👾 Вредоносы еще не В С Ё
Аналитики Positive Technologies в новом исследовании рассказали о десяти самых распространенных семействах вредоносного ПО в России. Рейтинг основан на данных, полученных в результате анализа ВПО при помощи PT Sandbox в 2024 году и I квартале 2025 года. Подробнее — на карточках.
🎥 Ключевые выводы исследования (данные по всему миру):
• Доля атак с использованием ВПО продолжает расти год от года: в 2024 году и первой половине 2025 года такие атаки составили 65% по сравнению с 60% в 2023 году и 54% в 2022-м.
• Организации, наиболее часто атакуемые с помощью ВПО, — государственные учреждения (14%), промышленные (11%) и IT-компании (8%).
• В атаках на организации преобладало использование шифровальщиков, однако их доля заметно снизилась — с 57% в 2023 году до 44% в 2024 году.
• Доля атак на организации с использованием шпионского ПО увеличилась с 12% в 2022 году до 23% в 2023 году, а затем снизилась до 20%. Снижение может быть следствием возросшего интереса злоумышленников к ВПО для удаленного управления.
• В атаках на организации в качестве основного метода доставки ВПО по-прежнему доминирует электронная почта (47%), хотя ее доля снизилась по сравнению с 2023 годом (было 57%).
Больше подробностей — в полной версии исследования на нашем сайте.
🛡 О том, как компании защищаются от вредоносов в сетевом и почтовом трафике, вы сможете узнать на NetCase Day уже 16 сентября.
#PTSandbox
@Positive_Technologies
Аналитики Positive Technologies в новом исследовании рассказали о десяти самых распространенных семействах вредоносного ПО в России. Рейтинг основан на данных, полученных в результате анализа ВПО при помощи PT Sandbox в 2024 году и I квартале 2025 года. Подробнее — на карточках.
• Доля атак с использованием ВПО продолжает расти год от года: в 2024 году и первой половине 2025 года такие атаки составили 65% по сравнению с 60% в 2023 году и 54% в 2022-м.
• Организации, наиболее часто атакуемые с помощью ВПО, — государственные учреждения (14%), промышленные (11%) и IT-компании (8%).
• В атаках на организации преобладало использование шифровальщиков, однако их доля заметно снизилась — с 57% в 2023 году до 44% в 2024 году.
• Доля атак на организации с использованием шпионского ПО увеличилась с 12% в 2022 году до 23% в 2023 году, а затем снизилась до 20%. Снижение может быть следствием возросшего интереса злоумышленников к ВПО для удаленного управления.
• В атаках на организации в качестве основного метода доставки ВПО по-прежнему доминирует электронная почта (47%), хотя ее доля снизилась по сравнению с 2023 годом (было 57%).
Больше подробностей — в полной версии исследования на нашем сайте.
«В ближайшие пару лет использование ВПО сохранит свое лидерство в методах атакующих, поскольку с помощью вредоносов можно автоматизировать большинство этапов атаки. Особенно актуальными останутся программы-вымогатели, шпионское ПО и трояны удаленного доступа — как наиболее эффективные. При этом атаки будут более скрытными, персонализированными и технологичными, с акцентом на сбор конфиденциальной информации, манипуляцию сессиями и обход систем обнаружения», — отметил Федор Чунижеков, руководитель исследовательской группы Positive Technologies.
#PTSandbox
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17❤10👏8💯2😁1🤨1
Forwarded from ESCalator
Гадание на Goffeeйной гуще: актуальные инструменты и особенности группировки Goffee в атаках на Россию ☕️
В течение 2024-2025 годов эксперты TI-департамента пристально следят за активностью группировки Goffee. За этот период, совместно с IR-командой, при расследовании инцидентов мы наблюдали обновление арсенала и использование новых векторов атаки.
🕵️ Нам удалось получить ранее неизвестные сэмплы — руткит, самописные инструменты для туннелирования трафика и другие. Изучение сетевой инфраструктуры позволило выявить паттерны, которые с высокой уверенностью позволяют атрибутировать новые семплы к активности группировки Goffee.
👽 О том, какие особенности в их инфраструктуре мы выделили, какой арсенал использует группировка на данный момент и почему исследование атак «гофи» — это поиск Goffeeйного зерна в инфраструктуре жертвы, вы можете узнать в нашей новой статье.
#TI #IR #APT #Malware
@ptescalator
В течение 2024-2025 годов эксперты TI-департамента пристально следят за активностью группировки Goffee. За этот период, совместно с IR-командой, при расследовании инцидентов мы наблюдали обновление арсенала и использование новых векторов атаки.
#TI #IR #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍10👌6❤3😱1🤨1
Что для вас важно в NGFW? «Нормальный IPS, который не отъедает 80% аппаратных ресурсов», — ответит инженер по сетевой безопасности.
Что ж, вызов принят!Дорогой дневник дорогие сетевики, наш коллега Алексей Егоров, главный архитектор проектов, написал отличную статью на Хабр, в которой подробно рассказывает, как устроена система предотвращения вторжений (IPS) в нашем PT NGFW.
