❗️Мы провели анализ вредоносного ПО Lizar — набора инструментов, который использует популярная АРТ-группировка FIN7.
Lizar содержит множество компонентов с разными функциями: от удаленного управления зараженными машинами до кражи конфиденциальных данных из корпоративных систем.
В статье мы описали каждый из компонентов, а также рассказали, как обычные пентестеры могут стать частью преступных группировок.
Кстати, на прошлой неделе руководителя FIN7 приговорили к 10 годам тюрьмы за кибератаки, которые привели к финансовым потерям на сумму более 1 миллиарда долларов.
Lizar содержит множество компонентов с разными функциями: от удаленного управления зараженными машинами до кражи конфиденциальных данных из корпоративных систем.
В статье мы описали каждый из компонентов, а также рассказали, как обычные пентестеры могут стать частью преступных группировок.
Кстати, на прошлой неделе руководителя FIN7 приговорили к 10 годам тюрьмы за кибератаки, которые привели к финансовым потерям на сумму более 1 миллиарда долларов.
Хабр
От пентеста до АРТ-атаки: группа киберпреступников FIN7 маскирует свою малварь под инструментарий этичного хакера
Статья подготовлена командой BI.ZONE Cyber Threat Research Мы не первый раз натыкаемся на киберпреступные группировки, которые прикидываются легальными организац...
У киберпреступников нет выходных, и майские никак их не затормозили: хакеры взламывают, шифровальщики шифруют, мошенники обманывают. Поэтому у нас накопились новости для свежей подборки от BI.ZONE🔥
В нескольких штатах США объявлено ЧП из-за кибератаки
Группа киберпреступников DarkSide остановила крупнейший трубопровод США Colonial Pipeline, который обеспечивает 45% потребности Восточного побережья в дизеле, бензине и авиатопливе. Начался настоящий хаос: цены на американские нефтепродукты взлетели, биржевые трейдеры заказывают топливо только из Европы. Атака в духе «Мистера Робота».
Ирландия тоже пострадала от киберпреступников
Работа ирландских больниц была нарушена из-за атаки шифровальщика Conti на национальную службу здравоохранения. Неотложка работала в обычном режиме, а вот многие амбулаторные приемы пришлось отложить или отменить. На поводу у злоумышленников не пошли, выкуп платить отказались — вместо этого закрыли IT-системы. Этот инцидент уже назвали самой суровой кибератакой на Ирландию.
GitHub пересмотрит правила размещения эксплоитов
Грань между кодом для анализа уязвимостей и кодом, которым злоупотребляют злоумышленники, размыта. То есть кто угодно может залить малварь с пометкой «для исследования безопасности». Поэтому теперь GitHub просит указывать, может ли размещаемый проект использоваться для причинения вреда. Также сотрудники GitHub хотят иметь больше возможностей для модерации проектов: ограничивать или удалять код, предназначенный для кибербезопасников, если известно, что он применяется для атак.
Продолжение мини-рубрики «Хакеры хакают хакеров»
На этот раз жертвами стали пользователи популярного софта Burp Suite. В нем нашли уязвимость, которая приводила к утечке реального IP-адреса жертвы и NetNTLM-хешей, а также к RCE. Баг уже пропатчен, поэтому не забудьте обновиться.
Киберстрасти: информационная война Signal и Cellebrite
В 2020 году израильская киберкриминалистическая компания Cellebrite заявила, что взломала Signal и получила доступ к его данным. Теперь создатель Signal Мокси Марлинспайк изучил продукты Cellebrite и нашел в них много багов, эксплоит которых позволил выполнить вредоносный код. Марлинспайк намекнул, что криминалистам лучше не использовать Cellebrite для извлечения информации из Signal. А то мало ли что🤫
#threatzonenews
В нескольких штатах США объявлено ЧП из-за кибератаки
Группа киберпреступников DarkSide остановила крупнейший трубопровод США Colonial Pipeline, который обеспечивает 45% потребности Восточного побережья в дизеле, бензине и авиатопливе. Начался настоящий хаос: цены на американские нефтепродукты взлетели, биржевые трейдеры заказывают топливо только из Европы. Атака в духе «Мистера Робота».
