Двадцать шестого мая в рамках Positive Hack Days Fest 2 состоится Python Day, который мы проведем совместно с сообществом MoscowPython. Программный комитет конференции отобрал восемь докладов, анонсами которых мы хотели бы поделиться с читателями нашего блога. В этой статье мы расскажем о четырех докладах из запланированных восьми — продолжение последует позднее. Каждый анонс сопровождается комментарием участника программного комитета.
Никому нельзя верить на слово в безопасной разработке, или Еще один взгляд на SCA
Захожу я в английский клуб. Там все сидят, выпивают, в карты играют. Смотрю — в очко режутся! Сел я за столик, взял карты. У меня — 18. А мой соперник говорит: «20». Я ему: «Покажи!». А он мне: «Мы, джентльмены, верим друг другу на слово». И вот тут-то мне поперло.
Но в ИБ так не пройдет, нужна здоровая паранойя. Поэтому на слово не верим никому, в том числе и инструментам анализа, а сначала их проверяем.
Устройство памяти процессов в ОС Linux. Сбор дампов при помощи гипервизора
Иногда для анализа ВПО или, например, для отладки какого-либо процесса может потребоваться дамп памяти процесса. Но как его собрать без отладчика? Постараемся ответить на этот вопрос в этой статье.
Задачи:
- Обозначить цель сбора дампа процесса.
- Описать структуру памяти процессов в Linux и отметить различия в старой и новой версиях ядра ОС
- Рассмотреть вариант снятия дампа памяти процесса внутри виртуальной машины на базе связки гипервизора Xen и фреймворка с открытым исходным кодом DRAKVUF.
Профессия «кибердетектив»: кто такой исследователь угроз и как им стать
Привет, Хабр! Об исследовании киберугроз ходит немало мифов. Якобы это крайне узкая специализация, котирующаяся только в ИБ. Попасть в профессию непросто: необходимо на старте иметь глубокую теоретическую подготовку и навыки обратной разработки. Наконец, карьерные возможности такого специалиста строго ограничены: если ты все-таки прорвался в индустрию и дорос до исследователя угроз, дальше остается прокачивать свои скилы… в общем-то, все. Хорошая новость: это все мифы, с которыми я столкнулся лично и которые с радостью развею в этой статье.
Меня зовут Алексей Вишняков, сегодня я руковожу процессами эмуляции атак и испытания экспертизы продуктов в Standoff 365, Positive Technologies, но долгое время был руководителем отдела обнаружения вредоносного ПО экспертного центра безопасности (PT Expert Security Center).
Любовь в каждой атаке: как группировка TA558 заражает жертв вредоносами с помощью стеганографии
Приветствую! И снова в эфир врывается Александр Бадаев из отдела исследования киберугроз PT Expert Security Center. Но на этот раз мы работали в паре с Ксенией Наумовой, специалистом отдела обнаружения вредоносного ПО, недавно рассказывавшей читателям Хабра о трояне SafeRAT. Пришли к вам с новым исследованием о… не самой новой хакерской группировке, но зато использующей уникальнейший метод сокрытия вредоноса да к тому же еще романтически❤️настроенной. Но обо всем по порядку!
Итак, мы выявили сотни атак по всему миру с использованием широко известного ПО, среди которого: Agent Tesla, FormBook, Remcos, Lokibot, Guloader, SnakeKeylogger, XWorm, NjRAT, EkipaRAT. Хакеры строили длинные цепочки кибернападений и использовали взломанные легитимные FTP-серверы в качестве С2-серверов, а также SMTP-серверы как С2 и сервисы для фишинга.
Злоумышленники активно применяли технику стеганографии: зашивали в картинки и текстовые материалы файлы полезной нагрузки в виде RTF-документов, VBS и PowerShell-скриптов со встроенным эксплойтом. Интересно, что большинство RTF-документов и VBS в изученных атаках имеют, например, такие названия: greatloverstory.vbs
, easytolove.vbs
, iaminlovewithsomeoneshecuteandtrulyyoungunluckyshenotundersatnd_howmuchiloveherbutitsallgreatwithtrueloveriamgivingyou.doc
. Все наименования связаны со словом «любовь», поэтому мы и назвали эту операцию SteganoAmor.