Работает она так: трафик проходит через NGFW, а IPS проверяет его своими сигнатурами, и если обнаружено совпадение, то выполняется действие, указанное в соответствующей сигнатуре.
Но из-за глубокого анализа с помощью сигнатур потребление аппаратных ресурсов NGFW значительно увеличивается. Снизить нагрузку может уменьшение глубины анализа(но это сведет весь эффект от работы NGFW к нулю) или тонкая настройка IPS.
В статье Алексей рассказывает, как понять и протестировать, что IPS работает эффективно, а также — как использовать IPS в NGFW, чтобы «не оглядываться назад в темном переулке».
👀 Больше подробностей — в материале на Хабре.
#PTNGFW
@Positive_Technologies
Что ж, вызов принят!
Работает она так: трафик проходит через NGFW, а IPS проверяет его своими сигнатурами, и если обнаружено совпадение, то выполняется действие, указанное в соответствующей сигнатуре.
Но из-за глубокого анализа с помощью сигнатур потребление аппаратных ресурсов NGFW значительно увеличивается. Снизить нагрузку может уменьшение глубины анализа
В статье Алексей рассказывает, как понять и протестировать, что IPS работает эффективно, а также — как использовать IPS в NGFW, чтобы «не оглядываться назад в темном переулке».
Например, в PT NGFW трафик проверяется всеми сигнатурами вне зависимости от того, какой именно набор сигнатур подключен к правилу. При этом действия с трафиком и отображение событий выполняются только по сигнатурам, которые помещены в набор. Эта логика удобна для администраторов, потому что им не приходится волноваться насчет утилизации аппаратных ресурсов межсетевого экрана при формировании набора сигнатур.
#PTNGFW
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥18❤11👍7🔥4🤨2
А о ключевых трендах в самом управлении уязвимостями рассказывает в статье для Positive Research Павел Попов, руководитель группы инфраструктурной безопасности Positive Technologies.
Скорее открывайте и читайте:
Подробности ищите на сайте нашего медиа.
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13🔥5👍4
В обновлениях компания Apple устранила уязвимость PT-2025-34177 (CVE-2025-43300), которая была обнаружена во фреймворке ImageIO. Он позволяет приложениям считывать и записывать файлы изображений в большинстве форматов, а также дает доступ к метаданным изображения.
🍏 Apple уточнила, что обработка файла вредоносного изображения может привести к повреждению памяти.
Вендор сообщил, что уязвимость была устранена за счет улучшения проверки границ памяти в версиях iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10, MacOS Sequoia 15.6.1, MacOS Sonoma 14.7.8, MacOS Ventura 13.7.8.
«Такие уязвимости потенциально могут приводить к сбоям, повреждению данных или даже удаленному выполнению кода. Выполнив произвольный код, злоумышленник потенциально может повысить права в системе, получить данные с устройства и зашифровать его. Кроме того, атакующий мог бы использовать устройство как точку входа для дальнейшего развития атаки на инфраструктуру компании», — уточняет Александр Леонов, ведущий эксперт PT Expert Security Center.
Под угрозой — iPhone XS и более поздние модели, iPad разных поколений, а также устройства на macOS.
«Подобные уязвимости являются основой для zero- или 1-click-атак, когда не требуется вообще никаких действий пользователя (картинка открывается автоматически при получении сообщения в мессенджере) или необходимо минимальное простое действие (например, открыть картинку). Конкретно эта уязвимость — в системном компоненте, и в теории злоумышленник может проэксплуатировать ее через любое приложение, в котором этот компонент используется», — отмечает Николай Анисеня, руководитель разработки PT Maze в Positive Technologies.
Похожие недостатки безопасности могут встречаться и в приложениях, которые обновляются чаще, чем системные компоненты. В таких случаях необходима защита от реверс-инжиниринга — обязательного этапа любой атаки на мобильное приложение. Это позволит выиграть время для самостоятельного обнаружения и исправления уязвимости, а также повысить стоимость атаки для злоумышленника и, как итог, спасти пользователей от взлома. Защитить приложения можно с помощью PT Maze.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17❤14🤩8😱2
Дефект безопасности PT-2025-28938 (BDU:2025-08181) содержался сразу в двух линейках UserGate NGFW — в версиях до 6.1.9.12193R и 7.3.1.153682R включительно. Он возник из-за недостаточной фильтрации данных на служебной странице блокировки, на которую перенаправляются пользователи после отказа в доступе к тому или иному URL-адресу.
Успешная эксплуатация уязвимости позволяла нарушить работу UserGate NGFW, похитить персональные данные сотрудников либо развить атаку в локальной сети.
«Совершив успешную атаку, злоумышленник гипотетически смог бы отправлять запросы от имени жертвы к внутренним сервисам компании, таким как корпоративная почта и база знаний. Это могло бы обернуться утечкой информации, содержащей коммерческую тайну, — рассказал Владимир Власов, старший специалист отдела исследований безопасности банковских систем Positive Technologies. — Если бы нарушитель сумел закрепиться во внутренней сети организации, под угрозой могли бы оказаться ее бизнес-процессы».
