Рубрика «zeroday»

Многие центры безопасности смыслом своей работы, а то и жизни делают борьбу с хакерами и атаками. Дело действительно важное и интеллектуально очень емкое. Исследуем данные Threat Intelligence, собираем атрибуцию на группировки и её TTP (tactics, techniques and procedures), разрабатываем отдельные сценарии и правила выявления инцидентов, внедряем мощные технологические решения. Это огромный и важный кусок работы любой команды по безопасности, а уж тем более любого зрелого SOC.

image

Но периодически все классические подходы к безопасности через мониторинг просто умножаются на ноль, когда в жизнь приходит большая и неприятная массовая атака. Та самая, о которой узнаёт даже ваша бабушка. Условно назовем такую атаку медиакиберпандемией, чтобы не путать с регулярными рассылками Cobalt или хитрыми инструментами Silence (для бывалых они уже стали чем-то вроде белого шума). Речь о Heartbleed, Shellshock, WannaСry, уязвимости в оборудовании Cisco и прочих. Что их отличает от прочих кибердиверсий? Как в этом случае стоит (или не стоит) вести себя SOC и просто ИБ-службе компании? Давайте разбираться под катом.
Читать полностью »

Security Week 24: черный рынок угнанных RDP, зиродей в Flash, GMail отказывается от SSLv3 и RC4 - 1Одна из самых резонансных новостей этой недели посвящена черному рынку удаленного доступа к серверам. Эксперты «Лаборатории» исследовали сервис, на котором любой желающий может недорого приобрести информацию для доступа к одному из 70 с лишним тысяч серверов по всему миру по протоколу RDP. Взломанные серверы достаточно равномерно распределены по земному шару, примерно треть приходится на страны, где выбор — максимальный: Бразилию, Китай, Россию, Индию и Испанию.

Ничего не подозревающим владельцам этих серверов наверное будет интересно узнать, что с ними могут сделать злоумышленники, но тут я даже затрудняюсь в выборе, с чего начать. Если коротко — сделать можно все. Дальнейший взлом инфраструктуры жертвы — без проблем. Рассылка спама, DDoS-атаки, криминальный хостинг, кража информации, таргетированные атаки с эффективным заметанием следов — тоже можно. Кража данных кредиток, денег со счетов, бухгалтерской отчетности — да, если взломанный сервер имеет доступ к такой информации. Все это — по смешным ценам: 7-8 долларов за учетку.

XDedic и подобные сервисы (можно предположить, что он такой не один) — это криминальный екоммерс и финтех, он объединяет преступников разного профиля, крутых и не очень, использует современные технологии, предоставляет качественный сервис. Сами украденные данные предоставляют больше 400 продавцов — тут вам и конкуренция, и борьба за увеличение количества взломов. Самый подходящий момент напомнить — вас могут взломать, даже если вам кажется, что ваши данные никому не нужны. Во-первых, нужны, и вам в любом случае не понравится, как их используют. Во-вторых, ресурсы тоже стоят денег, а когда цена вопроса — три копейки, под удар попадают все вплоть до малого бизнеса. Украдут деньги со счета, или дампы кредиток, или хотя бы контакты клиентов для рассылки спама, атакуют через вас другую компанию, а если вообще ничего не выйдет — ну поставят генератор биткоинов и сожрут электричество.

С такими эволюциями киберкриминала трудно бороться, но данное исследование позволяет примерно понять, как это делать.
Все выпуски сериала — тут.
Читать полностью »

Security Week 19: искусственный интеллект в безопасности, zero days у Microsoft и Adobe, иной взгляд на криптолокеры - 1Начнем выпуск с еще одной производственной новости: компания IBM намерена использовать суперкомпьютер Watson для решения задач в области информационной безопасности (новость, официальный пресс-релиз). Напомню, Watson — это, как говорится в официальных документах, программно-аппаратный комплекс (кластер из 90 серверов), способный отвечать на вопросы на естественном языке, или некая реализация искусственного интеллекта. В 2011 году Watson одержал победу над жалкими людишками многократными победителями в игре Jeopardy (у нас это «Своя игра»).

В IBM хотят научить Watson обрабатывать большой поток связанной с ИБ информации, так, чтобы суперкомпьютер мог «отличать вирусы от троянов». Для этого IBM будет сотрудничать с рядом американских университетов, студенты которых будут соответствующим образом готовить информацию для дальнейшей обработки. Данных получится много, речь идет о миллиардах записей. Впрочем, пока рано говорить о том, что искуственный интеллект и человекоподобные роботы защитят нас от всех киберугроз. Конечные цели в анонсе даны очень широкими мазками: «автоматизировать нахождение взаимосвязей между данными [об инцидентах], потенциальными угрозами и стратегиями защиты».

С одной стороны, тема машинного обучения, искусственного интеллекта и поиска аномалий в огромном потоке данных (например, в сетевом трафике) весьма перспективна, да собственно уже сейчас такие алгоритмы широко применяются: начиная от детектирования новых угроз на основе информации о предыдущих инцидентах и до выявления сложных, таргетированных атак. С другой, почти все в индустрии согласны, что абсолютно все автоматизировать не получится, даже если оснастить парой Ватсонов каждое крупное предуприятие. Доля «ручного труда», а точнее необходимость в высококлассных экспертах для расследования угроз, остается весьма высокой. Большую роль в безопасности играет человеческий фактор, а это совсем уж плохо алгоритмизируемая задача. Впрочем, IBM формулирует задачу корректно: «дать новые возможности экспертам по безопасности». Не заменить их. В этом ключевое отличие данной инициативы от иных попыток порекламироваться на теме машин лернинга, обещая, что «компьютер все поймет», и сам научится детектировать любые атаки. Не научится. Почему — объясню под катом.

Предыдущие выпуски сериала — тут.
Читать полностью »

Буквально в 2-х словах, ибо информации пока совсем немного. Компания FireEye сообщает об обнаружении 0-day уязвимости в Adobe Reader. Уязвимы последние версии веток 9,10 и 11. Т.е. на данный момент это:

  1. 9.5.3
  2. 10.1.5
  3. 11.0.1

В чём суть уязвимости — не сообщается. Сообщается лишь, что в исследованном экземпляре эксплоита при удачной эксплуатации происходил запуск 2-х DLL-файлов. Первая DLL показывала ложное сообщение об ошибке и открывало другой PDF документ. Судя по всему речь идёт о классическом запуске PDF нужного содержания. Этот трюк часто используется в таргетированных атаках. Т.к. часто уязвимое приложение после запуска эксплоита «падает» и чуткий пользователь, не увидев полезной нагрузки, начинает небезосновательно бить тревогу.

Вторая DLL — троян-компомент, который осуществляет реверс-коннект к домену злоумышленника, что позволяет злоумышленнику контролировать скомпрометированный компьютер даже в случае, если тот находится за NAT-ом.Читать полностью »

Уязвимость нулевого дня в IE v6 8Конец года ознаменовался обнаружением уязвимости нулевого дня (т.н. 0day) в браузере Internet Explorer версий с 6 по 8 включительно (CVE-2012-4792). Microsoft выпустило бюллетень по безопасности в котором описывается какие системы подвержены риску. Судя по этому описанию, пользователям IE 9-10 повезло и там уязвимости нет.

Как сообщается, уязвимость была обнаружена в результате расследования факта взлома сайта Совета по международным отношениям США, на котором злоумышленники и разместили зловредный код к уязвимости. Анализ зловредного кода, использующего описанную уязвимость, доступен здесь.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js