Ирландия тоже пострадала от киберпреступников
Работа ирландских больниц была нарушена из-за атаки шифровальщика Conti на национальную службу здравоохранения. Неотложка работала в обычном режиме, а вот многие амбулаторные приемы пришлось отложить или отменить. На поводу у злоумышленников не пошли, выкуп платить отказались — вместо этого закрыли IT-системы. Этот инцидент уже назвали самой суровой кибератакой на Ирландию.
GitHub пересмотрит правила размещения эксплоитов
Грань между кодом для анализа уязвимостей и кодом, которым злоупотребляют злоумышленники, размыта. То есть кто угодно может залить малварь с пометкой «для исследования безопасности». Поэтому теперь GitHub просит указывать, может ли размещаемый проект использоваться для причинения вреда. Также сотрудники GitHub хотят иметь больше возможностей для модерации проектов: ограничивать или удалять код, предназначенный для кибербезопасников, если известно, что он применяется для атак.
Продолжение мини-рубрики «Хакеры хакают хакеров»
На этот раз жертвами стали пользователи популярного софта Burp Suite. В нем нашли уязвимость, которая приводила к утечке реального IP-адреса жертвы и NetNTLM-хешей, а также к RCE. Баг уже пропатчен, поэтому не забудьте обновиться.
Киберстрасти: информационная война Signal и Cellebrite
В 2020 году израильская киберкриминалистическая компания Cellebrite заявила, что взломала Signal и получила доступ к его данным. Теперь создатель Signal Мокси Марлинспайк изучил продукты Cellebrite и нашел в них много багов, эксплоит которых позволил выполнить вредоносный код. Марлинспайк намекнул, что криминалистам лучше не использовать Cellebrite для извлечения информации из Signal. А то мало ли что🤫
#threatzonenews
📢 Не пропустите наш доклад «Поиск злоумышленников, закрепившихся через MS Exchange Server и Outlook» на PHDays-10
Эксперты из центра мониторинга и реагирования на киберугрозы BI.ZONE Теймур Хеирхабаров и Антон Медведев расскажут, как злоумышленники могут закрепиться в скомпрометированной системе, используя функциональные возможности Exchange/Outlook, и предоставят готовые рецепты выявления таких злоумышленников.
Присоединяйтесь!
Завтра в 15:00 на треке Threat Research Camp🔝
Эксперты из центра мониторинга и реагирования на киберугрозы BI.ZONE Теймур Хеирхабаров и Антон Медведев расскажут, как злоумышленники могут закрепиться в скомпрометированной системе, используя функциональные возможности Exchange/Outlook, и предоставят готовые рецепты выявления таких злоумышленников.
Присоединяйтесь!
Завтра в 15:00 на треке Threat Research Camp🔝
Охота на атаки MS Exchange. Часть 2
Наша прошлая статья была посвящена различным методам обнаружения эксплуатации уязвимостей ProxyLogon. В этот раз мы описали методы обнаружения других уязвимостей продукта MS Exchange, а именно CVE-2020-0688, CVE-2020-16875 и CVE-2021-24085.
Несмотря на то что эти уязвимости не такие свежие, как ProxyLogon, мы продолжаем обнаруживать следы их эксплуатации (в том числе успешные) у наших клиентов. Расследование позволяет выкинуть злоумышленников из сети и сократить ущерб от атаки.
Мы показали, как при помощи специальных событий MS Exchange можно в реальном времени детектировать описанные атаки, а также обнаружить следы атак в ходе ретроспективного анализа.
#msexchange
Наша прошлая статья была посвящена различным методам обнаружения эксплуатации уязвимостей ProxyLogon. В этот раз мы описали методы обнаружения других уязвимостей продукта MS Exchange, а именно CVE-2020-0688, CVE-2020-16875 и CVE-2021-24085.
