Большинство поставщиков программного обеспечения не могут бороться с уязвимостями процессоров
Согласно исследованиям специалистов по кибербезопасности из компании Binarly, в настоящий момент отрасль не может грамотно следовать рекомендациям AMD и Intel по защите, что создает риски для цепочек поставок программного обеспечения и ставит современные процессоры под угрозу атак спекулятивного выполнения.
Исследователи назвали проблему FirmwareBleed. Она связана с утечками информации из-за постоянного расширения поверхности атаки на корпорации. Благодаря этому злоумышленники могут получить доступ к содержимому привилегированной памяти, включая области, защищенные технологиями виртуализации, и извлечь конфиденциальные данные из памяти процессора.
Причиной может быть как некорректная установка патчей, так и частичное их использование. В общей сложности было обнаружено 32 прошивки от HP, 59 от Dell и 248 от Lenovo, в которых не были учтены обновления для устранения проблем в программном обеспечении.
Согласно исследованиям специалистов по кибербезопасности из компании Binarly, в настоящий момент отрасль не может грамотно следовать рекомендациям AMD и Intel по защите, что создает риски для цепочек поставок программного обеспечения и ставит современные процессоры под угрозу атак спекулятивного выполнения.
Исследователи назвали проблему FirmwareBleed. Она связана с утечками информации из-за постоянного расширения поверхности атаки на корпорации. Благодаря этому злоумышленники могут получить доступ к содержимому привилегированной памяти, включая области, защищенные технологиями виртуализации, и извлечь конфиденциальные данные из памяти процессора.
Причиной может быть как некорректная установка патчей, так и частичное их использование. В общей сложности было обнаружено 32 прошивки от HP, 59 от Dell и 248 от Lenovo, в которых не были учтены обновления для устранения проблем в программном обеспечении.
Новый вредоносный Linux-фреймворк остается незамеченным в системе
Lightning Framework — так назвали новую вредоносную программу для Linux, которая уже получила статус «швейцарского армейского ножа» за сложную модульную архитектуру и возможность устанавливать руткиты в систему. Фреймворк содержит множество разнообразных функций, что делает его одной из самых сложных платформ, разработанных для атак на системы Linux.
В основе Lightning Framework лежат загрузчик kbioset и ключевой модуль kkdmflush. Первый разработан для скачивания с удаленного сервера как минимум семи различных плагинов. Помимо этого, загрузчик отвечает за укрепление в системе главного модуля. Он устанавливает соединение с C2-сервером и получает команды, необходимые для запуска плагинов, а также пытается скрыть присутствие хакерской программы в системе. Таким образом программа получает возможность отправлять ряд команд, которые могут снимать цифровой отпечаток устройств, запускать шелл-команды, загружать файлы на сервер, записывать произвольные данные и обновлять или удалять вредоносную нагрузку на компьютер.
Lightning Framework — так назвали новую вредоносную программу для Linux, которая уже получила статус «швейцарского армейского ножа» за сложную модульную архитектуру и возможность устанавливать руткиты в систему. Фреймворк содержит множество разнообразных функций, что делает его одной из самых сложных платформ, разработанных для атак на системы Linux.
В основе Lightning Framework лежат загрузчик kbioset и ключевой модуль kkdmflush. Первый разработан для скачивания с удаленного сервера как минимум семи различных плагинов. Помимо этого, загрузчик отвечает за укрепление в системе главного модуля. Он устанавливает соединение с C2-сервером и получает команды, необходимые для запуска плагинов, а также пытается скрыть присутствие хакерской программы в системе. Таким образом программа получает возможность отправлять ряд команд, которые могут снимать цифровой отпечаток устройств, запускать шелл-команды, загружать файлы на сервер, записывать произвольные данные и обновлять или удалять вредоносную нагрузку на компьютер.