«Positive Technologies уведомила нас об уязвимости, и специалисты центра мониторинга и реагирования UserGate uFactor оперативно выпустили обновление и произвели оповещение клиентов компании. При этом, учитывая особенности найденной уязвимости и трудность ее реализации, вероятность эксплуатации вне лабораторных условий равна нулю. Это подтверждается информацией, размещенной на ресурсе БДУ ФСТЭК. Согласно БДУ ФСТЭК уязвимость была сразу устранена, фактов ее использования не обнаружено», — рассказали в пресс-службе UserGate.
Для устранения ошибки необходимо загрузить исправленную версию UserGate NGFW (начиная с 6.1.9.12198R или 7.3.2.183745R). Если обновить ПО невозможно, наш эксперт рекомендует отключить страницу блокировки или вывести ее на отдельный домен, не связанный с основным.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19👏9❤4😁3👌2
👾 Освойте полный цикл управления уязвимостями с экспертами кибербезопасности за 4 недели
Количество уязвимостей в ИТ-системах растет, но хаотичное их устранение тормозит бизнес и создает напряжение между ИТ и ИБ. Пора выстроить систему.
🚀 Практикум «Управление уязвимостями: от теории к практике» стартует 8 сентября, она станет вашим ключом к организованной и эффективной стратегии управления уязвимостями.
Программу разработали Павел Попов и Михаил Козлов — профессионалы кибербезопасности с глубоким многолетним практическим опытом в области управления уязвимостями. Практикум можно проходить не только индивидуально, но и командой!
👉 Больше подробностей — на странице практикума.
#PositiveEducation
@Positive_Technologies
Количество уязвимостей в ИТ-системах растет, но хаотичное их устранение тормозит бизнес и создает напряжение между ИТ и ИБ. Пора выстроить систему.
🚀 Практикум «Управление уязвимостями: от теории к практике» стартует 8 сентября, она станет вашим ключом к организованной и эффективной стратегии управления уязвимостями.
Чему вы научитесь:
• Строить систему управления уязвимостями.
• Проводить инвентаризацию активов и оценивать риски.
• Настраивать MaxPatrol VM: сканеры, теги, фильтры, автоматизация.
• Приоритизировать и устранять уязвимости системно.
• Анализировать отчеты и выделять критические уязвимости.
• Обеспечивать слаженную работу ИТ и ИБ.
Программу разработали Павел Попов и Михаил Козлов — профессионалы кибербезопасности с глубоким многолетним практическим опытом в области управления уязвимостями. Практикум можно проходить не только индивидуально, но и командой!
👉 Больше подробностей — на странице практикума.
#PositiveEducation
@Positive_Technologies
👍15🔥9❤8
Наше исследование актуальных киберугроз за первое полугодие 2025 года показало, что использование вредоносного ПО — по-прежнему самый популярный метод успешных атак (63% случаев). При этом злоумышленники в два раза чаще, чем год назад, распространяют ВПО через сайты. По данным наших аналитиков, это связано с ростом популярности схем, нацеленных на разработчиков.
Киберпреступники размещают на популярных платформах GitHub и GitLab фиктивные проекты. А потом обманом заставляют пользователей запускать вредоносную полезную нагрузку, отвечающую за извлечение дополнительных компонентов из контролируемого злоумышленником репозитория и их выполнение. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.
Например, в России, Бразилии и Турции от такой вредоносной кампании пострадали геймеры и криптовалютные инвесторы. На их устройства загружался инфостилер, крадущий адреса криптокошельков, личные и банковские данные. В США, Европе и Азии обнаружено не менее 233 жертв кампании группировки Lazarus: она внедряла JavaScript-имплант, предназначенный для сбора системной информации.
Также с начала года злоумышленники активно использовали в экосистемах с открытым исходным кодом технику тайпсквоттинга (создания вредоносных пакетов с названиями, похожими на легальные), рассчитывая на ошибки и опечатки пользователей при вводе этих названий.
Специалисты PT ESC выявили в репозитории PyPI вредоносную кампанию, нацеленную на разработчиков, ML-специалистов и энтузиастов, заинтересованных в интеграции DeepSeek в свои системы. Вредоносные пакеты deepseeek и deepseekai могли собирать данные о пользователе и его компьютере, а также похищать переменные окружения.
«Внедряя вредоносное ПО в процессы разработки, злоумышленники наносят двойной удар: поражают не только саму жертву, но и проекты, с которыми она связана. Мы прогнозируем, что этот тренд будет набирать обороты: атаки на ИТ-компании и разработчиков с целью подрыва цепочек поставок будут происходить чаще», — поделилась Анастасия Осипова, младший аналитик исследовательской группы Positive Technologies.