Несмотря на то что эти уязвимости не такие свежие, как ProxyLogon, мы продолжаем обнаруживать следы их эксплуатации (в том числе успешные) у наших клиентов. Расследование позволяет выкинуть злоумышленников из сети и сократить ущерб от атаки.
Мы показали, как при помощи специальных событий MS Exchange можно в реальном времени детектировать описанные атаки, а также обнаружить следы атак в ходе ретроспективного анализа.
#msexchange
Хабр
Охота на атаки MS Exchange. Часть 2 (CVE-2020-0688, CVE-2020-16875 и CVE-2021-24085)
Автор статьи: Антон Медведев Ревью статьи: Вадим Хрыков Наша прошлая статья была посвящена различным методам обнаружения эксплуатации уязвимостей ProxyLogon. В этот раз мы поговорим о методах...
Мы изучили Taidoor — троян с многомодульной структурой, функциональность которого можно менять на ходу, подстраиваясь под цели конкретных атак.
💀У этой малвари довольно удобный интерфейс для запуска процессов и взаимодействия с консолью.
🛠Она использует разные методы, затрудняющие обнаружение и расследование атаки: от стандартных, таких как поиск антивируса в зараженной системе, до менее распространенных, таких как подмена временных меток индикатора заражения.
☝️При этом криптография в трояне реализована слабовато.
В целом Taidoor можно назвать достойным базовым инструментом в арсенале злоумышленника.
Подробнее читайте в нашей статье
💀У этой малвари довольно удобный интерфейс для запуска процессов и взаимодействия с консолью.
🛠Она использует разные методы, затрудняющие обнаружение и расследование атаки: от стандартных, таких как поиск антивируса в зараженной системе, до менее распространенных, таких как подмена временных меток индикатора заражения.
☝️При этом криптография в трояне реализована слабовато.
В целом Taidoor можно назвать достойным базовым инструментом в арсенале злоумышленника.
Подробнее читайте в нашей статье
Хабр
Taidoor: мультитул для хакера
Автор: Иннокентий Сенновский Taidoor — крайне эффективная вредоносная программа класса RAT (remote access trojan), предназначенная для использования без закрепл...
В начале 2021 г. наш коллега Макс Суханов обнаружил две уязвимости в загрузчике ОС Windows: CVE-2021-28447 и CVE-2021-27094. Они позволяют вредоносной программе, запущенной с правами админа, изменять или удалять сигнатуры Early Launch Anti-Malware (ELAM), не повлияв на процесс измеряемой загрузки.
ELAM — это защита от руткитов и других вредоносных программ, активирующихся на раннем этапе загрузки операционной системы. За работу ELAM отвечает специальный драйвер, который загружается в память первым и проверяет все остальные драйверы на угрозы.
Загрузчик Windows видит и измеряет одни значения реестра в ветке ELAM, в то время как ядро Windows видит другие значения реестра в этой ветке: изменения в сигнатурах ELAM или отсутствие сигнатур. То есть уязвимости используют различия в коде разбора реестра (registry parsing code) загрузчика Windows и ядра Windows.
Чем опасны эти уязвимости, читайте в нашей статье на Medium (на английском).
ELAM — это защита от руткитов и других вредоносных программ, активирующихся на раннем этапе загрузки операционной системы. За работу ELAM отвечает специальный драйвер, который загружается в память первым и проверяет все остальные драйверы на угрозы.
Загрузчик Windows видит и измеряет одни значения реестра в ветке ELAM, в то время как ядро Windows видит другие значения реестра в этой ветке: изменения в сигнатурах ELAM или отсутствие сигнатур. То есть уязвимости используют различия в коде разбора реестра (registry parsing code) загрузчика Windows и ядра Windows.
Чем опасны эти уязвимости, читайте в нашей статье на Medium (на английском).
