Общие техники, которые активно используют операторы троянов-вымогателей
Опубликован отчет с результатами анализа APT-группировок, которые используют трояны-вымогатели в ходе своих операций. Материал интересен для всех, кто выстраивает систему защиты от ransomware в инфраструктуре.
Ряд особенностей, отмеченных в отчете, можно использовать для детекта рансомвари:
* методы попадания в инфраструктуру у всех общие: человеческий фактор (фишинг), открытые сервисы (например, RDP) и множественные уязвимости (причем, известные);
* в процессе запуска все вредоносы используют командные и скриптовые интерпретаторы;
* для закрепления образцы всех семейств используют техники манипуляции учетными записями;
* для обхода средств защиты чаще всего используются стандартные средства ОС;
* обнаружение ресурсов: все без исключения семейства используют техники обнаружения новых ресурсов (сетевых шар, хостов, файлов, процессов и т.д.);
* коммуникация с серверами управления (Command and Control, C2): все образцы используют уровень приложений для коммуникации с C2, а некоторые пытаются осуществить эксфильтрацию (кражу) данных по этому же каналу;
* нарушение целостности данных: удаление бэкапов, выключение системных функция восстановления данных, остановка бизнес-приложений.
Аналитикам SOC на заметку: последние три особенности позволяют построить стратегию целенаправленного детекта ransomware в зараженной инфраструктуре.
Опубликован отчет с результатами анализа APT-группировок, которые используют трояны-вымогатели в ходе своих операций. Материал интересен для всех, кто выстраивает систему защиты от ransomware в инфраструктуре.
Ряд особенностей, отмеченных в отчете, можно использовать для детекта рансомвари:
* методы попадания в инфраструктуру у всех общие: человеческий фактор (фишинг), открытые сервисы (например, RDP) и множественные уязвимости (причем, известные);
* в процессе запуска все вредоносы используют командные и скриптовые интерпретаторы;
* для закрепления образцы всех семейств используют техники манипуляции учетными записями;
* для обхода средств защиты чаще всего используются стандартные средства ОС;
* обнаружение ресурсов: все без исключения семейства используют техники обнаружения новых ресурсов (сетевых шар, хостов, файлов, процессов и т.д.);
* коммуникация с серверами управления (Command and Control, C2): все образцы используют уровень приложений для коммуникации с C2, а некоторые пытаются осуществить эксфильтрацию (кражу) данных по этому же каналу;
* нарушение целостности данных: удаление бэкапов, выключение системных функция восстановления данных, остановка бизнес-приложений.
Аналитикам SOC на заметку: последние три особенности позволяют построить стратегию целенаправленного детекта ransomware в зараженной инфраструктуре.
securelist.ru
Омерзительная восьмёрка: техники, тактики и процедуры (TTPs) группировок шифровальщиков
Описание стадий атак вымогателей и инструментов, которые киберпреступники используют на каждой стадии, а также рекомендации по защите от целевых атак с использованием шифровальщиков
👍2
Обнаружен новый экземпляр рансомвари, написанный на Golang
И примечательно то, что Golang и Rust становятся популярными у разработчиков малвари. Кросс-платформенные языки программирования позволяют злодеям охватить больше операционных систем и таким образом скомпрометировать больше разнообразных корпоративных сред.
Кроме этого, подобную малварь трудно анализировать, потому что компилятор Go статически подключает необходимые библиотеки в бинарном файле. Итоговый бинарь получается настолько большим, что многие анализаторы и реверс инженеры просто поперхнутся.
И примечательно то, что Golang и Rust становятся популярными у разработчиков малвари. Кросс-платформенные языки программирования позволяют злодеям охватить больше операционных систем и таким образом скомпрометировать больше разнообразных корпоративных сред.
Кроме этого, подобную малварь трудно анализировать, потому что компилятор Go статически подключает необходимые библиотеки в бинарном файле. Итоговый бинарь получается настолько большим, что многие анализаторы и реверс инженеры просто поперхнутся.
Trend Micro
New Golang Ransomware Agenda Customizes Attacks
A new piece of ransomware written in the Go language has been targeting healthcare and education enterprises in Asia and Africa. This ransomware is called Agenda and is customized per victim.
👍2
Должен ли исследователь публиковать уязвимость в случае, если производитель не будет ее исправлять?
Этот вопрос стал причиной живой дискуссии на первом занятии моего курса в МИФИ. Да, даже в 2022 году ответ по-прежнему неочевиден. Особенно, если рассматривать нетривиальные ситуации. Например, уязвимость в устаревшей модели кардиостимуляторов, производитель которых снял устройства с поддержки.