Эксперты рекомендуют вендорам, производящим ПО, выстроить процессы безопасной разработки и обеспечить защиту цепочки поставок. А именно — внедрить инструменты, позволяющие выявлять уязвимости в коде и тестировать безопасность приложений, а также решения для динамического анализа кода и анализаторы пакетов. Ну и конечно, нужно своевременно обновлять системы управления исходным кодом, которые используются в процессе разработки.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👏14🔥8❤5❤🔥5
🎦 Эксперт PT SWARM Никита Петров выявил критически опасные уязвимости в TrueConf Server
Эксплуатация цепочки обнаруженных недостатков (BDU:2025-10114, BDU:2025-10115, BDU:2025-10116) могла привести к полной компрометации серверов видео-конференц-связи.
На момент публикации в сети, по данным мониторинга актуальных угроз, проводимого экспертами Positive Technologies, насчитывалось более 7000 серверов только в России. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление.
🖥 Уязвимы версии TrueConf Server до 5.5.1, 5.4.6, 5.3.7 на любых ОС. Атаке могли быть подвержены серверы, которые подключены к публичной сети.
Нарушитель, скомпрометировавший систему, мог бы получить возможность развития атаки внутри корпоративной сети организации. Кроме того, он мог бы провести атаки на пользователей этой ВКС (в фокусе внимания — бизнес и государственные организации).
Ранее эксперты Positive Technologies помогли устранить уязвимость типа RCE в системе ВКС Vinteo. В случае успешной эксплуатации недостатка безопасности потенциальный атакующий мог выполнять произвольные команды и получить доступ к серверу и контроль над ним.
❗️ Для устранения недостатка необходимо обновить TrueConf до версий 5.5.1.10180, 5.4.6.10010, 5.3.7.10043 и выше.
Исследователь также рекомендует использовать продукты класса vulnerability management, например MaxPatrol VM. Кроме того, эти уязвимости можно обнаружить с помощью правил MaxPatrol SIEM, которые выявляют подозрительные процессы от веб-серверов на Unix и Windows. Продвинутые продукты классов NTA/NDR, например, PT Network Attack Discovery (PT NAD) детектируют попытки эксплуатации данной уязвимости, а продукты класса NGFW, такие как PT NGFW, и блокируют ее.
#PTSWARM
@Positive_Technologies
Эксплуатация цепочки обнаруженных недостатков (BDU:2025-10114, BDU:2025-10115, BDU:2025-10116) могла привести к полной компрометации серверов видео-конференц-связи.
На момент публикации в сети, по данным мониторинга актуальных угроз, проводимого экспертами Positive Technologies, насчитывалось более 7000 серверов только в России. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление.
TrueConf — российский разработчик решений для совместной работы. Ключевой продукт компании, TrueConf Server, используется как мессенджер и ВКС-система для проведения видеоконференций в формате 4K Ultra HD, поддерживает до 1500 участников в одной сессии и не ограничивает число параллельных конференций.
🖥 Уязвимы версии TrueConf Server до 5.5.1, 5.4.6, 5.3.7 на любых ОС. Атаке могли быть подвержены серверы, которые подключены к публичной сети.
Нарушитель, скомпрометировавший систему, мог бы получить возможность развития атаки внутри корпоративной сети организации. Кроме того, он мог бы провести атаки на пользователей этой ВКС (в фокусе внимания — бизнес и государственные организации).
«Атака на эту систему открывает злоумышленнику дорогу во внутреннюю сеть организации, то есть служит вектором первоначального доступа, если система расположена на внешнем периметре. Далее нарушитель может получить максимальные привилегии во внутренней сети и провести классическую атаку, связанную, например, с использованием шифровальщика и последующим вымогательством. Если нарушитель просто выведет ВКС из строя, пользователи не смогут коммуницировать не только внутри компании, но и с внешними контрагентами», — отметил Никита Петров.
«Для нас безопасность — наивысший приоритет. Обновления TrueConf Server доступны для скачивания всем компаниям. Мы гордимся тем, что в кратчайшие сроки устраняем угрозы для серверов совместно с ведущими экспертами в сфере информационной безопасности, такими как Positive Technologies», — дополнил Дмитрий Одинцов, директор по развитию TrueConf.
Ранее эксперты Positive Technologies помогли устранить уязвимость типа RCE в системе ВКС Vinteo. В случае успешной эксплуатации недостатка безопасности потенциальный атакующий мог выполнять произвольные команды и получить доступ к серверу и контроль над ним.
❗️ Для устранения недостатка необходимо обновить TrueConf до версий 5.5.1.10180, 5.4.6.10010, 5.3.7.10043 и выше.
Исследователь также рекомендует использовать продукты класса vulnerability management, например MaxPatrol VM. Кроме того, эти уязвимости можно обнаружить с помощью правил MaxPatrol SIEM, которые выявляют подозрительные процессы от веб-серверов на Unix и Windows. Продвинутые продукты классов NTA/NDR, например, PT Network Attack Discovery (PT NAD) детектируют попытки эксплуатации данной уязвимости, а продукты класса NGFW, такие как PT NGFW, и блокируют ее.
#PTSWARM
@Positive_Technologies
🔥26👏7👍6😁2❤1
Media is too big
VIEW IN TELEGRAM
Как за три месяца Rambler&Co и Positive Technologies сделали кибербезопасность измеримой 😎
Rambler&Co — крупнейший медиахолдинг России по объему аудитории цифровых ресурсов (40% пользователей Рунета ежемесячно). Кибербезопасность для компании — ключевой компонент стратегического планирования, так как она связана с защитой не только важных активов, но и репутации.