Medium
Measured Boot and Malware Signatures: exploring two vulnerabilities found in the Windows loader
By Maxim Suhanov, 2021
🔥Если будете на PHP Russia 2021 — не пропустите доклад нашего коллеги Антона Прохорова про уязвимости в приложениях на PHP и способы их эксплуатации.
Антон пообещал не только рассказать про некоторые уязвимости, специфичные для приложений на PHP (type juggling, insecure deserialization, local file include), но и рассмотреть их на примерах, а также показать, как их эксплуатировать.
Доклад точно понравится всем, кто хочет взглянуть на нетривиальные уязвимости PHP глазами специалиста по безопасности.
28 июня в 11:30!
Все подробности здесь
Антон пообещал не только рассказать про некоторые уязвимости, специфичные для приложений на PHP (type juggling, insecure deserialization, local file include), но и рассмотреть их на примерах, а также показать, как их эксплуатировать.
Доклад точно понравится всем, кто хочет взглянуть на нетривиальные уязвимости PHP глазами специалиста по безопасности.
28 июня в 11:30!
Все подробности здесь
phprussia.ru
Антон Прохоров на PHP Russia 2021
Чтобы лучше понимать, как защищать приложения, нужно иметь представление о том, как их атаковать.В докладе я расскажу про некоторые уязвимости, специфичные для приложений на PHP, такие, как type juggling, insecure deserialization и local file include. Рассмотрим…
💥В выходные мы провели соревнования по этичному хакингу CTFZone 2021
334 команды со всего мира состязались в умении быстро и эффективно решать проблемы кибербезопасности. Мы подготовили для участников 18 задач в 7 категориях, в том числе:
— атаки на веб-приложения;
— реверс-инжиниринг;
— эксплуатация бинарных уязвимостей;
— атаки на криптографические алгоритмы;
— побег из песочницы (Sandbox escape);
— атаки на механизмы безопасности ОС Linux.
В тройку победителей вышли две команды из России и одна из Италии. Они разделили между собой призовой фонд в 18 000 $.
☝️Соревнования формата CTF очень важны для развития навыков практической кибербезопасности. Мы это знаем по себе: многие из нас в начале карьеры получили кучу ценных знаний именно на таких состязаниях. Поэтому, чтобы поддерживать сообщество, в свободные от работы бессонные ночи мы пилим таски и проводим один из крупнейших CTF-турниров.
Мы благодарим всех, кто участвовал в этом году, а всех, кто не присоединился, ждем в следующем (надеемся, что традиция не прервется)!
334 команды со всего мира состязались в умении быстро и эффективно решать проблемы кибербезопасности. Мы подготовили для участников 18 задач в 7 категориях, в том числе:
— атаки на веб-приложения;
— реверс-инжиниринг;
— эксплуатация бинарных уязвимостей;
— атаки на криптографические алгоритмы;
— побег из песочницы (Sandbox escape);
— атаки на механизмы безопасности ОС Linux.
В тройку победителей вышли две команды из России и одна из Италии. Они разделили между собой призовой фонд в 18 000 $.
☝️Соревнования формата CTF очень важны для развития навыков практической кибербезопасности. Мы это знаем по себе: многие из нас в начале карьеры получили кучу ценных знаний именно на таких состязаниях. Поэтому, чтобы поддерживать сообщество, в свободные от работы бессонные ночи мы пилим таски и проводим один из крупнейших CTF-турниров.
Мы благодарим всех, кто участвовал в этом году, а всех, кто не присоединился, ждем в следующем (надеемся, что традиция не прервется)!
🦾9 июля пройдет международный онлайн-тренинг по кибербезопасности Cyber Polygon 2021
BI.ZONE уже в третий раз проводит масштабный тренинг на виртуальной инфраструктуре, моделирующей архитектуру и сервисы коммерческих компаний. В рамках мероприятия организации со зрелыми процессами получают реальный опыт защиты от атак и расследования инцидентов без сопряженного с этим финансового ущерба.
