​​⚙️ Один из интересных хакерских инструментов, с которым мы столкнулись на ноябрьском The Standoff, — это уязвимость MS Office под названием CVE-2021-40444, задействующая компонент MSHTML.

📩 Эксплойт работает так: пользователь получает офисный документ со ссылкой на дополнительные внешние данные. Ссылка содержит MHTML-схему, чтобы задействовать уязвимый MSHTML-компонент. Происходит загрузка HTML-страницы с эксплойтом. В загруженной странице содержится JavaScript, который загружает CAB-архив. CAB-архив содержит уязвимость ZipSlip.

📄 ZipSlip размещает в каталоге %TEMP% особый INF-файл. На самом деле это динамическая библиотека (DLL), которая подгружается в процесс rundll32.exe в качестве Control Panel applet. Как итог, выполняется вредоносный код.

🪟 Интересно, что уязвимость срабатывает на Windows 10, но не на Windows 7. Это не типично для эксплойтов, которые обычно затрагивают много старых версий приложения-жертвы. Тут же другая ситуация, связанная с различиями в коде библиотек двух ОС.

🔗 Фрагменты вредоносного кода и подробное описание уязвимости смотрите в нашей статье на «Хабре».

Пятидесятый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru

Темы нового ролика:

🔸 «Клон» AirTag способен обходить реализованную Apple защиту от слежки
🔸 Скандала вокруг NSO Group могло бы и не быть, если бы не маленькая оплошность
🔸 Папа отключил интернет во всем городе, чтобы его дети не сидели в интернете
🔸 Операторы Android-вредоноса Xenomorph атаковали клиентов 56 банков
🔸 Clearview AI намерена в течение года собрать базу данных всех жителей Земли
🔸 Мета предсказала объединение физических и виртуальных миров
🔸 «Умная» камера может распознавать беззвучные голосовые команды
🔸 Microsoft предупредила о ледяном фишинге в блокчейне и смарт-контрактах
🔸 Россия заняла второе место в мире по количеству смартфонов с предустановленным вредоносным ПО
🔸 Утечка данных швейцарского банка проливает свет на владельцев $100 млрд
🔸 Центробанк и Минфин подготовили противоположные законопроекты о криптовалютах
🔸 Доход от кибербезопасности в Великобритании вырос на 14% по сравнению с прошлым годом и составил £10,1 млрд
_____________________________________

💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing

🏗 Один из ярких эпизодов майского The Standoff — взлом транспортной компании Heavy Ship Logistics. Закрепившись в инфраструктуре, «красные» захватили портовый кран и уронили один из контейнеров на баржу, устроив хаос в морском порту.

🆘 Как это было: атакующие воспользовались свежей уязвимостью ProxyLogon и получили удаленный доступ к серверу. Это можно сравнить с подкопом при осаде: вместо того чтобы ломать стены крепости, нападающие прорывают тоннель, проходят под землей и наносят удар.

Примечательно, что атакующих можно было остановить на каждом этапе. Отсюда следуют важные выводы для защиты и реагирования:

✅ Там, где это возможно, закрывать патчами уязвимости при их обнаружении.
✅ Анализировать и выявлять механики распространения и закрепления атакующих в сети.
✅ Поменять учетные данные всех скомпрометированных пользователей.
✅ Максимально изолировать технологический сегмент сети.

PHDays 2022: продажа билетов открыта!

🔥 Мы начинаем продажу билетов на международный форум по практической кибербезопасности PHDays 2022. Купить билеты можно на сайте.

До 13 марта все «ранние птички» могут купить билет по специальной цене!

Поторопитесь с приобретением — количество билетов на форум ограничено!

Как попасть на Positive Hack Days?

👉 Купить билеты или стать докладчиком!

Продлеваем прием заявок на выступление с докладами на форуме до 18 марта включительно.

Мы получили большое количество докладов, но вы еще можете успеть запрыгнуть в последний вагон.

Докладчиками могут стать и признанные эксперты, и начинающие специалисты. Мы приглашаем спикеров выступить с техническими докладами на темы поиска и эксплуатации уязвимостей, защиты от различных атак, практики разработки безопасного программного обеспечения.

🔥 Подать заявку можно здесь

Продолжаем рассказывать о ярких эпизодах The Standoff.

✉️ Примечательная атака на почтовый сервер произошла 15 ноября. Защитники перехватили фишинговое письмо с документом CV.xls во вложении.

📝 Статистический анализ кода выявил во вложении макрос, причём макрос старого образца — Excel 4.0.

🦠 Как это работает: если открыть вложение, через PowerShell запустится вредоносный скрипт, закодированный Base64.

Анализ показывает, что это скрипт Invoke-PowerShellTcp.ps1 в проекте пентестерского фреймворка Nishang.