🤝 За три месяца в партнерстве с Positive Technologies холдинг реализовал проект результативной кибербезопасности (РКБ) и начал проверять защищенность с помощью кибериспытаний на платформе Standoff 365.
О ценности РКБ для бизнеса и ее отличиях от классических подходов в видео рассказали Евгений Руденко, директор по кибербезопасности Rambler&Co, Константин Ермаков, руководитель направления проектной безопасности Rambler&Co, и Алексей Трипкош, директор по результативной кибербезопасности Positive Technologies.
👀 Больше подробностей — в материале на нашем сайте.
@Positive_Technologies
Rambler&Co — крупнейший медиахолдинг России по объему аудитории цифровых ресурсов (40% пользователей Рунета ежемесячно). Кибербезопасность для компании — ключевой компонент стратегического планирования, так как она связана с защитой не только важных активов, но и репутации.
🤝 За три месяца в партнерстве с Positive Technologies холдинг реализовал проект результативной кибербезопасности (РКБ) и начал проверять защищенность с помощью кибериспытаний на платформе Standoff 365.
О ценности РКБ для бизнеса и ее отличиях от классических подходов в видео рассказали Евгений Руденко, директор по кибербезопасности Rambler&Co, Константин Ермаков, руководитель направления проектной безопасности Rambler&Co, и Алексей Трипкош, директор по результативной кибербезопасности Positive Technologies.
👀 Больше подробностей — в материале на нашем сайте.
@Positive_Technologies
❤🔥14👍11👏5❤4
Как появился онлайн-полигон Standoff Defend для blue team 👽
С 2016 года мы проводим кибербитву Standoff — уникальное событие, где красные команды атакуют реалистичные инфраструктуры (банки, АЭС, нефтепровод и другие) и пытаются реализовать критические или недопустимые события, а команды защитников учатся обнаруживать и отражать сложные атаки.
Для blue team участие в Standoff — это интенсивный, почти экстремальный опыт. С одной стороны, он дарит невероятные эмоции и уникальные навыки, с другой — требует полной концентрации и отрыва от привычной работы👨💻
После очередной битвы мы задумались: а что, если создать инструмент, доступный чаще, чем два раза в год, и при этом более удобный для синих команд? Тем более у нас уже был онлайн-полигон для red team, доступный в любое время. Если есть онлайн‑полигон для «красных», значит, должен быть и для «синих».
🏃♀️➡️ С этого и начался путь создания Standoff Defend — инструмента, который помогает командам SOC становиться сильнее и расширять свои знания при поддержке ментора. Подробнее о том, как все начиналось и к чему мы пришли, в нашем блоге на Хабре рассказала Полина Спиридонова, product owner Standoff Cyberbones и Standoff Defend.
В статье вы узнаете, как на онлайн-полигоне с помощью модуля Archer запускаются регулируемые атаки, какие гипотезы мы проверяли в процессе разработки, как справлялись с вызовами и — главное — как убедились, что продукт «зашел» клиентам по всем пунктам.
💪 А после прочтения заходите на Standoff Defend и пробуйте свои силы: расследование одной APT-атаки — в открытом доступе для всех, кто хочет прокачать свои навыки в области defensive security.
#StandoffDefend
@Positive_Technologies
С 2016 года мы проводим кибербитву Standoff — уникальное событие, где красные команды атакуют реалистичные инфраструктуры (банки, АЭС, нефтепровод и другие) и пытаются реализовать критические или недопустимые события, а команды защитников учатся обнаруживать и отражать сложные атаки.
Для blue team участие в Standoff — это интенсивный, почти экстремальный опыт. С одной стороны, он дарит невероятные эмоции и уникальные навыки, с другой — требует полной концентрации и отрыва от привычной работы
После очередной битвы мы задумались: а что, если создать инструмент, доступный чаще, чем два раза в год, и при этом более удобный для синих команд? Тем более у нас уже был онлайн-полигон для red team, доступный в любое время. Если есть онлайн‑полигон для «красных», значит, должен быть и для «синих».
🏃♀️➡️ С этого и начался путь создания Standoff Defend — инструмента, который помогает командам SOC становиться сильнее и расширять свои знания при поддержке ментора. Подробнее о том, как все начиналось и к чему мы пришли, в нашем блоге на Хабре рассказала Полина Спиридонова, product owner Standoff Cyberbones и Standoff Defend.
В статье вы узнаете, как на онлайн-полигоне с помощью модуля Archer запускаются регулируемые атаки, какие гипотезы мы проверяли в процессе разработки, как справлялись с вызовами и — главное — как убедились, что продукт «зашел» клиентам по всем пунктам.
💪 А после прочтения заходите на Standoff Defend и пробуйте свои силы: расследование одной APT-атаки — в открытом доступе для всех, кто хочет прокачать свои навыки в области defensive security.