База клиентов «Билайна» появилась в даркнете
Продавец в качестве примера демонстрирует часть персональных данных клиентов оператора связи «Билайн» из Астрахани, Тольятти и Санкт-Петербурга. База содержит ФИО, номера телефонов и паспортные данные. Ранее, в сентябре прошлого года, в открытом доступе также оказались логи с персональными данными клиентов оператора. Пресс-служба «Билайна» тогда сделала следующее заявление: «По имеющейся у нас информации, в этой базе могут содержаться технические логи небольшой части наших абонентов фиксированного интернета». Но позднее на одном из форумов появилась информация по обмену 350 тыс. записей с данными клиентов оператора из Москвы, Московской области, Санкт-Петербурга и Ленинградской области.
Продавец в качестве примера демонстрирует часть персональных данных клиентов оператора связи «Билайн» из Астрахани, Тольятти и Санкт-Петербурга. База содержит ФИО, номера телефонов и паспортные данные. Ранее, в сентябре прошлого года, в открытом доступе также оказались логи с персональными данными клиентов оператора. Пресс-служба «Билайна» тогда сделала следующее заявление: «По имеющейся у нас информации, в этой базе могут содержаться технические логи небольшой части наших абонентов фиксированного интернета». Но позднее на одном из форумов появилась информация по обмену 350 тыс. записей с данными клиентов оператора из Москвы, Московской области, Санкт-Петербурга и Ленинградской области.
LibreOffice выпустила патчи для устранения трех уязвимостей
Первую уязвимость (CVE-2022-26305) разработчики охарактеризовали как некорректную валидацию сертификата при проверке подписи макросов. Благодаря ей злоумышленник может выполнить произвольный код с помощью макросов, создав сертификат с определенным серийным номером, а также со строкой эмитента, которая идентична той, что встречается в проверенном сертификате. В результате LibreOffice будет считать, что сертификат выдан проверенной организацией.
Второй баг (CVE-2022-26306), связанный со статичным вектором инициализации при шифровании, позволяет атакующему получить доступ к пользовательским настройкам и ослабить защиту устройства.
Последняя из устраненных уязвимостей (CVE-2022-26307) относится к плохо зашифрованному мастер-ключу. С ее помощью можно провести брутфорс сохраненных паролей.
Если у вас установлен пакет LibreOffice, обязательно обновите его до версий 7.2.7, 7.3.2 и 7.3.3.
Первую уязвимость (CVE-2022-26305) разработчики охарактеризовали как некорректную валидацию сертификата при проверке подписи макросов. Благодаря ей злоумышленник может выполнить произвольный код с помощью макросов, создав сертификат с определенным серийным номером, а также со строкой эмитента, которая идентична той, что встречается в проверенном сертификате. В результате LibreOffice будет считать, что сертификат выдан проверенной организацией.
Второй баг (CVE-2022-26306), связанный со статичным вектором инициализации при шифровании, позволяет атакующему получить доступ к пользовательским настройкам и ослабить защиту устройства.
Последняя из устраненных уязвимостей (CVE-2022-26307) относится к плохо зашифрованному мастер-ключу. С ее помощью можно провести брутфорс сохраненных паролей.
Если у вас установлен пакет LibreOffice, обязательно обновите его до версий 7.2.7, 7.3.2 и 7.3.3.
👍1
Google устранил 27 уязвимостей браузера Chrome
Вышла новая версия браузера Chrome под номером 104, в которой были устранены 27 уязвимостей. Самые опасные из них получили высокую степень риска, но критических обнаружено не было. Также не упоминается о наличии рабочих эксплойтов, которые бы использовались в реальных кибератаках.
Релиз доступен для всех поддерживаемых ОС, включая мобильные устройства.
Вышла новая версия браузера Chrome под номером 104, в которой были устранены 27 уязвимостей. Самые опасные из них получили высокую степень риска, но критических обнаружено не было. Также не упоминается о наличии рабочих эксплойтов, которые бы использовались в реальных кибератаках.
Релиз доступен для всех поддерживаемых ОС, включая мобильные устройства.