На фото: конференция антивирусных аналитиков в Румынии CARO 2016. В программе докладов, посвященных различным технологиям защиты от малвари, я рассказываю об уязвимостях в IoT, которые никогда не будут исправлены производителем. А надо ли раскрывать эту информацию?
Этот вопрос стал причиной живой дискуссии на первом занятии моего курса в МИФИ. Да, даже в 2022 году ответ по-прежнему неочевиден. Особенно, если рассматривать нетривиальные ситуации. Например, уязвимость в устаревшей модели кардиостимуляторов, производитель которых снял устройства с поддержки.
На фото: конференция антивирусных аналитиков в Румынии CARO 2016. В программе докладов, посвященных различным технологиям защиты от малвари, я рассказываю об уязвимостях в IoT, которые никогда не будут исправлены производителем. А надо ли раскрывать эту информацию?
👍4
Летние исследования для security чемпионов
Проведем обзор опубликованных блогпостов, докладов и исследовательских материалов, которые вряд ли станут «исследованиями года», но несут в себе новые техники. Кто знает, какая из них может вдруг выстрелить и полностью поменять ландшафт угроз?
Сделал подборку интересных материалов в своей "хакерской" колонке. И заодно вернулся на страницы журнала после двух лет перерыва.
Проведем обзор опубликованных блогпостов, докладов и исследовательских материалов, которые вряд ли станут «исследованиями года», но несут в себе новые техники. Кто знает, какая из них может вдруг выстрелить и полностью поменять ландшафт угроз?
Сделал подборку интересных материалов в своей "хакерской" колонке. И заодно вернулся на страницы журнала после двух лет перерыва.
xakep.ru
Летние исследования для чемпионов Security. Колонка Дениса Макрушина
Три месяца лета позади, а значит, пора разгребать закладки в браузере и избранные посты, которые откладывались до появления рабочего настроения. Проведем обзор опубликованных блогпостов, докладов и исследовательских материалов, которые вряд ли станут «исследованиями…
👍2
Студент факультета или кафедры ИБ, который ищет тему для курсовой работы, просто посмотри на статистику распространения рансомвари:
* хронология развития этого типа малвари демонстрирует взрывной рост: от пары семейств в 2010 до 20+ семейств ежемесячно к 2017;
* число атак шифровальщиков удвоилось 2021 году в сравнении с 2020 годом;
* скорость разворачивания шифровальщика в скомпрометированной инфраструктуре увеличивается, что значительно снижает время, требующееся для реагирования на инцидент (в 2021 году у жертвы было 92 часа, чтобы спасти свои данные);
* среднее время простоя инфраструктуры и бизнес-процессов в результате атак выросло с 15 часов в 2020 году до 22 часов 2021 (время – деньги!);
* ущерб от атак шифровальщиков в 2021 году оценивался в 20 миллиардов долларов, а к 2031 году ожидается ущерб в 265 миллиардов.
На основе этих данных получаем рецепт хорошей темы для курсовой:
1. Находим злодея: берем наиболее острую проблему, которая мешает жить всем индустриям, пользователям.
2. Препарируем злодея: изучаем технические особенности, выделяем ключевые характеристики, ищем слабое место.
3. Создаем антидот и не забываем рассказать об этом в тексте работы.
* хронология развития этого типа малвари демонстрирует взрывной рост: от пары семейств в 2010 до 20+ семейств ежемесячно к 2017;
* число атак шифровальщиков удвоилось 2021 году в сравнении с 2020 годом;
* скорость разворачивания шифровальщика в скомпрометированной инфраструктуре увеличивается, что значительно снижает время, требующееся для реагирования на инцидент (в 2021 году у жертвы было 92 часа, чтобы спасти свои данные);
* среднее время простоя инфраструктуры и бизнес-процессов в результате атак выросло с 15 часов в 2020 году до 22 часов 2021 (время – деньги!);
* ущерб от атак шифровальщиков в 2021 году оценивался в 20 миллиардов долларов, а к 2031 году ожидается ущерб в 265 миллиардов.
На основе этих данных получаем рецепт хорошей темы для курсовой:
1. Находим злодея: берем наиболее острую проблему, которая мешает жить всем индустриям, пользователям.
2. Препарируем злодея: изучаем технические особенности, выделяем ключевые характеристики, ищем слабое место.
3. Создаем антидот и не забываем рассказать об этом в тексте работы.
👍6👏1
Проект Red Team: организация, управление, скоуп
Индустрия информационной безопасности асимметрична: атакующий находится в более удобном положении, чем специалист по защите. Атакованной стороне нужно быть эффективной всегда, 24/7, а нападающей достаточно быть эффективной лишь единожды. Кроме того, у атакующего есть возможность тщательно изучить свою жертву перед активной фазой атаки, в то время как другая сторона начинает изучение нарушителя уже во время этой атаки.