#StandoffDefend
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤17🔥7👍3
Кто в этот раз у нас в «Темной комнате»? Ого, да это же настоящий топовый багхантер со Standoff Bug Bounty.
Пользуясь тем, что интервью в этой рубрике Positive Research анонимные, выспросили у него все важные подробности и задали парочку провокационных вопросов. Вот несколько цитат на затравку.
🔴 Как найти дорогую уязвимость в скоупе, где уже «все найдено»
🔴 Почему белые хакеры не продают баги на черном рынке
🔴 Что хотелось бы исправить во взаимодействии с вендорами
🔜 А весь материал целиком читайте по ссылке.
#PositiveResearch
@Positive_Technologies
Пользуясь тем, что интервью в этой рубрике Positive Research анонимные, выспросили у него все важные подробности и задали парочку провокационных вопросов. Вот несколько цитат на затравку.
Во время очередного созвона мне стало скучно, и я решил зайти в программу, которую ранее не просматривал. Сразу же нашел там простейший IDOR, который позволял выкачивать множество данных о клиентах. При этом баг не был дубликатом, хотя программу уже просматривали опытные исследователи (это к вопросу о том, что «все уже нашли»). Я сдал отчет и заработал свыше 700 тыс. руб. всего за пару минут.
Не продал бы ни в коем случае , потому что спокойствие дороже любых денег. Так что не интересовался, осуждаю и вообще представления не имею :) Наше дело — ломать, чтобы сервисы становились безопасными.
На данный момент багхантеры совершенно не защищены: при оценке критичности багов им приходится полагаться на честность вендора, реальность скриншотов и «внутренние метрики компании». При этом суммы вознаграждений зачастую оказываются совсем небольшими. На рынке мало программ, которым я полностью доверяю и с оценкой которых безоговорочно соглашаюсь. Мне все еще кажется диким, когда вендор говорит, что заплатит после устранения уязвимости. При этом непонятно, в какой момент это произойдет… Такие инвестиции лично меня не привлекают.
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16👍7🔥7
Эксперты Positive Education обновили и расширили созданную ими схему карьерного развития — первый и единственный в отрасли ресурс, описывающий актуальные профессиональные роли и пути построения карьеры в ИБ в России. Студенты и молодые специалисты легко смогут ответить на вопрос «Кем вы хотите быть через пять лет?» и построить карьерный маршрут в индустрии кибербезопасности с учетом трендов.
Для этого пришлось проделать большую работу: собрать и проанализировать несколько сотен вакансий на рынке труда и интервью с экспертами по кибербезопасности из крупных компаний.
«Ежегодно тысячи начинающих специалистов пытаются понять, к какой должности стремиться, какой план развития наиболее перспективен. Мы в Positive Education видим, как им бывает сложно выбрать путь, — комментирует Дмитрий Федоров, руководитель проектов Positive Technologies по взаимодействию с вузами. — Наша схема — это общедоступный навигатор, который укажет движение к перспективным ролям и в целом сформирует представление о том, как сейчас работают и растут специалисты по кибербезопасности».
Как показывает опыт наших экспертов, переходы из одного направления в другое — стандартная процедура в сфере кибербезопасности. С появлением новых технологий формируются узкие специализации и перспективные роли, например роль специалиста по анализу защищенности Web 3.0 и ML-инженера в ИБ. Недавно возникшие роли превращаются в карьерные треки, пересекаются с другими ролями, образуя профессии-гибриды.
#PositiveEducation
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23🔥15❤14👌2💯2
👾 Поймали интересный вредонос? Поделитесь им с экспертами антивирусной лаборатории PT ESC!
В нашей лаборатории идет постоянная работа по обнаружению различного вредоносного ПО. Но этим дело не ограничивается.
Очень важно охватывать максимальное количество зловредных образцов и, главное, быстро доставлять экспертизу пользователям наших средств защиты. Для этого мы постоянно расширяем каналы поступления информации о самых актуальных вредоносных файлах 🕵️
Если вы увлекаетесь вирусным анализом и можете поделиться интересными образцами, столкнулись с атакой с использованием ВПО и хотите помочь другим, либо в качестве защитника отвечаете за безопасность корпоративной инфраструктуры и вам нужно оперативно получать обновления экспертизы для детектирования новых угроз — все просто:
Ни один присланный образец не останется без внимания👀
Если ваше сообщение окажется полезным, мы обязательно сообщим, в какой версии экспертизы и для какого из наших продуктов реализован детект вашего образца.
#PTESC
@Positive_Technologies
В нашей лаборатории идет постоянная работа по обнаружению различного вредоносного ПО. Но этим дело не ограничивается.
Очень важно охватывать максимальное количество зловредных образцов и, главное, быстро доставлять экспертизу пользователям наших средств защиты. Для этого мы постоянно расширяем каналы поступления информации о самых актуальных вредоносных файлах 🕵️
Если вы увлекаетесь вирусным анализом и можете поделиться интересными образцами, столкнулись с атакой с использованием ВПО и хотите помочь другим, либо в качестве защитника отвечаете за безопасность корпоративной инфраструктуры и вам нужно оперативно получать обновления экспертизы для детектирования новых угроз — все просто:
🔐 Заархивируйте вредоносный файл с паролемinfected.
