🏃‍♂️ Часто противостояние хакеров и команды SOC напоминает фильм «Поймай меня, если сможешь», только без Ди Каприо.

Злоумышленники изобретают способы обхода средств защиты, а специалисты по кибербезопасности вычисляют эти маневры и ставят новые преграды.

Например, для того чтобы обмануть EDR-системы (endpoint detection and response), защищающие конечные устройства, киберпреступник может попробовать нарушить поставку событий (стереть в журнале компрометирующие его записи) или замаскировать свои вредоносные действия под легитимные.

В своей статье для Positive Research Валерий Слезкинцев, руководитель направления реагирования на конечных устройствах отдела обнаружения вредоносного ПО PT Expert Security Center, и Теймур Хеирхабаров, директор департамента по мониторингу, реагированию и исследованию киберугроз BI.ZОNE, подробно рассказывают, как злоумышленники противостоят EDR-системам и что с этим делать экспертам SOC.

Читайте и будьте готовы не упустить хакера на клиентской машине!

#PositiveResearch
@Positive_Technologies

Как развивалась кибербезопасность в России? Чем отечественный подход принципиально отличается от глобального? В каких областях мы задаем тренды, а не просто следуем им?

В своей колонке для «Ведомостей» Алексей Андреев, управляющий директор Positive Technologies, провел нескучный экскурс в историю. Например, вы знали, что первые продукты класса NTA (network traffic analysis), позволяющие искать киберугрозы в сетевом трафике, были созданы именно у нас в стране? Прочитаете — узнаете в подробностях 😉

Он также рассказал, почему российская индустрия ИБ выбрала собственный путь развития, какая кибербезопасность нужна бизнесу и как технологии автопилотирования помогают экспертам работать со сложными задачами.

Вышло очень интересно, легко и познавательно. Сами прочли с удовольствием и вам советуем 📰

#PositiveЭксперты
@Positive_Technologies

⌛️ Магия вне Хогвартса: производительность новой версии PT Sandbox 5.17 выросла в девять раз, при этом во столько же раз снизилось количество серверного оборудования, требуемого для аналогичной нагрузки год назад.

Таких результатов удалось добиться благодаря совокупности новых возможностей, реализованных в песочнице в течение года. Рассказываем, что сделали.

1️⃣ Увеличили количество виртуальных машин, параллельно запускаемых на одном узле поведенческого анализа

Благодаря этому запуск анализа поведения файлов ускорился, возрос объем регистрируемых событий информационной безопасности и повысилась вероятность обнаружения киберугроз.

2️⃣ Добавили предварительную фильтрацию файлов

PT Sandbox предварительно классифицирует файлы и ссылки, полученные от подключенных источников, и отправляет на поведенческий анализ только те, которые отвечают установленным политикам ИБ. Фильтрацию можно настроить под конкретные сценарии, в том числе связанные с сезонными проектами компаний, например важными мероприятиями или предоставлением финансовой отчетности.

3️⃣ Улучшили логику очередности проверки

Теперь при повышении и понижении приоритета файлов в очереди можно использовать результаты предыдущих проверок, что позволяет быстрее анализировать большие потоки данных.

«Мы дали пользователям возможность самим настроить глубину проверок и тем самым персонализировать защиту на оптимальной для бизнеса скорости, при этом качество анализа файлов осталось на высоком уровне и это до сих пор главная конкурентная черта продукта. Новая функциональность тестировалась в реальной жизни: ее использование в системах клиентов приводило в среднем к девятикратному росту производительности песочницы», — рассказал Константин Рудаков, лидер продуктовой практики PT Sandbox Positive Technologies.

Все это позволит клиентам, которые уже используют продукт, гибко подстроить его под масштабирование инфраструктуры. Новым пользователям последняя версия даст сэкономить на «железе», но при этом выстроить эффективные и управляемые процессы обнаружения сложных угроз.

👀 Подробнее обо всем рассказываем в новости на сайте и на вебинаре, который пройдет уже завтра, 10 декабря, в 14:00.

#PTSandbox
@Positive_Technologies

🤩 Собираетесь на следующий Positive Hack Days? Тогда не планируйте ничего другого на 22–24 мая 2025 года

Международный киберфестиваль пройдет в «Лужниках» и будет поделен на две части. На открытой можно будет прокачать свою цифровую грамотность, получить заряд позитивных эмоций и посмотреть на кибербитву Standoff 15. В рамках закрытой части пройдет конференция для тех, кто всерьез погружен в ИБ и ИТ. Попасть туда можно будет по билетам, а вся выручка с их продажи пойдет на благотворительность.

💡 Сегодня мы начинаем прием заявок от будущих спикеров PHDays Fest. Если вы готовы выступить с докладом на тему defensive и offensive security, разработки, машинного обучения в ИБ или блокчейна, рассказать на бизнес-треке о том, как строить результативную кибербезопасность, или осветить любую другую актуальную и интересную тему — напишите нам об этом.