Для тренинга мы готовим сценарии атак, с которыми нам уже приходилось иметь дело и которые остаются актуальными. Выполнив задания, участники получат знания и навыки, которые могут пригодиться им уже завтра.
Главная тема в этом году — безопасное развитие экосистем и отражение атак supply chain.
На тренинг зарегистрировалось уже более 160 организаций из 47 стран. Среди них — Сбер, «Тинькофф», Home Credit bank, TimeWeb, SB Crédito, Ventum Consulting, OZON, Агентство кибербезопасности Сингапура, UZCERT и многие другие.
Зарегистрировать свою команду можно по ссылке. У вас есть еще несколько дней, чтобы присоединиться к тренингу.
Обратите внимание:
☝️заявки принимаются только от корпоративных команд
☝️на прохождение сценариев тренинга нужно заложить сутки
☝️участие в Cyber Polygon бесплатное
Также вас ждет экспертный трек с техническими докладами от Сергея Голованова из «Лаборатории Касперского», Ивана Новикова из Wallarm, Кирилла Касавченко из Netskope, Артема Синицына из Microsoft и других.
👉За новостями тренинга можно следить в нашем канале.
BI.ZONE уже в третий раз проводит масштабный тренинг на виртуальной инфраструктуре, моделирующей архитектуру и сервисы коммерческих компаний. В рамках мероприятия организации со зрелыми процессами получают реальный опыт защиты от атак и расследования инцидентов без сопряженного с этим финансового ущерба.
Для тренинга мы готовим сценарии атак, с которыми нам уже приходилось иметь дело и которые остаются актуальными. Выполнив задания, участники получат знания и навыки, которые могут пригодиться им уже завтра.
Главная тема в этом году — безопасное развитие экосистем и отражение атак supply chain.
На тренинг зарегистрировалось уже более 160 организаций из 47 стран. Среди них — Сбер, «Тинькофф», Home Credit bank, TimeWeb, SB Crédito, Ventum Consulting, OZON, Агентство кибербезопасности Сингапура, UZCERT и многие другие.
Зарегистрировать свою команду можно по ссылке. У вас есть еще несколько дней, чтобы присоединиться к тренингу.
Обратите внимание:
☝️заявки принимаются только от корпоративных команд
☝️на прохождение сценариев тренинга нужно заложить сутки
☝️участие в Cyber Polygon бесплатное
Также вас ждет экспертный трек с техническими докладами от Сергея Голованова из «Лаборатории Касперского», Ивана Новикова из Wallarm, Кирилла Касавченко из Netskope, Артема Синицына из Microsoft и других.
👉За новостями тренинга можно следить в нашем канале.
Cyber Polygon
Тренинг
В ходе онлайн-тренинга Cyber Polygon 2021 участники отработают действия команды реагирования при таргетированной атаке на цепочку поставок (supply chain) в рамках корпоративной экосистемы
Забирайтесь под кондей и сделайте перерыв на подборку новостей из мира кибербезопасности. Расскажем о неразберихе у IT-гигантов, кибератаках на говядину и цепочках уязвимостей.
PrintNightmare, или Почему не стоит торопиться выкладывать PoC
Напомним, что все началось с уязвимостей CVE-2021-1675 и CVE-2021-34527 в диспетчере очереди печати Windows (Print Spooler). Их вроде как пропатчили, а потом оказалось, что патч решает проблему только наполовину. Однако исследователи уже успели выложить PoC😬 Преступники вовсю эксплуатируют уязвимости, которые потенциально могут использоваться для захвата контроля над любым сервером или компьютером на базе Windows, поскольку диспетчер очереди печати включен по умолчанию на всех системах.