Изучив все детали и существующие исследования, мы атрибутировали атаки: их совершала группировка TA558. В зафиксированных случаях кибернападений группировка целилась в организации разных стран, несмотря на то что приоритетным регионом для нее является Латинская Америка.
🤔Кстати, помните, как один знаменитый вирус наделал в свое время много шуму? Он немного связан с темой нашей статьи. Тому, кто первый ответит, что это за вирус и какие записи в реестре Windows он создавал, традиционный респект от команды PT ESC и подарок.
Как меняются методы расследования на Standoff: кейс аналитика PT Expert Security Center
Всем привет! Меня зовут Юлия Фомина, в Positive Technologies я занимаюсь проактивным поиском и обнаружением угроз, что в профессиональной среде называется threat hunting. И все эти знания наша команда превращает в экспертизу продуктов Positive Technologies. И конечно же, мы не только обогащаем наши продукты уникальной экспертизой, но и в буквальном смысле пробуем каждый продукт в деле. Сегодня поговорим про мой опыт работы с одной из наших новейших разработок — автопилотом MaxPatrol O2, а также о том, как он упростил нам работу при анализе и расследовании активности белых хакеров во время двенадцатой кибербитвы Standoff.
Трендовые уязвимости марта: обновляйтесь и импортозамещайтесь
Хабр, привет! Я Александр Леонов, и мы с командой аналитиков Positive Technologies каждый месяц изучаем информацию о недостатках безопасности из баз, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и определяем трендовые уязвимости. То есть те, которые либо уже эксплуатируются вживую, либо могут начать эксплуатироваться в ближайшее время.
Сегодня расскажу про самые опасные в марте — всего их было пять.
BSIMM: с чего начинается AppSec в компании
Безопасная разработка является неотъемлемой частью непростого пути к безопасности приложений. И у всех руководителей и лидов R&D, кто задумывается о построении у себя AppSec, возникает вопрос — с чего же начать? А начать нужно с организации процессов: определить положение дел, понять, какие активности необходимо внедрить, какие оптимизировать, а какие убрать. В общем, оценить зрелость текущих процессов безопасной разработки и обозначить дальнейшие шаги в светлое AppSec-будущее компании. И тут на помощь нам приходят фреймворки по безопасной разработке.
Как мы выследили новую APT-группу, которая похищает пароли и передает их телеграм-ботам
При отслеживании киберугроз мы, специалисты экспертного центра безопасности Positive Technologies, в очередной раз засекли ранее неизвестную APT-группу. Хакеры орудуют в России, Беларуси, Казахстане и Армении, а также в Средней Азии (Узбекистане, Кыргызстане и Таджикистане). По нашим данным, от их атак пострадали организации в государственном и финансовом секторах, в сфере образования и медицины. Всего было скомпрометировано около 870 учетных записей сотрудников.
На этот раз нас удивил почерк группировки, который можно описать как «сложно не значит лучше». Киберпреступники выделяются тем, что добиваются успеха, не прибегая к сложному инструментарию, сложным тактикам и техникам. Их основное оружие — примитивный стилер, написанный на Python.
Ознакомиться с полным отчетом, как обычно, можно в нашем блоге, а ниже вас ждет разбор вредоноса и немного спойлеров.
Формальная верификация смарт-контрактов во фреймворке ConCert
Добрый день! Меня зовут Кирилл Зиборов, я представляю отдел безопасности распределенных систем Positive Technologies. В этой статье мы продолжим обсуждать методы и инструменты формальной верификации смарт-контрактов и их практическое применение для предотвращения уязвимостей. Мы подробно поговорим о методе дедуктивной верификации, а точнее, о фреймворке для тестирования и верификации смарт-контрактов — ConCert.
На мушке у APT-группировок: kill chain из восьми шагов и котики
Пламенный хабропривет от Александра Бадаева из отдела исследования киберугроз PT Expert Security Center и Яны Авезовой, аналитика исследовательской группы. Оба мы работаем в Positive Technologies, и, как вы могли подумать, пути наши в компании не так уж часто пересекаются. Ну сами посудите: с одной стороны — хакерские группировки, распутывание цепочек атак, а с другой — анализ киберугроз, статистика, сухие цифры и красивые графики. Так, да не так. И вот когда один из нас собрал информацию о 16 хакерских группировках, атакующих Ближний Восток, другой (а точнее — другая) проанализировал их тактики и техники, результатом этого тандема стало большое исследование. Ну а в этой статье мы расскажем о том, как действуют APT‑группировки, с чего начинают атаку и как развивают ее, двигаясь к намеченной цели.
