🔍 Один из способов отыскать замаскированный от антивируса вредонос — снять дамп памяти процесса (то есть его копию, сохраненную в определенный момент) и проанализировать.

О том, как это можно сделать, а также об особенностях хранения памяти в новых версиях ядра ОС Linux (выше 6.1) рассказал в своей статье на Хабре наш коллега, специалист отдела обнаружения вредоносного ПО Евгений Биричевский.

Вы узнаете больше о структуре хранения областей виртуальной памяти в актуальных версиях ядра Linux, научитесь снимать дампы при помощи гипервизора с открытым кодом Xen (в статье расписана детальная реализация модуля) и исследовать их при помощи системы анализа DRAKVUF, построенной по принципу черного ящика.

Все подробности — в материале по ссылке.

#PositiveЭксперты
@Positive_Technologies

🧑‍💻 Сегодня открытый код используется почти в каждом проекте. При этом число угроз, связанных с использованием таких компонентов и библиотек, растет в геометрической прогрессии.

Ответ на вопрос, как обезопасить свой код, ищите на Хабре, в статье Антона Володченко, руководителя продукта PT Application Inspector.
Вот короткая инструкция:

1️⃣ Проведите инвентаризацию, чтобы понять, где именно в проектах используются опенсорсные решения, какие есть библиотеки, каких версий и под какими лицензиями.
2️⃣ Проверьте безопасность компонентов.
3️⃣ Устраните выявленные уязвимости и слабые места.

Подробности про SCA-анализаторы, которые помогут с пунктами выше, и разбор слабых мест популярных решений ищите в статье.

Читайте и делитесь с коллегами (это про опенсорс, а значит, пригодится каждому, кто пишет, проверяет и тестирует код).

#PositiveЭксперты
@Positive_Technologies

🤜 Мы проведем еще одну кибербитву Standoff — на Петербургском международном экономическом форуме (ПМЭФ)

С 4 по 7 июня мы приглашаем более 50 команд из разных стран проверить свои навыки, чтобы в будущем надежно защищать компании, предприятия и целые отрасли.

Посетители ПМЭФ смогут увидеть макет кибербитвы в специальной зоне Positive Technologies, на котором в режиме реального времени будут отображаться последствия атак красных команд.

💬 «За восемь лет в Standoff приняли участие тысячи специалистов по ИБ со всего мира. Они учились друг у друга и повышали уровень своей экспертизы, чтобы эффективно защищать организации в реальной жизни. Такой международный обмен очень важен, потому что у киберпреступности нет национальности и сообщество белых хакеров не должно замыкаться в границах своих стран. Нужно сообща противостоять этому глобальному вызову», — отметил Алексей Новиков, управляющий директор Positive Technologies.

🔥 На международных киберучениях участники могут выбрать одну из четырех ролей:

• Red team (исследователи с опытом в тестировании на проникновение).

• Blue team (специалисты служб мониторинга ИБ и SOC).

• Группа реагирования (команды международных и национальных CERT).

• Наблюдатель (специалисты по кибербезопасности и руководители функциональных направлений бизнеса).

👀 Больше подробностей — на сайте.

@Positive_Technologies

🔄 Мы добавили в PT ISIM новый пакет экспертизы с поддержкой четырех промышленных протоколов ABB и одного — «Энергомеры»

Теперь наша система глубоко анализа технологического трафика может своевременно выявлять еще больше опасных технологических команд и аномалий, сигнализирующих об активности злоумышленников.

Коротко о главном

💻 ABB — один из крупнейших производителей АСУ ТП в мире.

Новая экспертиза позволяет PT ISIM отслеживать команды настройки и взаимодействия с системой АСУ ТП ABB MicroSCADA, ПТК ABB Freelance и операции с ПЛК ABB, включая попытки взлома учетной записи методом брутфорса, внесение изменений в собственную базу данных ПЛК и аварийную остановку устройств.

Продукт также выявляет эксплуатацию опасных уязвимостей CVE-2023-0425 и CVE-2023-0426 в контроллерах типа AC 900F и AC 700F, которые были обнаружены ранее нашими экспертами.

🔌 «Энергомера» — лидер российского рынка приборов для учета электроэнергии.

Протокол CE_A нужен для обмена информацией между устройством сбора и передачи данных (УСПД) «Энергомеры» и системами коммерческого учета электроэнергии.

