком. В коде реализованы такие проверки окружения, как нахождение в виртуальной машине VmWare или VirtualBox, проверка, что MAC-адрес не является стандартным для app.any.run – и это уже делает это приложение на пару голов выше своих аналогов. Также программа имеет продолжение своей карьеры – вместо того, чтобы просто скинуть украденную информацию и на этом завершить свою миссию, она скачивает следующий стейдж и запускает его. Тот уже в свою очередь позаботится об отключении MS Defender и скачает в том числе NirSoft-овские утилиты WebBrowserPassView, WebBrowserHistoryView, MZCookiesView – для того, чтобы по-умному сдампить необходимую чувствительную информацию.

Похоже на вступление к новому The Standoff. Oh, wait 😏

💻🦠 В России зафиксированы следы атак хакерской группировки АРТ31, которую ряд экспертов связывает с китайскими спецслужбами. Она известна атаками на пользователей, связанных с выборами президента США в 2020 году и кандидатами на этот пост, госорганы Норвегии, Финляндии, Германии и др.

По данным компании Positive Technologies, в первом полугодии APT31 начала атаковать также цели в России. Кто попал под удар, размер причиненного ущерба и другие детали не раскрываются из-за политики конфиденциальности. Про указанную группировку известно, что они отправляют фишинговые письма со ссылкой на подставной домен, который полностью имитирует домен тех или иных госорганов. При открытии ссылки в компьютер пользователя попадает троян удаленного доступа, который создает на зараженном устройстве вредоносную библиотеку и устанавливает специальное приложение. Далее приложение запускает одну из функций загруженной вредоносной библиотеки, и управление компьютером переходит в руки злоумышленника.

https://www.rbc.ru/technology_and_media/03/08/2021/6107fcc09a794706703760d8?from=newsfeed?utm_source=telegram&utm_medium=messenger

Съемочная группа security-новостей с Александром Антиповым, главредом Securitylab.ru, вернулась отдохнувшей и вдохновленной. Поэтому встречайте долгожданный двадцать пятый выпуск.

Темы нового ролика:

🔴 киберпреступники к 2025 году вооружатся технологиями для убийства людей,
🔴 шпионаж присутствует в каждой крупной компании, даже если его не видно,
🔴 Джо Байден предупредил о кибератаках, способных привести к реальным боевым действиям,
🔴 Apple исправила 13-ю в нынешнем году уязвимость нулевого дня,
🔴 Oracle исправила 342 уязвимости в своих продуктах,
🔴 китайские кибершпионы используют сеть домашних маршрутизаторов, чтобы скрыть источник атак,
🔴 закрытый видеохостинг Vidme стал причиной появления порно на сайтах крупных американских СМИ,
🔴 хакеры под видом online-инструктора по аэробике атаковали оборонных подрядчиков,
🔴 VPN-сервис Windscribe не использовал шифрование для своих VPN-серверов, изъятых Службой безопасности Украины (СБУ).

О безопасной разработке

Разработчики уделяют большое внимание дизайну программных продуктов для гаджетов, стараясь сделать их максимально удобными. Люди охотно устанавливают мобильные приложения и регистрируются в них 🙆

А что насчет безопасности данных, которые мы доверяем производителям этих приложений? И как вообще научиться создавать безопасные приложения?

Наши коллеги из Яндекса поделились своим опытом на PHDays и показали систему, позволяющую тренироваться в поиске и исправлении уязвимостей. Каждое задание в этой системе состоит из кода, содержащего уязвимости. Задача разработчика найти заложенную проблему и ее исправить

🔊 Слушать
👀 Смотреть

#ЧитаемPositiveResearch – ну что ж, остался всего один непрочитанный материал из текущего номера нашего сборника исследований по практической безопасности. Устраивайтесь поудобнее и переходите на страницу 95. Будет интересно.