👍3
Что же такое цифровая криминалистика и реагирование на инциденты? (DFIR)
DFIR — это междисциплинарный набор задач и процессов, направленных на расследование инцидента кибербезопасности. Он сочетает в себе традиционные действия по реагированию на инциденты (планирование, моделирование инцидентов и реагирования на них, документирование ИТ-архитектуры и разработку плэйбуков) с методами цифровой криминалистики.
В то время как традиционные IR обычно содержат ограниченное количество элементов, связанных с процессами расследования, DFIR уделяет больше внимания цифровой форензике.
DFIR — это междисциплинарный набор задач и процессов, направленных на расследование инцидента кибербезопасности. Он сочетает в себе традиционные действия по реагированию на инциденты (планирование, моделирование инцидентов и реагирования на них, документирование ИТ-архитектуры и разработку плэйбуков) с методами цифровой криминалистики.
В то время как традиционные IR обычно содержат ограниченное количество элементов, связанных с процессами расследования, DFIR уделяет больше внимания цифровой форензике.
👍1
Что такое цифровая форензика?
Цифровая форензика — это отрасль криминалистики, охватывающая цифровые технологии. Специалисты ИБ сосредоточены на восстановлении, расследовании и изучении материалов, обнаруженных на цифровых устройствах. Конечная цель — подтвердить, была ли кибератака, каково ее влияние, причина и доказательство, свидетельствующее, что инцидент произошел, что нужно предпринять, чтобы схожих инцидентов не происходило в будущем.
Как и в любом криминалистическом расследовании, скорость имеет решающее значение, особенно если атака или компрометация продолжаются. Быстрые действия могут помочь остановить активный киберинцидент.
Активный компьютер, сеть или устройство постоянно производят данные, которые могут иметь решающее значение для расследования, даже если они простаивают. Со временем возрастает риск того, что эти данные будут удалены, перезаписаны или иным образом изменены. Многие артефакты сильно зависят от состояния компьютера сразу после инцидента. Криминалистам необходимо действовать быстро, чтобы собрать всю эту информацию до того, как она будет потеряна.
Цифровая форензика — это отрасль криминалистики, охватывающая цифровые технологии. Специалисты ИБ сосредоточены на восстановлении, расследовании и изучении материалов, обнаруженных на цифровых устройствах. Конечная цель — подтвердить, была ли кибератака, каково ее влияние, причина и доказательство, свидетельствующее, что инцидент произошел, что нужно предпринять, чтобы схожих инцидентов не происходило в будущем.
Как и в любом криминалистическом расследовании, скорость имеет решающее значение, особенно если атака или компрометация продолжаются. Быстрые действия могут помочь остановить активный киберинцидент.
Активный компьютер, сеть или устройство постоянно производят данные, которые могут иметь решающее значение для расследования, даже если они простаивают. Со временем возрастает риск того, что эти данные будут удалены, перезаписаны или иным образом изменены. Многие артефакты сильно зависят от состояния компьютера сразу после инцидента. Криминалистам необходимо действовать быстро, чтобы собрать всю эту информацию до того, как она будет потеряна.
👍3
Приходите к нам на MFD 2022!
Мероприятие для всех профессионалов из индустрии информационной безопасности и сочувствующих! Спикеры подсветят тренды ИБ, инструменты для расследований корпоративных (и не только!) инцидентов, расскажут об интересных кейсах, инструментах и поделятся экспертизой. И не забываем про кулуарное общение, кучу лайфхаков и новостей с полей!
Ждем всех 15 сентября, отель «Вега Измайлово»
Ссылка и регистрация здесь:
http://events.oxygensoftware.ru/
Мероприятие для всех профессионалов из индустрии информационной безопасности и сочувствующих! Спикеры подсветят тренды ИБ, инструменты для расследований корпоративных (и не только!) инцидентов, расскажут об интересных кейсах, инструментах и поделятся экспертизой. И не забываем про кулуарное общение, кучу лайфхаков и новостей с полей!
Ждем всех 15 сентября, отель «Вега Измайлово»
Ссылка и регистрация здесь:
http://events.oxygensoftware.ru/
Что такое реакция на инцидент?