🔗 Фрагменты вредоносного кода и подробное описание уязвимости смотрите в нашей статье на Хабре.

👉 Купить билеты или стать докладчиком на Positive Hack Days!

51-й выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru

Темы нового ролика:


🔹 В WhatsApp и других VoIP-приложениях обнаружены RCE-уязвимости,
🔹 Путин утвердил меры поддержки IT-компаний,
🔹 в ФСБ назвали критическим уровень угрозы кибератак на РФ,
🔹 Anonymous пытались испортить 40 тонн продукции в агрохолдинге Селятино,
🔹 служба информационной безопасности Яндекс Еды выявила утечку персональных данных,
🔹 взломавшие Nvidia хакеры продают данные по снятию ограничения хэшрейта в видеокартах,
🔹 модель машинного обучения определяет взломанные компоненты энергосистемы,
🔹 на трассе М-11 произошел массовый взлом электрозарядных станций,
🔹 в устройствах релейной защиты Schneider Electric Easergy исправлены опасные уязвимости,
🔹 методы обмана ИИ с помощью скрытых триггеров опережают современную защиту.

😌 P.S. Теперь мы еще и в Дзене
_____________________________________

💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing

🚨 Долгожданные новости о майской кибербитве

Для синих и красных команд The Standoff начнётся 16 мая, а закончится 19 мая — 4 дня с перерывами на сон (как вы просили 😉). Три команды пригласим в ЦМТ, остальные — онлайн.

Защитникам будут противостоять 15 команд хакеров. Топ-5 по итогам ноябрьской кибербитвы мы пригласим напрямую, минуя отборочный тур. Напомним этих героев:

🔺 Codeby&NitroTeam
🔺 True0xA3
🔺 SPbCTF
🔺 Invuls
🔺 Bulba Hackers

📊 Оставшиеся 10 слотов могут занять команды из любой точки мира. Отбирать команды мы будем по «резюме». Если у вас есть опыт в Offensive Security и пентесте, точно подавайте заявку. Можно писать на русском или английском, как вам комфортнее.

👉 Для русскоговорящих команд форма регистрации — forms.gle/zPvrpadk9VfRWYBHA

👉 Red teams registration for participating in The Standoff — forms.gle/Vg1BH1Duj3hrDVaZ8

Регистрация открыта до 3 апреля. Жюри рассмотрит все заявки, мы свяжемся с капитанами до 15 апреля и опубликуем список приглашённых команд. Удачи! 💪

Разбираем тактики и техники, которые были популярны у атакующих на The Standoff

Тактика «Выполнение» (Execution) занимает большую часть активных действий red teams. Возможность выполнения команд нужна им как на этапе проникновения в инфраструктуру, так и для дальнейшего распространения и реализации рисков.

В эту тактику входят техники, которые злоумышленники применяют для выполнения кода в скомпрометированных системах. Три ключевые из них:

🔸 Scheduled Task/Job: Scheduled Task — выполнение команд через создание задачи в планировщике Windows
🔸 System Services: Service Execution отличается в основном тем, что удаленно создается не задача, а служба Windows
🔸 Windows Management Instrumentation позволяет удаленно выполнять команды, используя механизм WMI

В реальности способов удаленного выполнения команд гораздо больше. Большинство из них используют легетимные механизмы Windows, поэтому их практически невозможно предотвратить, но можно своевременно выявлять нелегитимное использование этих механизмов с помощью анализа сетевого трафика или анализа событий ИБ.

Подробнее о том, что обнаружила наша NTA-система — PT Network Attack Discovery (PT NAD) — в статье на Хабре.

Пятьдесят второй выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru

Темы нового ролика:

🔸 Обнаружена уязвимость Dirty Pipe в Linux;
🔸 Модель ИИ выявляет психические расстройства на основе сообщений в Интернете;
🔸 Отключение России от Интернета может привести к непредсказуемым последствиям;
🔸 Хакеры получили 190 ГБ конфиденциальных данных от Samsung;
🔸 Дипфейки могут легко обмануть многие системы аутентификации Facial Liveness Verification;
🔸 Будущее без паролей наступит еще не скоро;
🔸 Android-троян TeaBot продолжает триумфальное шествие по планете;
🔸 Крупнейший американский магистральный провайдер Cogent отключает российских операторов от своих сетей;
🔸 Обнародован список IP-адресов и доменов, атакующих инфраструктуру России с помощью DDoS-атак;
🔸 Google покупает компанию кибербезопасности Mandiant за $5,4 млрд;
🔸 Из-за ухода западных IT-вендоров с рынка выбор решений по ИБ сузился;
🔸 Бесплатные TLS-сертификаты обеспечат доступность сайтов.
_____________________________________

💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing

🤘🤘 Возрождаем музыкальный фестиваль Positive Wave

Что будет?
Настоящий батл между музыкальными группами IT-компаний.
19 мая финалисты конкурса-фестиваля Positive Wave выступят на закрытии международного форума по практической безопасности PHDays (в прошлом году к нам пришло 2500 человек, а онлайн-трансляцию посмотрело 65 000 зрителей)😉

Кто может участвовать?
🔸 В группе — от двух до семи участников.
🔸 Музыка соответствует одному из трех направлений фестиваля (рок, хип-хоп, электроника).
🔸 Хотя бы один из членов группы работает в IT-компании.
🔸 Исполняете полностью оригинальный материал.
🔸 В репертуаре группы — не менее трех песен.