📍Сегодня в номере – взгляд на битву The Standoff со стороны #PTExpertSecurityCenter, который уже несколько лет играет роль глобального SOC кибербитвы. О том, на каких технологиях – продуктах Positive Technologies – работал SOC и кому стоит обязательно проверить свои компетенции или ПО в следующем The Standoff, рассказал заместитель управляющего директора по технологиям кибербезопасности Павел Кузнецов.

Есть пара вопросов 😃

Вы были на PHDays и The Standoff?

Что вам понравилось, а что нет? Как вам формат? Все ли удобно на площадке? Хотели бы что-то убрать или наоборот добавить? Как вам приглашенные спикеры? Открыли ли что-то новое для себя? Удобно ли вам было смотреть онлайн-трансляцию?

🚀 А если не были, то хотели бы пойти? На что вы готовы ради этого?

Авторам двух понравившихся нам ответов подарим мерч 😎

Как мы делаем The Standoff  👇🏼

Для сохранения баланса между реалистичностью инфраструктуры и ее сложностью на киберполигоне, мы выделяем и упрощаем ключевые элементы систем в ИТ-ландшафтах типовых компаний.

Чтобы в боевых условиях проверить, смогут ли атакующие пройти, мы стремимся использовать реальный софт, приделать настоящие настройки и «закрутить гайки безопасности».

Например, базовая корпоративная инфраструктура объектов на полигоне состоит из современного офисного софта: почтового сервера, файлового сервера, CRM- и ERP-систем, а также другого прикладного ПО, которое мы все так или иначе используем для работы 🧐

В спецвыпуске security-новостей главред SecurityLab.ru Александр Антипов и его гость Ярослав Бабин расскажут о самых заметных новостях и инцидентах, связанных с уязвимостями веб-приложений.

Темы нового ролика:

🔴 хакеры эксплуатируют 0-day-уязвимость в WordPress-плагине Fancy Product Designer,
🔴 неизвестные взломали Git-репозиторий PHP для внедрения бэкдора в исходный код,
🔴 хакеры взламывают WordPress-сайты через уязвимость в плагине Easy WP SMTP.

Что интересного посмотреть вечером?

📌 Сегодня в 18:00 (мск) Ярослав Бабин расскажет о том, как стал пентестером, даст свои советы будущим исследователям, а также вместе с ребятами из Codeby обсудит наш легендарный киберполигон The Standoff.

Кто такой Яр Бабин?

▪️ Руководитель отдела анализа защищенности приложений в Positive Technologies @ptswarm
▪️ Специалист по веб и финансовым приложениям, социальной инженерии, пентесте ATM
▪️ Организатор The Standoff и Positive Hack Days
▪️ Спикер PowerOfCommunity, PacSec, ZeroNights, KazHackStan, ArmSec и др.
▪️ В прошлом - багхантер (Яндекс, Mail.Ru, Mozilla и др.), участник CTF-команды Antichat

Смотрите прямой эфир на канале Codeby

Не пропустите AM Camp Summer 2021 Anti-Malware.ru! Прямая трансляция стартует совсем скоро.

В панельной дискуссии в 10:00 примет участие Максим Филиппов, где вместе с коллегами из BI.ZONE, Ростелеком, Check Point Software Technologies и Ростелеком-Солар обсудит последние изменения карты рисков кибербезопасности.

Подключиться🚀

Об атаках через цепочку поставок

🤷 Есть мнение, что слабым звеном в экосистеме являются маленькие организации, которые находятся в ее периметре, имеют доступ к информационным ресурсам крупных организаций, к их базам данных, но при этом не в состоянии оценить, насколько рискован собственный бизнес, и не понимают, как выстраивать его информационную безопасность.

❓Что думаете об этом?

Противодействие атакам через цепочку поставок (Supply Chain Attacks) — действительно одно из самых сложных направлений информационной безопасности. Включая в экосистему стороннего разработчика, развертывая его продукты на своих платформах организация попадает в зависимость от того, насколько добросовестно поставщик относится к вопросам безопасности. С одной стороны, владелец экосистемы не обладает полным контролем над процессом разработки, контроля качества и технической поддержки приложений, интегрируемых в экосистему. С другой стороны, такие приложения, если нарушитель обнаруживает в нем уязвимость, становятся плацдармом для развития атаки на остальные приложения экосистемы в обход большинства мер защиты экосистемы.