Именно для того, чтобы сгладить эту асимметрию, индустрия ИБ разделила процессы на два полюса: оборонительные и наступательные. И раскрасила их в разные цвета — красный для атакующей стороны, синий — для защищающейся.
В этой статье на примере Red Team я расскажу об основных формальных и фактических различиях между командами, рассмотрю, с какими задачами сталкиваются их участники, и, возможно, даже помогу тебе определиться с «цветом», если ты только начинаешь свою карьеру в информационной безопасности или чувствуешь себя не на том месте.
Индустрия информационной безопасности асимметрична: атакующий находится в более удобном положении, чем специалист по защите. Атакованной стороне нужно быть эффективной всегда, 24/7, а нападающей достаточно быть эффективной лишь единожды. Кроме того, у атакующего есть возможность тщательно изучить свою жертву перед активной фазой атаки, в то время как другая сторона начинает изучение нарушителя уже во время этой атаки.
Именно для того, чтобы сгладить эту асимметрию, индустрия ИБ разделила процессы на два полюса: оборонительные и наступательные. И раскрасила их в разные цвета — красный для атакующей стороны, синий — для защищающейся.
В этой статье на примере Red Team я расскажу об основных формальных и фактических различиях между командами, рассмотрю, с какими задачами сталкиваются их участники, и, возможно, даже помогу тебе определиться с «цветом», если ты только начинаешь свою карьеру в информационной безопасности или чувствуешь себя не на том месте.
Denis Makrushin
Проект Red Team: организация, управление, скоуп · Denis Makrushin
В этой статье на примерах Red Team и Blue Team я расскажу об основных различиях между командами и задачами их участников.
Проект Red Team: роли и области экспертизы
Красная команда имитирует действия атакующего, чтобы помочь оценить эффективность защитных мер и улучшить безопасность. В этой статье я разберу, как устроены такие команды и какие нужны области экспертизы для успешной реализации kill chain и демонстрации результатов.
В прошлом посте мы познакомились с ключевыми целями и показателями эффективности Red Team для процессов ИБ и бизнеса в целом. Мы рассмотрели особенности взаимодействия экспертов наступательной безопасности c Blue Team, нюансы ведения проектов и коммуникации во время работ. При этом мы практически не коснулись внутренней структуры красной команды. Раскрываем тему в этом материале.
Красная команда имитирует действия атакующего, чтобы помочь оценить эффективность защитных мер и улучшить безопасность. В этой статье я разберу, как устроены такие команды и какие нужны области экспертизы для успешной реализации kill chain и демонстрации результатов.
В прошлом посте мы познакомились с ключевыми целями и показателями эффективности Red Team для процессов ИБ и бизнеса в целом. Мы рассмотрели особенности взаимодействия экспертов наступательной безопасности c Blue Team, нюансы ведения проектов и коммуникации во время работ. При этом мы практически не коснулись внутренней структуры красной команды. Раскрываем тему в этом материале.
Denis Makrushin
Проект Red Team: роли и области экспертизы · Denis Makrushin
Красная команда имитирует действия атакующего, чтобы помочь оценить эффективность защитных мер и улучшить безопасность. В этой статье я разберу, как устроены такие команды и какие нужны области экспертизы для успешной…
Даже кликнуть не успеешь: скорость шифрования файлов троянами-вымогателями
Основная цель зловреда после попадания в корпоративную сеть: поиск ценных данных и немедленное нарушение их целостности. Причем сделать все это надо оперативно, чтобы защитное ПО или пользователь не успели спасти свои данные. Для этого шифровать надо быстро, надежно и желательно не потерять сгенерированный ключ где-то в оперативной памяти, чтобы аналитик или антивирус не смогли его извлечь.
Как показывает исследование, в ходе которого проводили измерение скорости шифрования различными троянами-вымогателям, для того, чтобы зашифровать 100000 файлов, самому быстрому вредоносу нужно 5 минут 50 секунд. Это много или мало?
Достаточно много, чтобы успеть обнаружить аномалию и спасти хотя бы часть файлов.
Основная цель зловреда после попадания в корпоративную сеть: поиск ценных данных и немедленное нарушение их целостности. Причем сделать все это надо оперативно, чтобы защитное ПО или пользователь не успели спасти свои данные. Для этого шифровать надо быстро, надежно и желательно не потерять сгенерированный ключ где-то в оперативной памяти, чтобы аналитик или антивирус не смогли его извлечь.