❗️Ваш возраст, опыт и достижения — неважны, если вы предлагаете классную тему и смотрите на нее под новым углом.

Время подумать еще есть, но не тяните слишком долго, заявки принимаются до 28 февраля.

#PHDays
@Positive_Technologies

🪞 Как проходят будни TI-аналитика

Мы продолжаем серию вебинаров «Лучше звоните PT ESC» о работе команд экспертного центра безопасности Positive Technologies (@ptescalator). В предыдущих эпизодах мы уже обсудили, что такое threat intelligence (TI) и как устроены внутренние процессы добычи информации о деятельности хакерских группировок.

В новой серии разберем, что значит быть TI-аналитиком в PT ESC, и какой вклад делает этот специалист в защиту от киберугроз. На вебинаре 12 декабря в 14:00 подробно рассмотрим:

😠 Основные обязанности TI-аналитика: от сбора данных о киберугрозах до подготовки аналитических отчетов и взаимодействия с другими отделами.

😐 Какие навыки и компетенции необходимы для успешной работы.

😏 Популярные системы и платформы для TI-аналитика: платформы для сбора и анализа данных, инструменты для автоматизации мониторинга угроз.

Регистрируйтесь заранее на нашем сайте, чтобы не пропустить новую серию!

@Positive_Technologies

Команда SuperHardio Brothers снова в деле 🎮

На вебинаре 12 декабря в 17:00 ребята расскажут, как прокачать одну из наиболее популярных в России платформ виртуализации zVirt и избежать ее компрометации, подстелив соломку в виде харденинга.

Вооружайтесь методологией ХардкорИТ (братья SuperHardio рекомендуют 💗) и готовьтесь узнать больше о:

• популяризации решений с использованием zVirt и способах их компрометации;
• влиянии окружения платформы на уязвимость решений, в которых она используется;
• харденинге zVirt и особенностях подхода к повышению киберустойчивости.

Регистрируйтесь заранее и не опаздывайте, а то пропустите половину игры все самое интересное.

#PositiveЭксперты
@Positive_Technologies

😲 Эксперты Positive Technologies в ноябре отнесли к трендовым восемь уязвимостей

Среди них: недостатки безопасности в продуктах Microsoft, системе FortiManager, сетевых устройствах Palo Alto Networks, ОС Ubuntu Server и межсетевых устройствах Zyxel.

👾 Пользователи MaxPatrol VM уже в курсе трендовых уязвимостей ноября (информация о них поступает в продукт в течение 12 часов с момента обнаружения). А ежемесячно мы делимся дайджестом, чтобы под защитой было как можно больше организаций (#втрендеVM).

💡 Уязвимости в Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств с устаревшими версиями ОС (например, Windows 10 и Windows 11).

1️⃣ Уязвимость в Windows, приводящая к раскрытию хеша в протоколах сетевой аутентификации NTLMv2
CVE-2024-43451 (CVSS — 6,5)

Уязвимость связана с устаревшим движком платформы для обработки HTML-страниц и позволяет получить NTLMv2-хеши пользователей. Злоумышленник может аутентифицироваться в качестве легитимного пользователя, и перейти к следующим этапам атаки.

2️⃣ Уязвимость в планировщике заданий Windows (Task Scheduler), приводящая к повышению привилегий
CVE-2024-49039 (CVSS — 8,8)

Используя этот недостаток, злоумышленник может повысить свои права до уровня medium integrity и выполнять функции, доступные привилегированным учетным записям. После он может перейти к следующим этапам атаки и распространить вредоносные действия на другие системы в сети.

3️⃣ Уязвимость в почтовом сервере Microsoft Exchange, связанная с подменой отправителя
CVE-2024-49040 (CVSS — 7,5)

Связана с неправильной обработкой почтовым сервером адресов получателей и позволяет злоумышленнику проводить спуфинг-атаки. Эксплуатация повышает эффективность фишинговых атак, которые часто являются первым этапом при проникновении во внутреннюю сеть компании.

4️⃣ Уязвимость в системе управления FortiManager, связанная с удаленным выполнением кода
CVE-2024-47575 (CVSS — 9,8)

Недостаток может затрагивать всех пользователей уязвимых версий FortiManager (в интернете доступны более 55 000 устройств). Эксплуатация уязвимости позволяет злоумышленнику похитить данные конфигурации с подконтрольных устройств и сервера FortiManager, включая зашифрованные пароли пользователей.