УСПД применяется для учета энергоресурсов и устанавливается на подстанциях, в распределительных щитах промышленных предприятий, жилых и офисных зданий. Обновление экспертизы позволяет выявлять события, связанные с учетом, обработкой, хранением и передачей информации, а также с управлением объектом автоматизации и контролем его состояния.

🏭 Новый пакет экспертизы доступен всем пользователям версии PT ISIM 4.4 и выше. Подробности — на нашем сайте.

#PTISIM
@Positive_Technologies

🌺 Хотя на календаре еще весна, «Позитивное лето кибербезопасности» уже в самом разгаре

Где?

В «Гранд Макет Россия» в Санкт-Петербурге. С начала мая и до конца августа именно там остановился гость с далекой планеты Posiland — ее главный специалист по кибербезопасности.

Вместе с ним вы сможете не только посмотреть разные уголки нашей страны, но и прокачать азы своей цифровой грамотности — узнать, что такое кибербезопасность и как защитить себя не только в физическом, но и в виртуальном мире.

Как?

Приходите в «Гранд Макет Россия», сканируйте QR-код и принимайте участие в увлекательном квесте, где вы сможете одновременно проверить, насколько хорошо ориентируетесь в мире кибербезопасности, и узнать, как защититься от мошенников.

Каждому участнику — приятный бонус, промокод, которым можно воспользоваться на выходе, чтобы на интерактивной стойке сделать фото на память с необычным гостем.

И пусть любое время года будет для вас кибербезопасным!

@Positive_Technologies

🖤Не только мы влюблены в Positive Research

Уверены, вам он тоже нравится. А кому еще? Например, Ассоциации директоров по коммуникациям и корпоративным медиа России (АКМР), которая вручила нашему журналу о кибербезопасности сразу две награды.

🏆 Ровно год назад мы перезапустили издание и впервые выдвинули его обновленную версию на отраслевую премию АКМР. И сразу — успех: победа в главной B2B-номинации «B2B — отраслевые медиа: журнал», а в качестве бонуса — специальная номинация «Лучшие иллюстрации».

💬 «Хотим поблагодарить всех, кто участвовал в перезапуске проекта, особенно наших авторов и спикеров! Спасибо за ваше доверие и вовлеченность, дальше — больше», — обещает команда Positive Research.

Ищите вторую часть журнала с итогами года на сайте, а также читайте печатную версию (ее можно взять, например, на наших мероприятиях). А скоро мы поделимся с вами чем-то интересным (да, мы мастера интриги!) из следующего космического выпуска, который выйдет в мае.

#PositiveResearch
@Positive_Technologies

😈 Что нового будет на Standoff 13

Кибербитва пройдет на малой спортивной арене во время киберфестиваля для всей семьи Positive Hack Days 2 в «Лужниках». Впервые все желающие бесплатно смогут своими глазами увидеть, как белые хакеры ломают системы защиты и к каким последствиям это приводит.

🏙🌆 К виртуальному Государству F на киберполигоне в этом году добавилось Государство S. Всего в них будет представлено восемь отраслевых сегментов:

• В государстве F — ИТ-сфера, атомная промышленность, транспорт и логистика.

• В государстве S — черная металлургия, банковская система и электроэнергетика.

• В обоих государствах — нефтегазовый сектор, ЖКХ и госуслуги.

Также участников ждут инфраструктуры компаний Positive Technologies и Innostage.

💻 Команды атакующих

В кибербитве примут участие 26 красных команд из разных стран. Они будут разделены на два клана. Задача каждого — атаковать системы компаний в государстве-противнике.

За успешную реализацию атак и событий команды будут зарабатывать очки в соответствии с уровнем сложности задач. В общей сложности атакующие смогут попытаться реализовать 190 инцидентов разной степени опасности.

В финальный день, 25 мая, состоятся плей-ин и плей-офф: четыре лучшие команды каждого из кланов поборются за главные призы.

👨‍💻 Команды защитников

Они не будут привязаны к государствам и смогут следить за своей отраслью в режиме расследования (мониторинга) или защиты (реагирования).

В первом случае задача защитников — фиксировать максимальное число инцидентов и расследовать все совершенные атаки. В режиме реагирования команды смогут дополнительно предотвращать и отражать атаки, чтобы защитить свою отрасль.