➡️ Отправьте архив на почту avlab@ptsecurity.com
Ни один присланный образец не останется без внимания
Если ваше сообщение окажется полезным, мы обязательно сообщим, в какой версии экспертизы и для какого из наших продуктов реализован детект вашего образца.
#PTESC
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥13🔥6👏6❤5🤯3
Ведь захват контроллера домена даст злоумышленникам доступ к учетным данным и позволит быстро развить атаку. На вебинаре 4 сентября в 14:00 разберемся, как выжать максимум из аудита доменов и их контроллеров, чтобы вовремя их защитить.
Эксперты расскажут:
Регистрируйтесь на вебинар прямо сейчас, встречаемся в эфире 4 сентября!
P. S. Каждому участнику подарим руководство по аудиту активов, которое поможет вам узнать все о ваших доменах.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👏5👌4👍2❤1
⚠️ Эксперт PT SWARM Даниил Сатяев помог устранить уязвимость в браузере Firefox
Уязвимость PT-2025-30487 (CVE-2025-6430, BDU:2025-07582) получила оценку 6,1 балла по шкале CVSS 4.0.
🦊 Ошибка затронула все версии Firefox ниже 140.0, а также корпоративный Firefox ESR младше 128.12. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление для Firefox и Firefox ESR.
📬 Недостатку безопасности были также подвержены соответствующие линейки почтовой программы Thunderbird: уязвимости содержались в версиях ниже 140 и 128.12. Для обеих были выпущены обновления.
⚙️ Чтобы предотвратить опасные последствия, необходимо в кратчайшие сроки обновить Firefox до версии не ниже 140.0 и Firefox ESR до версии не ниже 128.12. Если установить актуальную версию браузера невозможно, эксперт рекомендует применять средства очистки пользовательского ввода, например библиотеку DOMPurify.
💡 Оперативно узнавать об актуальных недостатках безопасности со всего мира можно на нашем портале dbugs.
#PTSWARM
@Positive_Technologies
Уязвимость PT-2025-30487 (CVE-2025-6430, BDU:2025-07582) получила оценку 6,1 балла по шкале CVSS 4.0.
Проэксплуатировав дефект безопасности в браузере Firefox вместе с уязвимостью, связанной с межсайтовым выполнением сценариев (XSS), злоумышленник потенциально мог бы:
• получить доступ к внутренним сервисам организации, например к документообороту и CRM, а затем — к коммерческой тайне и финансовым данным;
• скомпрометировать учетные данные пользователей, в том числе администраторов корпоративной сети, и нарушить бизнес-процессы организации;
• перенаправлять пользователей на фишинговые страницы для похищения учетных данных.
🦊 Ошибка затронула все версии Firefox ниже 140.0, а также корпоративный Firefox ESR младше 128.12. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление для Firefox и Firefox ESR.
📬 Недостатку безопасности были также подвержены соответствующие линейки почтовой программы Thunderbird: уязвимости содержались в версиях ниже 140 и 128.12. Для обеих были выпущены обновления.
«До устранения уязвимости CVE-2025-6430 Firefox некорректно использовал механизмы безопасной загрузки встраиваемых мультимедийных элементов, из-за чего просматриваемые пользователем файлы (документы, изображения, видеозаписи) открывались прямо в браузере, а не скачивались.
Такое поведение системы могло помочь злоумышленнику в обходе некоторых механизмов защиты от уязвимостей, приводящих к атакам типа XSS. Воспользовавшись межсайтовым скриптингом на одном из веб-ресурсов, нарушитель мог бы внедрить на страницу файл c вредоносным кодом на языке JavaScript, который жертва автоматически выполнила бы, открыв такой файл», — поделился подробностями Даниил Сатяев.
⚙️ Чтобы предотвратить опасные последствия, необходимо в кратчайшие сроки обновить Firefox до версии не ниже 140.0 и Firefox ESR до версии не ниже 128.12. Если установить актуальную версию браузера невозможно, эксперт рекомендует применять средства очистки пользовательского ввода, например библиотеку DOMPurify.
💡 Оперативно узнавать об актуальных недостатках безопасности со всего мира можно на нашем портале dbugs.
#PTSWARM
@Positive_Technologies
🔥20❤7👏5🐳3👍1
🔄 Представляем обновленную версию MaxPatrol EDR — 8.1, которая поможет SOC в три раза быстрее выполнять часть рабочих задач
Новая версия нашего продукта для защиты конечных устройств от сложных и целевых атак получила полностью переработанный интерфейс для ручного реагирования на инциденты. Вместо набора разрозненных инструментов у пользователя теперь есть единое окно для работы с ними. Объединение необходимых данных и функций в одном месте сокращает время реагирования, а поиск киберугроз и расследование инцидентов становятся удобнее.