Как показывает исследование, в ходе которого проводили измерение скорости шифрования различными троянами-вымогателям, для того, чтобы зашифровать 100000 файлов, самому быстрому вредоносу нужно 5 минут 50 секунд. Это много или мало?
Достаточно много, чтобы успеть обнаружить аномалию и спасти хотя бы часть файлов.
Splunk
Gone in 52 Seconds…and 42 Minutes: A Comparative Analysis of Ransomware Encryption Speed | Splunk
With the release of SURGe's new ransomware research, Splunker Shannon Davis shares a closer look into measuring how fast ransomware encrypts files.
Вот уже в течение нескольких лет одной из интересных для меня тем является кибер-безопасность современной медицины. Результаты исследований были аккуратно сложены в три больших статьи:
1. «Ошибки умной медицины» - вводный материал, в котором описаны наиболее распространенные проблемы и последствия для медицинских учреждений, не готовых к кибер-атакам.
2. «Подключенная медицина и ее диагноз» - анализ ситуации внутри реальной медицинской организации с детальным описанием имеющихся уязвимостей и подробными рекомендациями по устранению обнаруженных проблем.
3. «A therapeutic Postmortem of Connected Medicine» - заключительный материал, в котором рассматриваются реально существующие в открытом доступе точки входа к ценным данным, а также приводятся примеры конкретных «вредоносов», которые в настоящий момент активны в медицинских учреждениях.
28 декабря 2019 года крупная организация США в сфере здравоохранения (United States Department of Health and Human Services) опубликовала документ, в котором детально описывается стратегия по защите медицинских организаций от кибер-угроз.
Это означает, что многочисленные исследования и неоднократное привлечение внимания к проблемам не напрасны. Кто знает, сколько жизней в будущем спасет данная инициатива, которую уже сегодня берут на себя исследователи.
1. «Ошибки умной медицины» - вводный материал, в котором описаны наиболее распространенные проблемы и последствия для медицинских учреждений, не готовых к кибер-атакам.
2. «Подключенная медицина и ее диагноз» - анализ ситуации внутри реальной медицинской организации с детальным описанием имеющихся уязвимостей и подробными рекомендациями по устранению обнаруженных проблем.
3. «A therapeutic Postmortem of Connected Medicine» - заключительный материал, в котором рассматриваются реально существующие в открытом доступе точки входа к ценным данным, а также приводятся примеры конкретных «вредоносов», которые в настоящий момент активны в медицинских учреждениях.
28 декабря 2019 года крупная организация США в сфере здравоохранения (United States Department of Health and Human Services) опубликовала документ, в котором детально описывается стратегия по защите медицинских организаций от кибер-угроз.
Это означает, что многочисленные исследования и неоднократное привлечение внимания к проблемам не напрасны. Кто знает, сколько жизней в будущем спасет данная инициатива, которую уже сегодня берут на себя исследователи.
Denis Makrushin
Ошибки “умной” медицины · Denis Makrushin
Как показали многочисленные исследования, “умные” дома, “умные” автомобили и “умные” города, не только приносят несомненную пользу человеку в быту, но и зачастую создают угрозу его безопасности. Речь не только об утечке…
Встречаем первую открытую лекцию в рамках курса «Основы Безопасности Приложений» НИЯУ МИФИ
Алексей Канахин, кандидат физико-математических наук в области физики полупроводников, разработчик железа и исследователь проблем приватности приложений машинного интеллекта, расскажет о методах защиты информации в эпоху машинного интеллекта и квантовых вычислений.
Место: онлайн-трансляция в телеграм-канале @makrushind
Время: 18:00, 14 октября.
Запрыгивай на лекцию и присоединяйся к обсуждению!
Алексей Канахин, кандидат физико-математических наук в области физики полупроводников, разработчик железа и исследователь проблем приватности приложений машинного интеллекта, расскажет о методах защиты информации в эпоху машинного интеллекта и квантовых вычислений.
Место: онлайн-трансляция в телеграм-канале @makrushind
Время: 18:00, 14 октября.
Запрыгивай на лекцию и присоединяйся к обсуждению!
🔥7👍1
Найти уязвимость в крупной системе управления медицинскими данными за 4 часа полета - ✅
За несколько часов до своей презентации на конференции Insomnihack в Женеве я бегло посмотрел вторую (а первая стала поводом для доклада) крупную систему для управления медицинскими записями - OpenMRS. Оказалось, что и там существуют проблемы, которые открывают для злоумышленника возможности украсть пользовательские данные.
А пока разработчики исправляют обнаруженные уязвимости, доктор, не доверяй своему пациенту.