Нормализация событий информационной безопасности и как ее можно выполнять с помощью языка eXtraction and Processing
Всем привет! На связи Михаил Максимов, я — ведущий эксперт департамента развития технологий в R&D Positive Technologies. За плечами у меня многолетний опыт по развитию экспертизы в нашей системе MaxPatrol SIEM и процессов вокруг нее. И сегодня я хочу поговорить про один из видов экспертизы в продуктах этого класса — правилах нормализации. Если вы новичок в этом направлении и ранее вам не приходилось сталкиваться на практике с SIEM-системами и правилами для нее — не пугайтесь, основы этой темы мы тоже затронем 😊
Что нас ждет:
🔻определимся с тем, что же это такое — событие информационной системы, какие разновидности событий бывают;
🔻узнаем, что такое нормализация событий и какие этапы можно в этом процессе выделить, рассмотрим нюансы, с которыми можно столкнуться;
🔻детально разберем язык eXtraction and Processing (XP) для задач нормализации, лежащий в основе правил MaxPatrol SIEM, и посмотрим на примеры кода правил разной сложности;
🔻в заключении поговорим про доступные инструменты, которые можно использовать для разработки правил, и про причины, по которым мы решили пойти по пути разработки собственного языка.
Как хакеры ломают банки за 48 часов и что нужно для защиты
На последней кибербитве Standoff 12, которая проходила в ноябре 2023 года, впервые был представлен вымышленный финтех — Global Digital Bank, максимально автоматизированный, с облачными приложениями на основе микросервисов «под капотом». Задачей команд атаки (red team) было реализовать недопустимые события, в случае с финтехом — остановить работу банка, выкрасть базу данных клиентов, взломать новостной портал. Назначение PT Container Security — защитить контейнерные среды и помочь синим командам отследить действия атакующих. Что из этого получилось? Рассказываем!
Сообщества вокруг технологии: почему быть бесплатным недостаточно
Эта статья может пригодиться тем, у кого есть пет-проект с открытым исходным кодом, который хочется продвигать, но нет опыта работы с коммуникациями. Меня зовут Ксения Романова, по образованию я PR-специалист, работала в маркетинге, затем в Developer Relations. Сейчас я менеджер по работе с IT-сообществами в Positive Technologies, организатор DevRel-завтраков и член программного комитета DevRel Conf.
Предыдущие шесть лет я работала с глобальным сообществом, построенным вокруг распределенной базы данных с открытым исходным кодом Apache Ignite. Поделюсь опытом, как найти тех, кто полюбит проект, какие инструменты позаимствовать у маркетинга и как измерить результат. Обычно ресурсы команд небольших проектов ограничены, поэтому я собрала много «низко висящих фруктов», то есть таких «точек опоры» в коммуникации, приложив минимум усилий к которым, можно получить максимальный эффект.
Карьера в кибербезопасности, или Как расти в ИБ
Ежегодно тысячи выпускников программ по ИБ, начиная свой карьерный путь, задаются вопросами: как развиваться в кибербезопасности и к какой должности стремиться? какие задачи я смогу решать через несколько лет? смогу ли я изменить свой карьерный путь, если пойму, что мне становится скучно? Меня зовут Дмитрий Федоров, я руковожу проектами по взаимодействию с вузами в команде Positive Education. Мы часто слышим эти вопросы, лично работая со студентами и молодыми специалистами, поэтому решили ответить на них, а в итоге у нас получились наглядные схемы развития карьеры в ИБ.