Реагирование на инциденты (IR) — это набор действий, которые компания выполняет, когда они находятся в разгаре инцидента кибербезопасности. Для целей IR киберинцидент может быть определен как любое событие, которое ставит под угрозу конфиденциальность, целостность и/или доступность информации — основные принципы информационной безопасности.
Деятельность IR, как правило, основывается на плэйбуке, разработанном для максимально быстрого резервного копирования и запуска ИТ-инфраструктуры при одновременном снижении общего ущерба от инцидента. Эти платформы предназначены для поддержки усилий по восстановлению, но в более широком смысле они также помогают организациям достичь киберзрелости и профессионализма. Это может помочь усилить защиту, в первую очередь предотвращая атаки и инциденты, затрагивающие бизнес.
Реагирование на инциденты (IR) — это набор действий, которые компания выполняет, когда они находятся в разгаре инцидента кибербезопасности. Для целей IR киберинцидент может быть определен как любое событие, которое ставит под угрозу конфиденциальность, целостность и/или доступность информации — основные принципы информационной безопасности.
Деятельность IR, как правило, основывается на плэйбуке, разработанном для максимально быстрого резервного копирования и запуска ИТ-инфраструктуры при одновременном снижении общего ущерба от инцидента. Эти платформы предназначены для поддержки усилий по восстановлению, но в более широком смысле они также помогают организациям достичь киберзрелости и профессионализма. Это может помочь усилить защиту, в первую очередь предотвращая атаки и инциденты, затрагивающие бизнес.
Почему DFIR важен для кибербезопасности?
Для компаний, у которых возник инцидент в сфере информационной безопасности, восстановление рабочих процессов является первостепенной задачей, но помимо восстановления работы важно также понять, как и почему произошел инцидент.
DFIR направлен на обеспечение более глубокого понимания картины инцидента, достигаемого с помощью всестороннего и сложного процесса расследования. Специалисты DFIR собирают и проверяют большие объемы данных, чтобы определить, кто атаковал их, как злоумышленники проникли в периметр, какие именно шаги предприняли для взлома систем и что специалисты компании могут сделать, чтобы инцидентов по схожему сценарию больше не происходило.
Эта информация также часто используется для создания судебного дела против выявленных правонарушителей. Информация собирается с использованием процесса цифровой криминалистики, который помогает следователям обнаруживать и сохранять цифровые доказательства.
Для компаний, у которых возник инцидент в сфере информационной безопасности, восстановление рабочих процессов является первостепенной задачей, но помимо восстановления работы важно также понять, как и почему произошел инцидент.
DFIR направлен на обеспечение более глубокого понимания картины инцидента, достигаемого с помощью всестороннего и сложного процесса расследования. Специалисты DFIR собирают и проверяют большие объемы данных, чтобы определить, кто атаковал их, как злоумышленники проникли в периметр, какие именно шаги предприняли для взлома систем и что специалисты компании могут сделать, чтобы инцидентов по схожему сценарию больше не происходило.
Эта информация также часто используется для создания судебного дела против выявленных правонарушителей. Информация собирается с использованием процесса цифровой криминалистики, который помогает следователям обнаруживать и сохранять цифровые доказательства.
👍2
Как доказать, что киберпреступник атаковал бизнес, и устранить последствия?
Для этого используется цифровая криминалистика и реагирование на инциденты (DFIR) — это специализированная область, посвященная выявлению, устранению и расследованию инцидентов кибербезопасности. Цифровая криминалистика включает в себя сбор, сохранение и анализ улик для составления полной и подробной картины событий. В то же время реагирование на инцидент обычно направлено на сдерживание, остановку и предотвращение атаки.
В сочетании цифровая криминалистика и реагирование на инциденты обеспечивают бесперебойную работу предприятия, выявляя и закрывая уязвимости в системе безопасности, а также предоставляют доказательства, необходимые для выдвижения обвинений против злоумышленников, которые нацелились на вашу компанию.
А учитывая, насколько дорогостоящей и разрушительной может быть всего одна атака, важно знать, как реагировать на инцидент кибербезопасности.