🔍 Так, встроенный браузер файлов и диспетчер процессов позволяют получать полную картину происходящего на конечном устройстве без использования сторонних утилит и переключения между несколькими источниками (как обновился интерфейс, смотрите на скриншотах). Кроме того, в два раза был ускорен переход в веб-интерфейс других модулей.
Среди других нововведений:
🗂 Теперь пользователи MaxPatrol EDR могут отправлять файлы на конечные устройства. Аналитики будут доставлять скрипты для тонкой настройки систем, конфигурации для восстановления работоспособности или обновления для устранения конкретной уязвимости. Это позволит оперативно перенастраивать рабочие станции прямо в ходе расследования инцидентов без использования сторонних инструментов.
💻 Продукт продолжает снижать нагрузку на конечные устройства: текущая версия стала на 6,6% оптимальнее предыдущей и на 24% оптимальнее по сравнению с началом года.
🤝 Для бесшовной интеграции продукта в инфраструктуру заказчиков был реализован новый механизм отправки данных на syslog-сервер. Обновленная версия поддерживает несколько протоколов и форматов передачи событий безопасности, которые, по нашим внутренним данным, применяются более чем в 250 сторонних решениях. Благодаря этому, пользователи могут отправлять собранные EDR-платформой данные с конечных устройств в системы SIEM, SOAR, IRP и другие для последующей обработки и анализа.
✈️ В версии 8.1 расширена возможность гибкой настройки правил безопасности для разных групп агентов: они применяются автоматически в зависимости от местоположения устройства. При смене сети система сама определяет текущее окружение и активирует нужные параметры: например, строгие — для ненадежных сетей, стандартные — для корпоративных. От специалистов требуется только заранее настроить соответствие между сетями и группами политик.
В планах команды — подготовка MaxPatrol EDR к развертыванию в популярных средах виртуализации, работа над усилением функции цифровой криминалистики, улучшение пользовательского опыта и повышение отказоустойчивости.
Узнать больше о MaxPatrol EDR вы можете на нашем сайте.
#MaxPatrolEDR
@Positive_Technologies
Новая версия нашего продукта для защиты конечных устройств от сложных и целевых атак получила полностью переработанный интерфейс для ручного реагирования на инциденты. Вместо набора разрозненных инструментов у пользователя теперь есть единое окно для работы с ними. Объединение необходимых данных и функций в одном месте сокращает время реагирования, а поиск киберугроз и расследование инцидентов становятся удобнее.
🔍 Так, встроенный браузер файлов и диспетчер процессов позволяют получать полную картину происходящего на конечном устройстве без использования сторонних утилит и переключения между несколькими источниками (как обновился интерфейс, смотрите на скриншотах). Кроме того, в два раза был ускорен переход в веб-интерфейс других модулей.
«MaxPatrol EDR — экспертный продукт, который мы продолжаем усиливать и развивать в разных направлениях. Для нас важно сохранять фокус на практической пользе, гибкости и бесшовной адаптации решения к инфраструктуре каждого клиента, поэтому мы прислушиваемся к их опыту и запросам. Так, в новой версии мы полностью переосмыслили интерфейс — решение повседневных задач стало более удобным и эффективным. Мы продолжим улучшать пользовательский опыт, чтобы команды SOC еще успешнее боролись с угрозами», — отмечает Алена Караваева, руководитель MaxPatrol EDR, Positive Technologies.
Среди других нововведений:
🗂 Теперь пользователи MaxPatrol EDR могут отправлять файлы на конечные устройства. Аналитики будут доставлять скрипты для тонкой настройки систем, конфигурации для восстановления работоспособности или обновления для устранения конкретной уязвимости. Это позволит оперативно перенастраивать рабочие станции прямо в ходе расследования инцидентов без использования сторонних инструментов.
💻 Продукт продолжает снижать нагрузку на конечные устройства: текущая версия стала на 6,6% оптимальнее предыдущей и на 24% оптимальнее по сравнению с началом года.
🤝 Для бесшовной интеграции продукта в инфраструктуру заказчиков был реализован новый механизм отправки данных на syslog-сервер. Обновленная версия поддерживает несколько протоколов и форматов передачи событий безопасности, которые, по нашим внутренним данным, применяются более чем в 250 сторонних решениях. Благодаря этому, пользователи могут отправлять собранные EDR-платформой данные с конечных устройств в системы SIEM, SOAR, IRP и другие для последующей обработки и анализа.
✈️ В версии 8.1 расширена возможность гибкой настройки правил безопасности для разных групп агентов: они применяются автоматически в зависимости от местоположения устройства. При смене сети система сама определяет текущее окружение и активирует нужные параметры: например, строгие — для ненадежных сетей, стандартные — для корпоративных. От специалистов требуется только заранее настроить соответствие между сетями и группами политик.
В планах команды — подготовка MaxPatrol EDR к развертыванию в популярных средах виртуализации, работа над усилением функции цифровой криминалистики, улучшение пользовательского опыта и повышение отказоустойчивости.
Узнать больше о MaxPatrol EDR вы можете на нашем сайте.
#MaxPatrolEDR
@Positive_Technologies
🔥14👍7❤5👏5🎉1