Подобные «слабые звенья» в экосистемах используются нарушителями очень часто. Так, уязвимости серверов контента, размещаемых в технологических сетях операторов связи, позволяют преступникам получать доступ к опорным сетям связи и манипулировать телефонными звонками - перехватывать звонки, звонить и отправлять SMS-сообщения от имени банков. Таким образом, тот вал телефонного мошенничества, который мы наблюдаем сегодня, отчасти стал результатом неспособности экосистемы сотовой связи защититься от использования нарушителями уязвимых сторонних компонентов 🤦

При этом масштаб атак через цепочки поставок постоянно возрастает: так, если массовое заражение вирусом-вымогателем клиентов компании MeDoc в 2017 году было экстраординарным событием, то сегодня новости о массовой компрометации клиентов через аутсорсинг (инциденты с компаниями SolarWinds, Kaseya и т.п.) воспринимаются как повседневное явление.

Посмотреть доклад Абхинава Васиштхи по этой теме можно здесь (только на английском)👀

По следам The Standoff, продолжение. Наступил черед рассказать вам о том, что интересного детектировал во время кибербитвы #MaxPatrolSIEM.

🔴 Какие сценарии взлома использовали атакующие?
🔴 Какие тактики и техники проникновения и закрепления стали самыми распространенными среди команд красных?
🔴 Эксплуатация какой нашумевшей уязвимости позволила уронить контейнеры в морском порту?
🔴 А что вызвало полную остановку ветрогенераторов в городе?

Ответы на эти и другие вопросы вы найдете в материале Алексея Леднева из команды #PTExpertSecurityCenter в нашем блоге на Habr.

Кейлогер Snake вошел в топ-3 активных вредоносов

Это первый случай, когда кейлогер вошел вглобальный рейтинг вредоносов 🤷

Snake занял и пятое место по России, успев поразить 4,3% организаций. Как отметили исследователи, он является модульным кейлогером, записывающим нажатия клавиш, фиксирующим учётные данные и передающим всю эту информацию злоумышленникам.

🤟Самое время поговорить про проактивный детект и изучить сценарии для обнаружения зловредного действия.

Слушать
Смотреть

Как научиться безопасной разработке

В погоне за удобными интерфейсами и модным дизайном программных продуктов для гаджетов, не забывают ли разработчики о безопасности? Люди охотно устанавливают мобильные приложения и регистрируются в них.

❓Что насчет данных, которые мы доверяем производителям? И как научить(ся) создавать безопасные приложения?

На майском PHDays наши коллеги из «Яндекса» — Анна Максимова и Алексей Мещеряков — поделились своим опытом в обучении разработчиков и показали участникам систему, позволяющую тренироваться в поиске и исправлении уязвимостей 😎

Идея обучения безопасной разработке в том, что уязвимость кто-то все равно когда-нибудь найдет, и код в итоге придется переписывать. Чтобы этого избежать, разработчиков необходимо научить писать хорошие коды (сразу!).

Подробнее на Хабре

Hack me, если сможешь. Это не призыв к действию, а подкаст! Не хотите читать? У нас отличная новость: можно послушать подкаст-версию этой статьи. Выбирайте удобную вам платформу — и вперед!

Двадцать седьмой выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru.

