Как обнаруживать перемещение атакующих по сети
На проектах по анализу защищенности корпоративных информационных систем в 2019 году нашим пентестерам удалось преодолеть сетевой периметр 93% компаний. При этом в сеть 50% компаний можно было проникнуть всего за один шаг. Чтобы не дать реальным атакующим достичь цели, важно вовремя выявлять их...
Исследуем активность группировки Wintti: бэкдоры Shadowpad, xDLL и новые утилиты развития атак
В марте 2020, в рамках исследования угроз информационной безопасности, специалисты PT Expert Security Center обнаружили неизвестный ранее бэкдор и назвали его xDll, по оригинальному названию в коде. Из-за ошибки конфигурации контрольного сервера некоторые из директорий стали доступны извне. На...
Один подход к обнаружению веб-ботов, или Как мы использовали машинное обучение для классификации ботов
Объем трафика в интернете растет (особенно в последние месяцы, когда мы все оказались на удаленке и многие перевели свои активности в онлайн). Увеличивается и число автоматических средств взаимодействия с контентом на веб-сайтах и, как следствие, все большую актуальность получает фильтрация...
Все, что вы хотели знать о Sigma-правилах. Часть 3
Эта статья — завершение цикла материалов (первая часть, вторая часть), посвященного синтаксису Sigma-правил. Ранее мы рассмотрели пример простого Sigma-правила и подробно описали самые важные части правила — секцию описания источников событий и секцию описания логики детектирования. Теперь у нас...
Изучаем угрозы и рассказываем про атаки: чем занимаются аналитики ИБ в Positive Technologies
Сфера информационной безопасности богата на разные специальности, а сами специалисты сегодня остро востребованы на рынке труда. Если попытаться не задумываясь прикинуть пять направлений деятельности, которые относятся к ИБ, то мне на ум приходят такие: администратор ИБ, аналитик SOC (security...
Прочитай и сделай: проводим сканирование сети самостоятельно
В свете последних событий в мире много компаний перешли на удаленный режим работы. При этом для сохранения эффективности бизнес-процессов на сетевые периметры были вынесены приложения, которые не предназначены для прямого размещения на периметре, например внутрикорпоративные веб-приложения, на эту...
Все, что вы хотели знать о Sigma-правилах. Часть 2
Эта статья является продолжением нашего цикла материалов, посвященных описанию формата Sigma-правил. Кратко напомним структуру цикла. В предыдущей публикации мы привели пример простого правила и подробно рассмотрели секцию описания источников событий. Теперь у нас есть общие представления о...
Разбор: как мы нашли RCE-уязвимость в контроллере доставки приложений F5 Big-IP
BIG-IP от компании F5 – это популярный контроллер доставки приложений, который применяют крупнейшие компании мира. В ходе анализа защищенности этого продукта, нам удалось найти опасную уязвимость CVE-2020-5902. Эта ошибка безопасности позволяет злоумышленнику получить возможность выполнения команд...
Все, что вы хотели знать о Sigma-правилах. Часть 1
Создавая продукты и развивая экспертизу, мы в первую очередь руководствуемся стремлением повысить безопасность компаний. Однако в своих исследованиях мы движимы не только заботой о клиентах. Уже довольно давно у нас появилось желание проводить исследования для сообщества по информационной...
Что такое threat hunting, и как правильно охотиться на киберпреступников
Threat hunting или TH — проактивный поиск следов взлома или функционирования вредоносных программ, которые не обнаружены стандартными средствами защиты. Сегодня мы поговорим о том, как устроен этот процесс, какие инструменты можно использовать для поиска угроз, о чем помнить при формировании и...
Разбираем уязвимость в Citrix ADС, позволяющую за минуту проникнуть во внутреннюю сеть компании
В конце прошлого года эксперт Positive Technologies обнаружил уязвимость CVE-2019-19781 в ПО Citrix ADC, которая позволяет любому неавторизованному пользователю выполнять произвольные команды операционной системы. Под угрозой оказались около 80 тысяч компаний по всему миру. Ситуация усугубляется...
Безопасность мобильных устройств и приложений: пять популярных сценариев атак и способы защиты
Изображение: Unsplash Современные мобильные устройства очень сложны, и это дает злоумышленникам возможности для проведения атак. Для взлома вашего смартфона может быть использовано буквально все — от Wi-Fi и Bluetooth до динамика и микрофона. Аналитики Positive Technologies опубликовали...
Детектирование техник обхода песочниц и виртуализации на примере PT Sandbox
Когда заходит речь о песочницах, все представляют себе виртуальную машину, напичканную различными инструментами для отслеживания действий подозрительного ПО. И большинство продуктов работают именно таким образом. Следовательно, возникает вопрос — как же быть, если вредоносное ПО обнаружит...
В поисках APT30: как мы заметили новую активность группировки после нескольких лет молчания
Кибергруппировка APT30 известна довольно давно – еще в 2015 году ее активность описывали наши коллеги из FireEye. Участники этой группы обычно атакуют государственные структуры в Южной и Юго-Восточной Азии (в Индии, Таиланде, Малайзии и др. странах) с целью кибершпионажа, а их инструментарий...
Волк в овечьей шкуре: как поймать хакера, который тщательно маскируется под обычного пользователя
Изображение: Unsplash С ростом хакерской активности появляются продукты и методы, которые позволяют выявлять актуальные приемы взлома, закрепления, распространения. Поэтому хакеры стараются быть на шаг впереди и оставаться как можно более незаметными. Сегодня мы поговорим о тактиках сокрытия следов...
Новые стандарты информационной безопасности: усложним жизнь злоумышленникам
В сфере ИТ и ИБ давно утвердилось понятие бенчмарк (benchmark) — это технический стандарт настройки конкретной операционной системы, сетевого оборудования или серверного софта. В таких документах обычно описывают, что и как должно работать в инфраструктуре компании, на какие аспекты защиты это...
Исследование: на черном рынке растет популярность торговли доступами к корпоративным сетям
Эксперты Positive Technologies провели исследование торговых площадок на теневом рынке киберуслуг и обнаружили всплеск интереса к доступам в корпоративную сеть: в первом квартале 2020 года число предложений о продаже доступов на 69% превышает показатели предыдущего квартала. Выявленный тренд...
Новогодние поздравления и COVID-19: как хакеры используют новости
Киберпреступники часто используют для рассылок вредоносных файлов актуальные новости и события. В связи с пандемией коронавируса многие APT-группировки, в числе которых Gamaredon, SongXY, TA428, Lazarus, Konni, Winnti, стали использовать эту тему в своих кампаниях. Один из недавних примеров такой...