Для этого используется цифровая криминалистика и реагирование на инциденты (DFIR) — это специализированная область, посвященная выявлению, устранению и расследованию инцидентов кибербезопасности. Цифровая криминалистика включает в себя сбор, сохранение и анализ улик для составления полной и подробной картины событий. В то же время реагирование на инцидент обычно направлено на сдерживание, остановку и предотвращение атаки.
В сочетании цифровая криминалистика и реагирование на инциденты обеспечивают бесперебойную работу предприятия, выявляя и закрывая уязвимости в системе безопасности, а также предоставляют доказательства, необходимые для выдвижения обвинений против злоумышленников, которые нацелились на вашу компанию.
А учитывая, насколько дорогостоящей и разрушительной может быть всего одна атака, важно знать, как реагировать на инцидент кибербезопасности.
Что такое процесс расследования инцидента информационной безопасности?
Процесс расследования инцидента — это общепринятый метод, которым сотрудники службы информационной безопасности пользуются для сбора и сохранения цифровых доказательств с намерением выстроить цепочку событий. Он состоит из трех ключевых шагов.
• Сбор
На данном этапе создаются точные копии исследуемых устройств, обычно с помощью дубликатора жесткого диска или специализированных программных инструментов. Оригинальные носители защищены от несанкционированного доступа.
• Анализ
На этом этапе специалисты анализируют собранные данные, регистрируя все найденные доказательства, которые подтверждают или опровергают гипотезу. Непрерывный анализ проводится для реконструкции событий и действий во время инцидента, помогая сделать выводы о том, что произошло и какие события привели к инциденту (неправомерное использование инсайдерской информации, хакерская атака и т.д.).
• Отчет
После завершения расследования результаты и выводы, обнаруженные аналитиками, представляются в отчете, понятном нерядовому персоналу. Эти отчеты передаются тем, кто заказал расследование, и обычно попадают в руки сотрудников правоохранительных органов, отдела кадров или руководящему составу компании. Реагирование на инциденты обеспечивает бесперебойную работу предприятия, выявляя и закрывая уязвимости в системе безопасности, а также предоставляет доказательства, необходимые для выдвижения обвинений против злоумышленников, целью которых стала атака на компанию.
Учитывая, насколько дорогостоящей и разрушительной может стать даже одна атака, важно знать, как правильно реагировать на инцидент кибербезопасности.
Процесс расследования инцидента — это общепринятый метод, которым сотрудники службы информационной безопасности пользуются для сбора и сохранения цифровых доказательств с намерением выстроить цепочку событий. Он состоит из трех ключевых шагов.
• Сбор
На данном этапе создаются точные копии исследуемых устройств, обычно с помощью дубликатора жесткого диска или специализированных программных инструментов. Оригинальные носители защищены от несанкционированного доступа.
• Анализ
На этом этапе специалисты анализируют собранные данные, регистрируя все найденные доказательства, которые подтверждают или опровергают гипотезу. Непрерывный анализ проводится для реконструкции событий и действий во время инцидента, помогая сделать выводы о том, что произошло и какие события привели к инциденту (неправомерное использование инсайдерской информации, хакерская атака и т.д.).
• Отчет
После завершения расследования результаты и выводы, обнаруженные аналитиками, представляются в отчете, понятном нерядовому персоналу. Эти отчеты передаются тем, кто заказал расследование, и обычно попадают в руки сотрудников правоохранительных органов, отдела кадров или руководящему составу компании. Реагирование на инциденты обеспечивает бесперебойную работу предприятия, выявляя и закрывая уязвимости в системе безопасности, а также предоставляет доказательства, необходимые для выдвижения обвинений против злоумышленников, целью которых стала атака на компанию.
Учитывая, насколько дорогостоящей и разрушительной может стать даже одна атака, важно знать, как правильно реагировать на инцидент кибербезопасности.
Какие типы данных собирают аналитики в ходе расследования инцидента ИБ?
На этапе сбора информации аналитики ищут различные данные, которые помогут им в расследовании.