Темы нового ролика:

🔴 исследователи безопасности опасаются слежки из-за новой функции Apple для борьбы с детской порнографией,
🔴 опубликован загадочный универсальный декриптор для файлов, зашифрованных REvil,
🔴 уязвимость в генераторах случайных чисел затрагивает миллиарды IoT-устройств,
🔴 хакеры похитили более $600 млн в криптовалюте с платформы Poly Network,
🔴 власти Туркменистана борются с VPN-сервисами с помощью Корана,
🔴 в первом полугодии 2021 года средняя сумма выкупа вымогателям составила $570 тыс.,
🔴 в даркнете средняя цена доступа ко взломанным сетям составляет $10 тыс.,
🔴 Национальный демократический институт в США предупредил об опасности 5G,
🔴 созданные ИИ фишинговые письма оказались эффективнее, чем написанные человеком,
🔴 Avast и Norton объединяются для создания антивирусного гиганта,
🔴 Microsoft, Amazon и Alphabet помогут правительству США в борьбе с программами-вымогателями и кибератаками на облачных платформах,
🔴 малый и средний бизнес является главной мишенью для киберпреступников в 2021 году, предупреждает Acronis.

О методах обмануть предсказание top-k

Глубокие нейронные сети произвели революцию и улучшили нашу жизнь. Но когда речь идет об ИИ, нужно иметь в виду, что его алгоритмы неточны 🤷 В рамках какой-то вероятности: нейронная сеть точно распознает что-то на 99%, но всегда есть данные, даже 1%, на которых модель ошибается. А задача злоумышленника — эти данные найти и чтобы реализовать возможность манипулировать системой 😒

Кроме того, нейросети очень уязвимы к малым возмущениям входных данных (adversarial attacks). Эти злонамеренные и хорошо продуманные крошечные изменения аккуратно вычислены и способствуют большим ошибкам нейросетей. Они могут целиться, чтобы классификатор выдавал какой-то конкретный класс (targeted attacks) или любой класс, отличающийся от правильного (untargeted attack). Эти атаки могут быть направлены на беспилотные автомобили, системы распознавание речи и идентификации лиц.

Узнать, какими способами можно обмануть предсказания top-k на датасетах Imagenet и CIFAR-10 можно в

🎧 нашем подкасте

🎥 записи выступления

Атаки на IoT-устройства

Часто IoT-устройства атакуют посредством эксплуатации уязвимостей. Например, так пополняются ботнеты Mirai и Gafgyt. Еще один метод взлома — подбор учетных данных, в результате чего злоумышленники получают полный доступ к устройствам. В начале 2021 года злоумышленник опубликовал на форуме в дарквебе список учетных данных для 500 000 серверов, домашних маршрутизаторов и других IoT-девайсов 🙁

А недавно обнаружена очередная критическая уязвимость веб-камер безопасности и устройств радионянь, через которую злоумышленники получают доступ к потоковому видео и аудио, что создает угрозу компрометации домашних сетей и учетных данных.

Этой уязвимости подвержены устройства, использующие сеть ThroughTek Kalay. Сведения об угрозах обнаружены специалистами компании Mandiant в сотрудничестве с Агентством по кибербезопасности и безопасности инфраструктуры (CISA) и ThroughTek.

По их данным, кроме записи видео и аудио, злоумышленники могут создавать бот-сети из скомпрометированных устройств и использовать инфраструктуру для дальнейших атак. Угрозе подвержено 83 миллиона устройств, подключенных к сети Kalay.

Эта уязвимость маркируется как CVE-2021-28372 и имеет оценку 9,6 по шкале CVSS, что позволяет классифицировать ее как критическую. 

❓Как защитить IoT-девайсы?

✅ В первую очередь нужно изменить учетные данные, установленные по умолчанию, и использовать надежные пароли. Необходимо проверить актуальность используемого ПО, следить за выпуском обновлений и своевременно устанавливать их. Вот и в этом кейсе представители компании настоятельно рекомендуется выполнить обновление до последней версии Kalay 3.1.10.

✅ Важно регулярно проводить инвентаризацию ресурсов на периметре компании, поскольку сейчас большинство техники, даже бытовой, имеет выход в интернет, и есть риск случайно подключить такое устройство к корпоративной сети. Для предотвращения компрометации критически важных систем, важно выделить IoT-устройства в отдельный сегмент сети. Все это позволит значительно уменьшить риски реализации атак на IoT.

Больше про безопасность IoT-устройств 👇🏼

🎧 Слушать

🎥 Смотреть