За несколько часов до своей презентации на конференции Insomnihack в Женеве я бегло посмотрел вторую (а первая стала поводом для доклада) крупную систему для управления медицинскими записями - OpenMRS. Оказалось, что и там существуют проблемы, которые открывают для злоумышленника возможности украсть пользовательские данные.
А пока разработчики исправляют обнаруженные уязвимости, доктор, не доверяй своему пациенту.
В прошлую пятницу Алексей Канахин познакомил студентов МИФИ и подписчиков нашего канала с темой защиты информации в эпоху машинного интеллекта и квантовых вычислений.
Ключевые мысли, которые Алексей озвучил в своей лекции:
* Квантовая криптография != пост-квантовая криптография. Сохраняем компетентность и не путаем эти технологии.
* Гомоморфное шифрование - тренд в современной криптографии, который начинает набирать обороты и внедряется в отрасли с повышенными требованиями к конфиденциальности данных. Например, анализ и поиск по приватным данным или машинное обучение с использованием этих данных.
* Разработчик, не надо писать свои криптографические библиотеки, если только ты не ставишь задачу изобрести новый протокол передачи данных или криптографический примитив.
* Квантовый компьютер, представляющий угрозу современным цифровым сертификатам, ещё не создан, однако быть готовым к его появлению нужно уже сейчас, потому что атаки с его использованием будет крайне сложно заметить.
Мы подготовили видео-запись и подборку ссылок для самостоятельного изучения. Изучай и задавай вопросы в чате нашего канала.
Ключевые мысли, которые Алексей озвучил в своей лекции:
* Квантовая криптография != пост-квантовая криптография. Сохраняем компетентность и не путаем эти технологии.
* Гомоморфное шифрование - тренд в современной криптографии, который начинает набирать обороты и внедряется в отрасли с повышенными требованиями к конфиденциальности данных. Например, анализ и поиск по приватным данным или машинное обучение с использованием этих данных.
* Разработчик, не надо писать свои криптографические библиотеки, если только ты не ставишь задачу изобрести новый протокол передачи данных или криптографический примитив.
* Квантовый компьютер, представляющий угрозу современным цифровым сертификатам, ещё не создан, однако быть готовым к его появлению нужно уже сейчас, потому что атаки с его использованием будет крайне сложно заметить.
Мы подготовили видео-запись и подборку ссылок для самостоятельного изучения. Изучай и задавай вопросы в чате нашего канала.
🔥6👍1
Ожидание и реальность: развитие угроз для подключенной медицины
В 2017 году в Дублине мы сделали прогнозы по развитию угроз в отрасли «подключенной» медицины. 8 из 9 сценариев к настоящему времени уже случились.
В пункте 9 есть предположение, что «развивающиеся технологии, такие как интеллектуальные искусственные конечности и импланты для физиологических улучшений или встроенной дополненной реальности, не только позволяют людям с ограниченными возможностями приспособиться, почувствовать себя лучше и сильнее, но и несут в себе угрозу. Именно поэтому крайне важно интегрировать системы безопасности в эти технологии на ранних этапах проектирования».
Отсутствие громких инцидентов еще не означает, что в этот самый момент, где-то в исследовательских лабораториях не изготавливается протез с уязвимой версией прошивки. Хорошая идея для перспективного исследования на стыке областей бионики и кибербезопасности.
В 2017 году в Дублине мы сделали прогнозы по развитию угроз в отрасли «подключенной» медицины. 8 из 9 сценариев к настоящему времени уже случились.
В пункте 9 есть предположение, что «развивающиеся технологии, такие как интеллектуальные искусственные конечности и импланты для физиологических улучшений или встроенной дополненной реальности, не только позволяют людям с ограниченными возможностями приспособиться, почувствовать себя лучше и сильнее, но и несут в себе угрозу. Именно поэтому крайне важно интегрировать системы безопасности в эти технологии на ранних этапах проектирования».
Отсутствие громких инцидентов еще не означает, что в этот самый момент, где-то в исследовательских лабораториях не изготавливается протез с уязвимой версией прошивки. Хорошая идея для перспективного исследования на стыке областей бионики и кибербезопасности.
Атакующий: тук-тук
Роутер: кто там?
Атакующий: admin admin
В главных ролях: прошивка роутера с учетной записью, зашитой в код.
Роутер: кто там?
Атакующий: admin admin
В главных ролях: прошивка роутера с учетной записью, зашитой в код.
Denis Makrushin
Backdoors in D-Link’s backyard: multiple vulnerabilities in D-Link DIR-620 router · Denis Makrushin
“If you want to change the world, start with yourself.” In the case of security research this can be rephrased to: “If you want to make the world safer, start…
🔥3👏1