Образы дисков — это побитовые копии, сделанные с цифровых носителей данных, обычно жестких дисков. Иногда изображения могут быть взяты с USB-накопителей, SD-карт и т.д.
Образы памяти — оперативная память компьютера может быть записана специальным программным обеспечением, аналогично образу диска. Сбор образов (дампов) оперативной памяти крайне важен, потому что следы некоторых передовых методов, используемых злоумышленниками, невозможно обнаружить на жестких дисках.
Данные приложения — если образ диска или памяти недоступен или неактуален, сотрудники ИБ обратятся к данным приложения, включающим в себя логи хоста, сетевых устройств и программного обеспечения.
На этапе сбора информации аналитики ищут различные данные, которые помогут им в расследовании.
Образы дисков — это побитовые копии, сделанные с цифровых носителей данных, обычно жестких дисков. Иногда изображения могут быть взяты с USB-накопителей, SD-карт и т.д.
Образы памяти — оперативная память компьютера может быть записана специальным программным обеспечением, аналогично образу диска. Сбор образов (дампов) оперативной памяти крайне важен, потому что следы некоторых передовых методов, используемых злоумышленниками, невозможно обнаружить на жестких дисках.
Данные приложения — если образ диска или памяти недоступен или неактуален, сотрудники ИБ обратятся к данным приложения, включающим в себя логи хоста, сетевых устройств и программного обеспечения.
Почему цифровые доказательства важны?
Цифровые доказательства ничем не отличаются от обычных улик. Они содержат важную информацию, переданную или сохраненную на цифровом устройстве во время совершения преступления, и должны соответствовать ключевым критериям:
• достоверность — подтверждать реальные факты;
• допустимость — иметь форму, отвечающую требованиям расследования;
• логичность — демонстрировать логическую связь между доказательствами, сведениями и обстоятельствами инцидента.
Специалисты DFIR соберут эту информацию и сохранят ее в безопасном месте, чтобы предотвратить ее «загрязнение». Но это не единственные доказательства, которые они собирают.
Также оценке и проработке подлежат:
Аналогичные доказательства — сопоставимые инциденты или события, которые могут иметь отношение к пониманию рассматриваемого дела.
Свидетельства, построенные на отдельных наблюдениях, — истории и отчеты третьих сторон, которые могут поддержать гипотезу при анализе инцидента. Неподтвержденные доказательства неприемлемы в суде, но могут быть полезны в ходе расследования инцидента.
Косвенные доказательства — тип аргументов на основе ряда фактов. Также могут пониматься как гипотеза, основанная на известной информации, либо быть полезными при расследовании.
Личностные свидетельства — показания отдельных экспертов, которые могут помочь доказать намерение, мотив и возможность злоумышленников.
Цифровые доказательства ничем не отличаются от обычных улик. Они содержат важную информацию, переданную или сохраненную на цифровом устройстве во время совершения преступления, и должны соответствовать ключевым критериям:
• достоверность — подтверждать реальные факты;
• допустимость — иметь форму, отвечающую требованиям расследования;
• логичность — демонстрировать логическую связь между доказательствами, сведениями и обстоятельствами инцидента.
Специалисты DFIR соберут эту информацию и сохранят ее в безопасном месте, чтобы предотвратить ее «загрязнение». Но это не единственные доказательства, которые они собирают.
Также оценке и проработке подлежат:
Аналогичные доказательства — сопоставимые инциденты или события, которые могут иметь отношение к пониманию рассматриваемого дела.
Свидетельства, построенные на отдельных наблюдениях, — истории и отчеты третьих сторон, которые могут поддержать гипотезу при анализе инцидента. Неподтвержденные доказательства неприемлемы в суде, но могут быть полезны в ходе расследования инцидента.
Косвенные доказательства — тип аргументов на основе ряда фактов. Также могут пониматься как гипотеза, основанная на известной информации, либо быть полезными при расследовании.
Личностные свидетельства — показания отдельных экспертов, которые могут помочь доказать намерение, мотив и возможность злоумышленников.