Cекретный ингредиент для реверс-инжиниринга: как работает наш собственный опенсорс-плагин для IDA
Привет, Хабр! Меня зовут Георгий Кучерин, я — Security Researcher в Глобальном центре исследования и анализа угроз (GReAT) «Лаборатории Касперского», где мы занимаемся изучением APT-атак, кампаний кибершпионажа и тенденций в международной киберпреступности. Да-да, тот самый GReAT, который раскрыл...
[Перевод] Пара слов о вредоносном ПО для Linux и способах защиты вашей системы
Если вы следите за последними новостями в области IT‑безопасности, то, возможно, заметили рост числа атак на сетевую инфраструктуру Linux‑систем. Среди основных разновидностей вредоносного ПО, о которых вы должны знать, можно выделить Cloud Snooper, EvilGnome, HiddenWasp, QNAPCrypt, GonnaCry, FBOT...
Ransomware: not-a-virus, или Почему антивирус — не панацея при атаке шифровальщиков
Разбирая очередной инцидент, связанный с атакой шифровальщика, и услышав в очередной раз вопрос «как же так, ведь у нас есть антивирус!?», мы решили поделиться с комьюнити информацией о возобновившейся активности группировки DсHelp. В этой статье расскажем про участившиеся атаки DсHelp, рассмотрим...
Зоопарк группировок и уязвимые диски
В начале сентября 2024 года мы обнаружили подозрительный образ виртуального диска форматаVHDX — крайне редкое событие при просмотре потока данных. Анализ VHDX и всех связанных файлов позволил атрибутировать эту атаку группировке APT-C-60. Анализ VHDX и всех связанных файлов позволил атрибутировать...
Подельники или подражатели? Подробности атак группировки PhaseShifters
С весны 2023 года мы активно наблюдаем за одной любопытной группировкой. Мы назвали ее PhaseShifters, так как заметили, что она меняет свои техники вслед за другим группировками, например UAC-0050 и TA558. В своих атаках PhaseShifters используют фишинг от имени официальных лиц с просьбой...
Цифровая крепость: как защитить себя в мире киберугроз
В нашу эпоху, когда цифровые технологии пронизывают каждый аспект нашей жизни, вопрос кибербезопасности становится как никогда актуальным. Мы живем в мире, где информация стала валютой, а ее защита — необходимостью. Ох, как же быстро меняется ландшафт угроз! Будто вчера мы беспокоились о простых...
Что внутри у призрака: разбираемся с вредоносом GHOSTENGINE
Всем привет! Меня зовут Виталий Самаль, я старший специалист отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies. Мы с командой отслеживаем актуальные угрозы, анализируем тактики и техники атакующих и на основе этих данных пишем детектирующие правила и модули...
[Перевод] Разработка вредоносного ПО для MacOS: инъекция и закрепление шелл-кода на конечном устройстве
Мы продолжаем тему о проектировании и разработке вредоносного ПО для macOS. Первую часть публикации вы можете прочитать здесь. В этой статье мы: - Изучим методики инъецирования кода и то, как он применяется в вредоносном ПО; - Затронем способы обеспечения постоянства хранения; - В конце мы покажем...
[Перевод] Разработка вредоносного ПО для MacOS: создание заготовки
В этой статье мы погрузимся в мир проектирования и разработки вредоносного ПО для macOS, которая по сути является операционной системой на основе Unix. При исследовании внутренностей системы Apple мы воспользуемся классическим подходом с опорой на базовые знания эксплойтов, программирования на C и...
Подводные грабли экспертных утилит при работе с инцидентами
Привет, Хабр! Меня зовут Максим Суханов, я ведущий эксперт в команде CICADA8 Центра инноваций МТС Future Crew. Это подразделение отвечает, в том числе, за реагирование на инциденты кибербезпасности, форензику и реверс-инжиниринг вредоносного ПО. Ещё я занимаюсь другими интересными вещами, вроде...
Любовь в каждой атаке: как группировка TA558 заражает жертв вредоносами с помощью стеганографии
Приветствую! И снова в эфир врывается Александр Бадаев из отдела исследования киберугроз PT Expert Security Center. Но на этот раз мы работали в паре с Ксенией Наумовой, специалистом отдела обнаружения вредоносного ПО, недавно рассказывавшей читателям Хабра о трояне SafeRAT. Пришли к вам с новым...
Когда пользователь устал, или как хакеры обходят MFA
В начале января от действий скамера пострадала Mandiant — ИБ-дочка Google. Злоумышленник взломал аккаунт компании в Twitter* и использовал его для криптографического мошенничества. Оказалось, что в инциденте виноваты сотрудники Mandiant и некий «переходный период». Специалисты банально запутались в...
Полная неуязвимость? Как устроены защитные механизмы macOS (и при чем тут маркетинг)
Подход Apple к информационной безопасности приводит к тому, что некоторые пользователи Mac не обращают внимание на то, что происходит с их компьютерами. В этом посте я старался разобраться в основных механизмах защиты macOS от вредоносных программ и выделить их недостатки, но в результате...
Древний вредонос снова набирает обороты — инжектор Smoke Loader и Wifi-Recon. Часть 1
Приветствую вас, читатели. Сегодня речь пойдет об очень древнем вирусе, который не только остается активным по сегодняшний день, но и постоянно совершенствуется, используя всё новые и новые методы компрометации как обычных пользователей, так и крупных компаний. И имя этому вредоносу — Smoke Loader....
Открываем темные врата. Разбор вредоносного ПО DarkGate
0x0 Введение в предмет исследования Работа аналитика киберразведки часто подбрасывает интересные задачи из совершенно разных областей жизни. Иногда мы в Jet CSIRT анализируем очередное ВПО, которое еще никто не разбирал «по косточкам», или того, что уже было написано, оказывается мало, и приходится...
Очередная уязвимость или как опасный дроппер Batloader распространяется через поисковые системы и рекламу
Приветствую, читатели. Сегодня поговорим об очень актуальной на данный момент проблеме — отравление поисковой выдачи и распространение вредоносов через Google Ads. Разберемся на конкретном примере, почему, когда вы ищете какую-то популярную утилиту, часто первым результатом в поисковике является не...
Пригрели White Snake в письме от Роскомнадзора: стилер прикрывался документом с требованиями
Использовать такое вредоносное ПО может любой злоумышленник, у которого есть 140 $. За эту цену он получит атаку под ключ: билдер для создания экземпляров зловреда, доступ к панели управления скомпрометированными устройствами, а еще обновления и поддержку в мессенджере. Рассказываем о популярном...
[Перевод] Генерация полиморфного вредоносного кода при помощи ChatGPT
В стремительно меняющемся мире кибербезопасности злоумышленники постоянно ищут новые способы внедрения в компьютерные системы, их дестабилизации и эксплуатации уязвимостей. Один из самых коварных их инструментов — полиморфное вредоносное ПО, угроза-оборотень, затрудняющая использование традиционных...
Назад