От уязвимости до киберапокалипсиса
Клиенты поставщика MSP-решений Kaseya стали жертвами атаки supply chain, реализованной известной группировкой REvil. Злоумышленники внедрили вредоносное обновление в программу VSA — это удалось сделать из-за уязвимостей, которые не успели пропатчить. Напомним, что месяц назад, по данным ФБР, жертвой REvil стал крупнейший в мире производитель говядины — JBS. Тогда вымогатель получил 11 млн долларов. Сейчас инфраструктура, используемая REvil, отключена. Причина этого пока неизвестна.
Тринадцать демонов уязвимостей Nagios
Коллеги из SkyLight основательно взялись за программу мониторинга компьютерных систем. Они нашли в ней аж 13 уязвимостей, собрали их в единую цепочку и даже выложили SoyGun — платформу для удобства атаки на серверы Nagios. Там полный набор: от взлома сервера до удаленного доступа и повышения привилегий.
И еще три Rocket Chat
Целых три бага нашли в популярном корпоративном мессенджере — Blind injection, Error based injection и RCE через админку, используемую по умолчанию. Получается цепочка уязвимостей, которая позволяет пользователю с минимальными привилегиями исполнить код на сервере. О попытках эксплуатации инфы пока нет.
#threatzonenews
PrintNightmare, или Почему не стоит торопиться выкладывать PoC
Напомним, что все началось с уязвимостей CVE-2021-1675 и CVE-2021-34527 в диспетчере очереди печати Windows (Print Spooler). Их вроде как пропатчили, а потом оказалось, что патч решает проблему только наполовину. Однако исследователи уже успели выложить PoC😬 Преступники вовсю эксплуатируют уязвимости, которые потенциально могут использоваться для захвата контроля над любым сервером или компьютером на базе Windows, поскольку диспетчер очереди печати включен по умолчанию на всех системах.
От уязвимости до киберапокалипсиса
Клиенты поставщика MSP-решений Kaseya стали жертвами атаки supply chain, реализованной известной группировкой REvil. Злоумышленники внедрили вредоносное обновление в программу VSA — это удалось сделать из-за уязвимостей, которые не успели пропатчить. Напомним, что месяц назад, по данным ФБР, жертвой REvil стал крупнейший в мире производитель говядины — JBS. Тогда вымогатель получил 11 млн долларов. Сейчас инфраструктура, используемая REvil, отключена. Причина этого пока неизвестна.
Тринадцать демонов уязвимостей Nagios
Коллеги из SkyLight основательно взялись за программу мониторинга компьютерных систем. Они нашли в ней аж 13 уязвимостей, собрали их в единую цепочку и даже выложили SoyGun — платформу для удобства атаки на серверы Nagios. Там полный набор: от взлома сервера до удаленного доступа и повышения привилегий.
И еще три Rocket Chat
Целых три бага нашли в популярном корпоративном мессенджере — Blind injection, Error based injection и RCE через админку, используемую по умолчанию. Получается цепочка уязвимостей, которая позволяет пользователю с минимальными привилегиями исполнить код на сервере. О попытках эксплуатации инфы пока нет.
#threatzonenews
Вышло исследование The Guardian о Pegasus — программе для слежки за преступниками, которая не всегда используется в благих целях.
С технической точки зрения, Pegasus — это шпионская малварь. Она способна отправлять оператору переписки пользователя в мессенджерах и по СМС, отслеживать звонки, местоположение и даже копаться в календаре. Еще и заметить слежку будет сложно: для этого нужно исследовать устройство при помощи специального инструмента (лишь бы на другую малварь не нарваться).
Но без паники❗️В России пока не зафиксировано ни одного случая применения Pegasus.
С технической точки зрения, Pegasus — это шпионская малварь. Она способна отправлять оператору переписки пользователя в мессенджерах и по СМС, отслеживать звонки, местоположение и даже копаться в календаре. Еще и заметить слежку будет сложно: для этого нужно исследовать устройство при помощи специального инструмента (лишь бы на другую малварь не нарваться).
Но без паники❗️В России пока не зафиксировано ни одного случая применения Pegasus.
the Guardian
What is Pegasus spyware and how does it hack phones?