🤑 Призовой фонд составит рекордные 15 млн рублей

• 2,5 млн из них разделят 10 лучших красных команд.

• 5 млн смогут получить те, кому удастся выполнить специальное задание Innostage.

• 7,5 млн уйдет команде, которая сможет реализовать недопустимое для Positive Technologies событие.

😮 Подробности — на сайте Standoff 13. До встречи в «Лужниках»!

@Positive_Technologies

⚡️ В апреле эксперты Positive Technologies отнесли к трендовым пять уязвимостей

Это недостатки, которые уже использовались в кибератаках и те, эксплуатация которых прогнозируется на ближайшее время. Эти уязвимости необходимо быстро устранить или принять компенсирующие меры.

👁 Одна из них — уязвимость удаленного выполнения команд в PAN-OS, Palo Alto Networks

Под угрозой могут быть более 149 тысяч устройств. Эксплуатация уязвимости позволяет злоумышленнику создавать файлы в системе, а также исполнять вредоносный код. Это может привести к развитию атаки и реализации недопустимых для организации событий.

🖥 Четыре уязвимости — в продуктах Microsoft, которые потенциально затрагивают около миллиарда устройств и могут коснуться всех пользователей устаревших версий Windows.

Среди них:

• уязвимость удаленного выполнения кода в Microsoft Outlook через MSHTM

• уязвимость обхода фильтра SmartScreen в Windows Defender

Эти две уязвимости могут использоваться в фишинговых атаках и позволяют злоумышленнику выполнить произвольный код в системе жертвы.

• уязвимость повышения привилегий в сервисе Print Spooler на Windows

Уязвимость эксплуатируется уже около 5 лет и позволяет злоумышленнику повысить привилегии до максимальных в ОС Windows.

• уязвимость подмены драйвера прокси-сервера Windows

Компания Sophos опубликовала исследование зловредного ПО со встроенным прокси-сервером, которое имело действительный сертификат Microsoft Hardware Publisher.

Подробнее об этих уязвимостях и рекомендациях по их устранению — в дайджесте на нашем сайте.

👍 Выявлять такие недостатки помогает система управления уязвимостями нового поколения — MaxPatrol VM. Экспертиза поступает в продукт в течение 12 часов.

#втрендеVM
@Positive_Technologies

🐱 Свежий номер Positive Research выйдет через несколько недель, но мы уже сейчас пришли со спойлерами можем показать кое-что любопытное оттуда.

Например, предложить вам разгадать несколько слов из нового кроссворда на тему даркнета (раз уж все равно выходные). Тем, кто справятся с каждой из задачек первыми, достанется печатный выпуск нашего журнала о кибербезопасности, как только он выйдет.

Ну что, сможете угадать, как на сленге кибермошенников называется сервер, маскирующий волков под овец?

Пишите свой ответ в комментариях 👇

#PositiveResearch
@Positive_Technologies

3️⃣ Мы знаем три слова, три слова из кроссворда, который скоро выйдет в Positive Research, и вы скоро тоже будете знать.

Вчерашнее слово — «дедик», это сленговое название сервера, к которому киберпреступники получают доступ тайком от реального владельца, чтобы с помощью этого сервера маскировать свои действия под легальные.

Сегодняшнее — с налетом 18+, так называют ресурсы, доступ к которым чаще всего есть только через даркнет, потому что для обычных интернет-пользователей они заблокированы.

⏳ Сколько времени вам потребуется, чтобы угадать? Если знаете ответ, велкам в комментарии.

#PositiveResearch

✍️ Продолжаем частично разгадывать кроссворд из будущего выпуска Positive Research. Напомним: кто первым отгадает слово, получит в качестве приза этот самый выпуск — только что из типографии.

Слово номер два (то, что вы отгадывали вчера) — «порник», ресурс для взрослых с рискованным контентом.

Сегодня загадали схему (необязательно мошенническую) гарантированного получения благ в большом количестве и без каких-либо вложений со стороны получателя.

Если вы посмотрели на картинку и подумали: «да это же ****», срочно делитесь ответом в комментариях. Удачи!

#PositiveResearch

🧑‍💻 Пост для тех, кто занимается программированием и любит придумывать небанальные решения даже для простых задач

На киберфестивале Positive Hack Days 2 мы проведем олимпиаду по программированию, участие в которой смогут принять все желающие. Состязание пройдет 25 мая. Вас ждут задания разного уровня сложности, которые подойдут и новичкам, и гуру разработки. Темы тоже самые разнообразные: линейный и двоичный поиск, сортировки, линейные структуры данных, графы и многое другое.