Призы
👀 Лучшие треки запишем в профессиональной студии в Dolby Atmos и разместим на популярных музыкальных платформах.
👀 Лауреаты Positive Wave получат сертификаты на профессиональную фотосессию, а победители — подарки от судей и партнеров.

Ждем ваши заявки до 5 апреля.

🎫 Купить билеты на PHD
💪 Стать докладчиком и попасть на PHD бесплатно

Cлабое звено Big Bro

На майском The Standoff атакующие проникли в энергетическую компанию Big Bro Group виртуальной страны и, получив доступ к системе управления ветрогенераторами, остановили их и подменили данные.

Как начиналась атака:
🔸 «Красные» нашли уязвимость на одном из серверов в DMZ и смогли выполнять произвольные команды;
🔸 создали для закрепления пользователя kekpek 😄;
🔸 использовали такие техники проникновения и закрепления по MITRE ATT&CK, как «Эксплуатация общедоступного приложения» и «Создание учетной записи».

Изучив этот сценарий, можно сделать вывод, что одна и та же команда использует своих в атаках схожие наборы тактик и техник. В реальном мире все точно так же. При расследовании активности APT-группировок обычно хорошо прослеживаются характерные для них методы. Это помогает проводить атрибуцию.

Подробнее о взломе Big Bro Group — на Хабре

____

🎫 Купить билеты на PHDays
💪 Стать докладчиком и попасть на PHDays бесплатно
😎 Зарегистрировать команду хакеров на The Standoff

Фестиваль анимации на PHDays 2022

Что объединяет искусство, хакинг и высокие технологии?
— Креатив?
— Стиль?
— Отсутствие границ?
Узнаем на PHDays 😉

😎 Мы начинаем прием заявок на участие в экспериментальном анимационном фестивале HackerToon, который пройдет на PHDays 18–19 мая.

PHDays — это не просто конференция, а сплав технологического хардкора и новейших исследований, представленных российскими и зарубежными экспертами. Все это разбавлено насыщенной конкурсной программой, где каждый может проявить себя.

❔Кто может участвовать
Как отдельные авторы, так и творческие коллективы до пяти человек.

❕Призы
Лучшие работы мы покажем на PHDays, где их увидят десятки тысяч людей. Победители получат мерч мероприятия и графические планшеты Wacom.

Чтобы принять участие в конкурсе, отправляйте заявку на hackertoon@ptsecurity.com.

Подробнее о фестивале
____

🎫 Купить билеты на PHDays
💪 Стать докладчиком и попасть на PHDays бесплатно
😎 Зарегистрировать команду хакеров на The Standoff

Раскрывая архивы

С помощью песочницы PT Sandbox на осеннем The Standoff наши специалисты старательно изучали все файлы, влетающие в инфраструктуру, в поисках вредоносного кода.

Среди семейств вредоносных файлов, поступивших на анализ в песочницу, выделяется ZipSlip — 22% всех образцов.

Рассмотрим эту группу на примере файла с как бы намекающим названием WleXZipPathTraversal1DRb. zip, который был перехвачен в сетевом трафике 14 ноября в 14:38.

Образец представляет собой ZIP-архив, в котором происходит попытка эксплуатации уязвимости Zip Slip, позволяющей перезаписать произвольные файлы в системе.

Эта уязвимость, например, дает возможность хакерам сменить пароль учетной записи или запустить произвольный код.

Подробности — в статье на Хабре

____

🎫 Купить билеты на PHDays
💪 Стать докладчиком и попасть на PHDays бесплатно
😎 Зарегистрировать команду хакеров на The Standoff

Внезапный VMProtect

Продолжаем делиться с вами любопытными историями о нашем улове на ноябрьском The Standoff 2021 с помощью песочницы PT Sandbox. Перед началом киберучений мы в шутку предложили красным использовать что-нибудь поинтереснее. Нас услышали, а мы сделали вид, что не обратили внимание на имя файла met9010.exe и ни о чем не догадались 😁

👀 Но атакующие нас пожалели — образец был защищен простыми опциями: оригинальный программный код лишь упакован, без виртуализации и Anti-VM-проверок. После распаковки мы от души посмеялись — почти 5 мегабайт протектора свелись к анализу фрагмента кода размером меньше килобайта.