NSO Group software can record your calls, copy your messages and secretly film you
Forwarded from BI.ZONE
BI.ZONE обнаружила всплеск мошенничеств с подменой счетов и реквизитов компаний
Группа реагирования BI.ZONE зафиксировала всплеск случаев мошенничества с подменой счетов и реквизитов компаний. При этом рост числа подобных инцидентов наблюдается с марта 2021 года. Мошенники перехватывают переписку между компанией-заказчиком и компанией-подрядчиком, вступают в переговоры от имени подрядчика и в нужный момент подменяют реквизиты оплаты на свои.
«В процессе таких атак мошенники единоразово могут украсть сотни тысяч долларов. По данным ФБР, потери от аналогичных махинаций в США в 2020 году составили 1,8 млрд долларов. Эксперты BI.ZONE выявляли подобные мошенничества на суммы от 40 тыс. до 450 тыс. долларов», — уточнил директор блока экспертных сервисов BI.ZONE Евгений Волошин.
При этом хакеры регистрируют фальшивые доменные имена, маскирующиеся под ритейлеров и крупных поставщиков, среди которых Walmart, Disney, BMW, Boeing, Airbus, Samsung и Adidas, а также российские корпорации. В своих атаках злоумышленники используют для электронной переписки домены, схожие по написанию с адресами сайтов жертв.
Узнать подробности 👈
Группа реагирования BI.ZONE зафиксировала всплеск случаев мошенничества с подменой счетов и реквизитов компаний. При этом рост числа подобных инцидентов наблюдается с марта 2021 года. Мошенники перехватывают переписку между компанией-заказчиком и компанией-подрядчиком, вступают в переговоры от имени подрядчика и в нужный момент подменяют реквизиты оплаты на свои.
«В процессе таких атак мошенники единоразово могут украсть сотни тысяч долларов. По данным ФБР, потери от аналогичных махинаций в США в 2020 году составили 1,8 млрд долларов. Эксперты BI.ZONE выявляли подобные мошенничества на суммы от 40 тыс. до 450 тыс. долларов», — уточнил директор блока экспертных сервисов BI.ZONE Евгений Волошин.
При этом хакеры регистрируют фальшивые доменные имена, маскирующиеся под ритейлеров и крупных поставщиков, среди которых Walmart, Disney, BMW, Boeing, Airbus, Samsung и Adidas, а также российские корпорации. В своих атаках злоумышленники используют для электронной переписки домены, схожие по написанию с адресами сайтов жертв.
Узнать подробности 👈
Заходит тестировщик в бар и заказывает кружку пива, 99999 кружек пива, −1 кружку пива...
Без тестировщиков и автотестов сегодня не выпускают программ, если не хотят, чтобы потом было больно от пропущенных ошибок в коде.
Но даже признанный профессионал не переберет все варианты входных данных, которые могут вызвать нежелательное поведение программы и выявить проблемы безопасности.
Поэтому придумали такие инструменты, как фаззеры 🐇
Фаззер заходит в бар, спотыкается о порог, останавливается. Фаззер заходит в бар, берет вилку. Фаззер заходит в бар, берет вилку, сует вилку в бок посетителю. Фаззер заходит в бар, берет вилку, сует вилку в розетку, бар сгорает.
В общем, фаззеры сами пытаются разобраться, что можно сделать в баре, миллионы раз меняя проверку.
О том, какие бывают фаззеры для C/C++ и как они работают, рассказали в первой части дилогии о фаззинге.
👉 Читайте на «Хабре» и ждите продолжения.
Без тестировщиков и автотестов сегодня не выпускают программ, если не хотят, чтобы потом было больно от пропущенных ошибок в коде.
Но даже признанный профессионал не переберет все варианты входных данных, которые могут вызвать нежелательное поведение программы и выявить проблемы безопасности.