5️⃣ Уязвимость в пакете для определения перезапуска процессов needrestart в Ubuntu Server, приводящая к повышению привилегий
CVE-2024-48990 (CVSS — 7,8)

Уязвимость может затронуть всех пользователей уязвимых версий Ubuntu Server и других дистрибутивов Linux, в которых установлен пакет needrestart версии 3.8 и ниже. Злоумышленник может повысить свои привилегии в системе, а после получить доступ ко всем данным в системе и устанавливать вредоносное ПО.

💡 Уязвимости в PAN-OS, описанные ниже, коснулись более 2000 устройств (по данным Shadowserver Foundation).

6️⃣ Уязвимость в веб-интерфейсе PAN-OS, связанная с обходом аутентификации
CVE-2024-0012 (CVSS — 9,8)

Эксплуатация уязвимости позволяет злоумышленнику получить права администратора, просматривать конфиденциальную информацию, вносить изменения в конфигурацию устройства или эксплуатировать другие уязвимости для повышения привилегий.

7️⃣ Уязвимость в программном обеспечении PAN-OS, связанная с повышением привилегий
CVE-2024-9474 (CVSS — 7,2)

Эксплуатация уязвимости позволяет злоумышленнику, имеющему доступ к веб-интерфейсу управления, выполнять на устройстве произвольные команды с правами root — например, устанавливать инструменты для постэксплуатации или вредоносные программы.

8️⃣ Уязвимость в межсетевых экранах Zyxel, связанная с обходом каталога
CVE-2024-11667 (CVSS — 7,5)

Уязвимость может коснуться всех пользователей межсетевых экранов Zyxel ATP и USG FLEX с прошивкой ZLD версий от 4.32 до 5.38 (по данным Shadowserver, в интернете доступно около 15 000 устройств). Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику, действующему удаленно, изменять правила межсетевого экрана или внедрять вредоносное ПО.

😏 Подробности об этих уязвимостях и о том, как предотвратить их эксплуатацию, ищите на нашем сайте.

@Positive_Technologies

😕 У отделов ИБ и ИТ много разногласий, и ваша активность под нашим постом — еще одно тому доказательство.

Но только сообща можно бороться с уязвимостями и делать компании безопаснее. О том, как отделам найти общий язык, мы рассказываем на практикуме «Управление уязвимостями: от теории к практике», который вы можете пройти в любое удобное время.

И, как обещали, подводим итоги розыгрыша мерча: мы выбрали трех победителей (уже связались с ними), которые получат стильные кружки, брелоки и кардхолдеры.

Вот лишь парочка комментариев, которые запали нам в душу:

«Покажи документ, по которому я должен устранять»

«Да кому мы вообще нужны?»

«Вы выставили столько уязвимостей, что там вообще ничего не понятно»

А чтобы их больше не слышать и научиться выстраивать результативный процесс управления уязвимостями — заглядывайте на практикум 😉

@Positive_Technologies

👽 PT Dephaze: думает как хакер, действует как пентестер

В октябре мы объявили о разработке нового продукта PT Dephaze для автоматической проверки защищенности инфраструктуры и тестирования на проникновение.

Запустить продукт мы планируем в феврале 2025 года, а сейчас готовы поделиться с вами промежуточными результатами и показать, какие инструменты и техники будут применяться для проведения пентестов.

👽 Предпоказ состоится 17 декабря в 14:00 — регистрируйтесь на онлайн-трансляцию, чтобы узнать подробности о PT Dephaze одним из первых.

На трансляции вы увидите, как продукт:

➡️ Проводит сетевую разведку инфраструктуры.

➡️ Применяет техники перечисления пользователей и распыления паролей.

➡️ Перемещается внутри периметра через протоколы RDP и SMB.

➡️ Повышает привилегии и извлекает учетные данные из памяти узла.

➡️ Компрометирует домен Active Directory.

В конце трансляции подробно расскажем о коммерческом запуске и старте пилотных проектов PT Dephaze.

👽 Присоединяйтесь!

#PTDephaze
@Positive_Technologies

😶‍🌫️ Специалисты экспертного центра безопасности Positive Technologies (@ptescalator) расследовали новую атаку группировки Cloud Atlas

К экспертам PT ESC IR (отдела реагирования на угрозы) обратилась за помощью российская государственная организация, обнаружившая фишинговую рассылку. К счастью, злоумышленники не успели закрепиться в ИТ-инфраструктуре и нанести значительный ущерб, остановить их удалось на этапе разведки.

Расследование инцидента показало, что за этой атакой, как и за другими похожими, стоит группировка Cloud Atlas, действующая с 2014 года. Эксперты Positive Technologies ранее сообщали о ее атаках на правительство разных стран. Однако новая фишинговая волна, за которой наши специалисты наблюдают с октября 2024 года, нацелена в основном на госорганы России и Беларуси.