Получился стейджер фреймворка Metasploit. Тут можно вспомнить про имя поступившего на анализ файла — met9010.exe.

Подробнее — в статье на Хабре.

____

🎫 Купить билеты на PHDays
😎 Зарегистрировать команду хакеров на The Standoff

Пятьдесят третий выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru

Темы нового ролика:

🔹 АНБ США использовало секретный троян NOPEN для кражи данных по всему миру
🔹 243 ГБ данных двух крупных китайских морских портов оказались в Сети
🔹 Intel, AMD и Arm предупредили о новых уязвимостях спекулятивного выполнения в ЦП
🔹 В Израиле объявлен режим ЧС из-за беспрецедентной кибератаки на страну
🔹 Роутеры TP-LINK уличены в передаче трафика сторонней компании
🔹 Выпуск новых эпизодов аниме отложен из-за кибератаки на кинокомпанию Toei
🔹 Дмитрий Рогозин пообещал создать для России «неубиваемый» спутниковый интернет
🔹 Роскомнадзор напомнил об уголовной ответственности за участие в киберпреступлениях
🔹 Исследователь взломал PS4/PS5, но не намерен сообщать, каким образом
🔹 В ходе учений CISA Cyber Storm имитировались атаки на объекты КИ
🔹 Уход Microsoft навредит России, но и Запад может пострадать
🔹 SentinelOne приобретет Attivo Networks за $616 млн
_____________________________________

🎫 Купить билеты на PHDays
😎 Зарегистрировать команду хакеров на The Standoff

Что досталось на растерзание хакерам на The Standoff в прошлом году

🔥 В мае 2021-го #PTISIM зафиксировал атаки красных на копии IT-инфраструктур магазина, аэропорта, железной дороги, морского порта, светофоров, электростанции, химического завода, нефтехранилища и много других объектов виртуального города-государства. Хорошо, что все аварии и другие последствия произошли на киберполигоне, а не в обычной жизни!

🤜 Атакующие работали с актуальными для каждой компании бизнес-рисками, а также искали уязвимости в инфраструктуре. За четыре дня учений им удалось реализовать 33 уникальных недопустимых события из 61.

Хотите попробовать себя в роли атакующих на The Standoff 2022? Примите участие в отборе «красных» команд!

Регистрация открыта до 3 апреля

——————-
🎫 Купить билеты на PHDays
😎 Зарегистрировать команду хакеров на The Standoff

🎟 Билеты на Positive Hack Days

PHDays 2022 — это сплав технологического хардкора и новейших исследований от ключевых экспертов, бизнес-повестки с острыми проблемами обеспечения кибербезопасности компаний, отраслей и даже целых государств, а также насыщенной конкурсной программы, в которой хакеры показывают свои силы и соревнуются между собой.

🏃 Поторопитесь с приобретением — количество билетов ограничено!

Получение учетных данных

Тактика Credential Access — неотъемлемая часть действий красных на The Standoff для распространения по инфраструктуре. Она включает в себя техники, нацеленные на кражу данных для аутентификации. С их помощью злоумышленники получают доступ к системам, создают больше записей для закрепления и усложняют обнаружение своего присутствия в сети.

💡 Совет: при обнаружении такой утечки нужно оперативно провести блокировки и сбросить пароли, так как отслеживать действия злоумышленников из-под легитимных учеток будет сложнее.

Наиболее популярная группа техник среди атакующих как в реальной жизни, так и на киберполигоне — OS Credential Dumping.

Подробнее об этих техниках и тактике читайте в статье на Хабре.
________________________

😎 Хочешь попробовать это на практике?
У тебя есть опыт пентеста или редтиминга? Знаешь, как взять AD за две минуты? Подавай заявку до 3 апреля и участвуй в восьмом The Standoff. Участников ждут призы за первые три места.

Positive Wave: как это было и как будет

Positive Wave — фестиваль музыкальных групп из IT-компаний — проходил уже дважды на PHDays. По традции, в финал для выступления перед тысячами участников форума попадает 5 коллективов. В 2019 году их оценивало профессиональное жюри во главе с лидером «Смысловых Галлюцинаций» Сергеем Бобунцом. Победителем стала Raev Clan, а приз зрительских симпатий достался Of Titans and Men.

🔥 Было круто, а будет еще круче!
В 2022 на PHDays нахлынет новая волна, а участников и гостей фестиваля ждет небывалый перформанс — известный российский музыкант исполнит треки, написанные искусственным интеллектом.

В прошлом году PHDays посетили 2500 человек, а онлайн-трансляцию посмотрели 65 тысяч зрителей.

Прием заявок продлится до 15 апреля.
Подробности