Тот самый RAT-троян за 200 рублей: как защититься от RADX
Всем привет! Меня зовут Валерий Слезкинцев, в Positive Technologies я руковожу направлением реагирования на конечных точках в отделе обнаружения вредоносного ПО в PT Expert Security Center. Наша команда занимается исследованиями MaxPatrol EDR в части выявления и реагирования на вредоносную активность на хостах. Мы пишем корреляционные правила для покрытия новых техник злоумышленников, анализируем существующие технологии и подходы к обнаружению и реагированию на угрозы. Так, недавно мы заинтересовались новой серией кибератак с использованием трояна удаленного доступа под названием RADX. Об этом вы могли читать в различных статьях, например на SecurityLab. И конечно же, нам стало интересно, как MaxPatrol EDR обнаруживает этот троян и реагирует на него. Что мы в итоге узнали, расскажем и покажем в этой статье.
Восемь опаснейших уязвимостей февраля 2024 года
Привет друзья! Я Александр Леонов, и вместе с отделом аналитиков Positive Technologies мы подготовили для вас дайджест трендовых уязвимостей за прошедший месяц.
Вы, наверно, сразу спросите: а что это за уязвимости такие — трендовые? Это опасные уязвимости, которые активно используются в атаках или с высокой вероятностью будут использоваться в ближайшее время.
При этом трендовые не тоже самое, что критические. Уязвимость может быть критической, способной потенциально «положить» работу массового сервиса на периметре организации, но при этом сложной в эксплуатации. Поэтому уязвимость вроде и есть, и критичная, а до реальной эксплуатации дело может дойти через месяцы и годы, а может совсем не дойти. А трендовые уязвимости несут опасность здесь и сейчас, поэтому и исправлять их требуется в первую очередь и кратчайшие сроки.
Как взламывают биометрию и заставляют нейросети придумывать способы атак: топ-6 докладов с PHDays о ML и AI
Машинное обучение — особенно генеративные нейронные сети, такие как ChatGPT, — меняет мир нечеловеческими темпами. Разработчиков на некоторых дистанционных собеседованиях просят направить веб-камеру на рабочее место и клавиатуру, чтобы понимать, самостоятельно ли соискатель выполняет задания. Amazon ограничивает авторов самиздата загрузкой на сайт трех книг в день — фанфики и другая проза создаются неестественно быстро для «кожаных мешков». Поумневшие чат-боты приводят к массовым увольнениям сотрудников поддержки, а дизайнеры опасаются уступить конкуренцию Midjourney и Playground v2.
Генеративный AI словно говорит человечеству: «Сосредоточьтесь на важном, а я займусь искусствами, этими избыточными павлиньими хвостами хомосапиенсов, и рутиной». Люди ставят задачи, а огромная AI-фабрика по созданию цифрового контента их выполняет. Мечта многих, получается, осуществилась? Но преступники тоже используют AI или находят способы обмануть умные системы. Об угрозах ML и AI, в том числе для информационной безопасности, мы будем говорить в традиционном треке на киберфестивале Positive Hack Days 2. У вас есть время подать заявку до 15 марта, чтобы поделиться своим исследованием с 23 по 26 мая на стадионе «Лужники». А сейчас расскажем о некоторых любопытных докладах прошлых лет на ML-треке PHDays.
Снова в деле: как прошел осенний Standoff 12 для PT Expert Security Center
С 21 по 24 ноября 2023 года прошел Standoff 12 — международные киберучения по информационной безопасности, на которых команды «красных» (атакующих белых хакеров) исследуют защищенность IT-инфраструктуры виртуального Государства F. Синие же команды (защитники) фиксируют эти атаки, а иногда даже отражают.
Атакующие пытались перехватить управление спутником, украсть данные клиентов банка или скомпрометировать систему управления дорожным движением; в общей сложности можно было воплотить в жизнь 137 атак и недопустимых событий. Всего было развернуто семь отраслевых сегментов: шесть офисов Государства F и один офис со сборочной инфраструктурой Positive Technologies.
Плагины IDE — простой способ войти в безопасную разработку. Без регистрации и СМС
Разработчики используют плагины каждый день, и их функциональность призвана упростить разработку, например, автоматически проверять проставление всех специальных символов (таких как «;», «:») или соблюдение синтаксиса. Они буквально были созданы для того, чтобы разработчики прямо во время написания кода могли осуществить его проверку на уязвимости и сразу исправлять их, не выходя из IDE. Давайте разберемся, какие бывают плагины и как с ними работать?
Информация
- Дата регистрации
- Дата основания
- 2002
- Численность
- 1 001–5 000 человек
- Местоположение
- Россия