«За десять лет арсенал Cloud Atlas не претерпел значительных изменений: группировка так же применяет облачные сервисы в качестве командно-контрольного сервера. Однако недавние атаки носят экспериментальный характер: их главное отличие от более ранних в том, что киберпреступники вместо стандартного С2-сервера использовали документ, созданный в Google Sheets, онлайн-приложении для работы с электронными таблицами», — рассказал Александр Григорян, заместитель руководителя департамента комплексного реагирования на киберугрозы PT ESC.

💡 Раньше в качестве приманок группировка использовала файлы Microsoft Word с текстами на геополитические темы, а в новых атаках документы содержали официальные запросы на предоставление информации. Последние на момент проведения кампании не отслеживались средствами антивирусной защиты.

В потоки таблиц этих файлов была вшита ссылка на вредоносный шаблон, который посредством эксплуатации уязвимости в редакторе формул Microsoft Equation запускал скрипты, выполнявшие команды C2-сервера. В результате на устройства жертв доставлялись инструменты для дальнейшего развития атаки, в частности бэкдор PowerShower, который группировка уже использовала ранее для шпионажа и кражи данных.

👀 Подробнее читайте на нашем сайте.

#PTESC
@Positive_Technologies

А вот и новый выпуск «Хак Так» подъехал 😎

Что происходит с хакерами ближе к 30? Можно ли устроить диверсию на атомной станции с помощью флешки? И как Гена Рыжов взломал Microsoft?

Об этом — в новом выпуске, в котором Владимир Кочетков, Толя Иванов, Макс Костиков и практически подготовленный ведущий Кирилл Шипулин смотрят сцены из фильмов «}{0ТТ@БЬ)Ч», «Опасная правда» и «Кибер».

Смотрим тут 🍿

https://youtu.be/D3ECUmfmWKo
https://youtu.be/D3ECUmfmWKo
https://youtu.be/D3ECUmfmWKo

@PositiveHackMedia

👾 Баги бывают опасные и смешные

Наши коллеги в основном занимаются первыми, но иногда находят и вторые. А если нашли, то почему бы о них не рассказать в исследовательских целях?

Василий Брит, старший программист одной из наших команд разработки, обнаружил, что один из его подписчиков в VK учился в несуществующем университете, и решил проверить, возможно ли добавить выдуманный вуз или хотя бы факультет на собственную страничку. Оказывается так можно было, если подумать, это вполне осуществимо. Так в МГУ появились воображаемые факультеты пиратства и позитивных людей.

Подробнее о том, как так вышло, читайте в статье Василия на «Хабре». Не пытайтесь повторить его маневры в домашних условиях (а если получится, напишите, что у вас вышло в комментариях).

P. S. В VK про баг знают, считают, что к проблемам с ИБ он не приведет.

#PositiveЭксперты
@Positive_Technologies

Штрафы растут, а данные все равно утекают 💧

По закону, который недавно подписал президент России, за утечку персональных данных компании могут быть оштрафованы на сумму от 5 млн рублей до 3% годовой выручки, а должностные и физические лица заплатят до 600 тыс. и 400 тыс. рублей соответственно.

Но достаточно ли серьезны эти ужесточения, чтобы в даркнете перестали появляться слитые базы? Ведь это — один из самых популярных объектов купли-продажи среди киберпреступников, которые порой делятся друг с другом нашими персональными данными совершенно безвозмездно.

В своей колонке для Forbes Алексей Новиков, управляющий директор Positive Technologies, рассуждает о том, почему персональные данные не предмет для хранения, как можно залатать «большую русскую течь» и какую роль в этом может сыграть каждый из нас. Кроме того, Алексей делится лайфхаками о том, как проверить, какая информация о вас уже есть в сети, и рассказывает, спасет ли вас замена паспорта, если его номер и серия есть в открытом доступе.

Читается на одном дыхании! Инсайты, улыбки и «ничего себе, теперь буду знать» гарантированы.

#PositiveЭксперты
@Positive_Technologies

Как обнаружить перемещение хакера внутри периметра? Спросите у PT NAD и zVirt 🤘

Теперь наша система PT Network Attack Discovery обеспечивает полную видимость трафика в виртуальных ИТ-инфраструктурах благодаря совместимости с платформой для безопасного управления средой виртуализации zVirt.

На вебинаре 19 декабря в 14:00 наши эксперты расскажут:

👉 Про точечное копирование и анализ потоков данных между виртуальными машинами.

💡 Как просматривать их сетевые взаимодействия в рамках одного гипервизора.

🔍 Как подключить систему поведенческого анализа сетевого трафика к виртуальной сети.

А теперь ответ на вопрос: благодаря механизму зеркалирования в zVirt, PT NAD выявляет горизонтальное перемещение хакеров, которое сложно отследить с помощью других средств защиты.

⛓️‍💥 Присоединяйтесь к онлайн-трансляции, чтобы узнать больше!

#PTNAD
@Positive_Technologies