Участвовать можно в онлайн- и офлайн-формате. Если хотите потренироваться, присоединяйтесь к пробным «забегам», которые пройдут онлайн 14 и 16 мая.

Ищите подробности на сайте и подавайте заявку до конца дня 23 мая, если хотите проверить собственные силы, зарядиться драйвом и показать все, на что способны.

😉 Удачи и помните: удовольствие от участия здесь точно важнее победы.

@Positive_Technologies
#PHD2

😮 Наши эксперты, отвечающие за поддержку MaxPatrol SIEM и MaxPatrol VM, не только обрабатывают более 10 000 заявок в год, но и развивают экспертизу клиентов и партнеров

Они выступают с лекциями, готовят материалы для курсов, а также активно общаются в комьюнити-чатах.

О самых частых кейсах, с которыми обращаются клиенты, и реальных историях их решения рассказали в статье на Хабре Олег Герцев, руководитель группы поддержки систем мониторинга событий безопасности, и Лиля Кондратьева, руководитель группы поддержки систем управления уязвимостями.

Вы узнаете:

🚨 почему могут случаться ложные срабатывания (и как быстро понять, что они ложные);
2️⃣ что бывает, если в инфраструктуре установлены две версии одного и того же ПО, и как определить, какая из них — слабое звено в системе кибербезопасности;
👻 как поступить, если уязвимость обнаружена в пакете mc (GNU Midnight Commander), удаленном из системы.

Подробнее о том, как работают специалисты техподдержки, читайте в статье.

P. S. В конце статьи — несколько тематических ребусов, придуманных авторами. Разгадывайте и делитесь ответами в комментариях.

@Positive_Technologies
#PositiveЭксперты

🔥 Вся программа киберфестиваля Positive Hack Days 2 — на нашем сайте

В течение четырех дней вас ждут более 20 крутейших треков о кибербезопасности, разработке, бизнесе, а также увлекательная научно-популярная программа.

🛰 Напомним, что научпоп-сцену «Спутник» смогут посетить бесплатно все желающие. Больше про открытую зону киберфестиваля вы можете узнать в канале @PHDays.

🎫 Для посещения других треков необходимо приобрести билет на нашем сайте, сделав взнос в фонд «Подари жизнь» (минимальная сумма — 1000 рублей).

👀 Посмотреть программу (спойлер: еще будут дополнения, но основная часть уже опубликована)

До встречи с 23 по 26 мая в «Лужниках»!

P. S. Смотреть трансляции почти со всех треков можно будет и онлайн без регистрации и смс, но рекомендуем увидеть весь масштаб вживую 😉

@Positive_Technologies
#PHD2

😎 Наш продукт для выявления киберугроз на конечных устройствах и реагирования на них MaxPatrol EDR получил сертификат соответствия ФСТЭК России

По данным исследования, в 2023 году злоумышленники часто реализовывали недопустимые события на объектах критической информационной инфраструктуры (КИИ).

💬 «Нередко точкой входа злоумышленники выбирают именно конечные устройства: они крайне уязвимы, поскольку зависят от пользователей и позволяют применять разные векторы атак», — отмечает Юрий Бережной, руководитель направления по развитию защиты конечных устройств, Positive Technologies.

При сертификации MaxPatrol EDR был присвоен четвертый уровень доверия, что позволяет внедрять его в инфраструктуру госучреждений, финансовых, промышленных, транспортных организаций и других субъектов КИИ. Кроме того, соответствие четвертому уровню доверия подтвердили MaxPatrol SIEM и MaxPatrol VM.

👨‍💻 MaxPatrol EDR устанавливается на компьютеры и ноутбуки сотрудников, виртуальные рабочие места и серверы. Автономные агенты защищают устройства удаленных сотрудников, а также те, которые находятся вне домена или не в сети.

Теперь наш продукт поможет еще большему числу компаний на ранних этапах выявлять угрозы и оперативно реагировать на них прежде, чем злоумышленники успеют нанести недопустимый ущерб.

🖥 Познакомиться с MaxPatrol EDR ближе вы можете оставив заявку на нашем сайте.

@Positive_Technologies
#MaxPatrolEDR