Поэтому придумали такие инструменты, как фаззеры 🐇
Фаззер заходит в бар, спотыкается о порог, останавливается. Фаззер заходит в бар, берет вилку. Фаззер заходит в бар, берет вилку, сует вилку в бок посетителю. Фаззер заходит в бар, берет вилку, сует вилку в розетку, бар сгорает.
В общем, фаззеры сами пытаются разобраться, что можно сделать в баре, миллионы раз меняя проверку.
О том, какие бывают фаззеры для C/C++ и как они работают, рассказали в первой части дилогии о фаззинге.
👉 Читайте на «Хабре» и ждите продолжения.
Хабр
Немного про современные технологии Greybox-фаззинга
Автор: Иннокентий Сенновский Как найти баги, о которых вы и не догадывались, или что такое фаззинг Все уже привыкли, что программу надо покрывать тестами, чтобы потом не было стыдно. Но вот проблема:...
Что должен делать хороший фаззер?
🔹Максимизировать количество исполнений тестируемой программы в секунду (больше фаззим — больше находим).
🔹Не задерживаться на бесполезных тест-кейсах (расписание тестирования должно быть умным).
🔹Мутировать тест-кейсы наиболее эффективным способом.
🔹Преследовать цель как можно быстрее достичь как можно более полного покрытия кода программы.
Как до этого доросли современнные фаззеры и почему они превратились в мощный инструмент для исследования безопасности программ, написали в статье на «Хабре».
Это вторая часть нашей дилогии про фаззеры. Если вы хотите для начала разобраться, что такое фаззеры и как они работают, вам — в первую часть дилогии.
🔹Максимизировать количество исполнений тестируемой программы в секунду (больше фаззим — больше находим).
🔹Не задерживаться на бесполезных тест-кейсах (расписание тестирования должно быть умным).
🔹Мутировать тест-кейсы наиболее эффективным способом.
🔹Преследовать цель как можно быстрее достичь как можно более полного покрытия кода программы.
Как до этого доросли современнные фаззеры и почему они превратились в мощный инструмент для исследования безопасности программ, написали в статье на «Хабре».
Это вторая часть нашей дилогии про фаззеры. Если вы хотите для начала разобраться, что такое фаззеры и как они работают, вам — в первую часть дилогии.
Хабр
Greybox-фаззинг: level up. Как улучшали фаззеры
Автор: Иннокентий Сенновский В предыдущей статье мы рассмотрели, какие вообще фаззеры бывают и как они работают. В этой мы увидим, какие улучшения внедрили разработчики в современные фаззеры, чтобы...
❗️Недавно мы столкнулись с мошенниками, взявшими на себя обязанности почтальонов: они любезно пересылали электронные письма заказчика — исполнителю, а исполнителя — заказчику.
Чтобы вознаградить себя за любезность, мошенники не стали беспокоить адресатов — они просто подменили номер счета для оплаты в одном из писем.
Пересказ смешной, а ситуация страшная. Характерные черты этой атаки мы часто встречали в расследованиях этим летом, и наш беглый анализ показывает, что кампания потенциально направлена на сотни организаций по всему миру.
👉 Рассказали на «Хабре» о деталях атаки и о том, что можно сделать, чтобы не стать ее жертвой.
Чтобы вознаградить себя за любезность, мошенники не стали беспокоить адресатов — они просто подменили номер счета для оплаты в одном из писем.
Пересказ смешной, а ситуация страшная. Характерные черты этой атаки мы часто встречали в расследованиях этим летом, и наш беглый анализ показывает, что кампания потенциально направлена на сотни организаций по всему миру.
👉 Рассказали на «Хабре» о деталях атаки и о том, что можно сделать, чтобы не стать ее жертвой.
1. Решаешь прокачать защиту инфраструктуры с помощью фидов с индикаторами компрометации и информацией о киберугрозах.
2. Закапываешься в потоке дублирующихся данных.
3. Получаешь миллион ложных срабатываний.
4. Тратишь время и не видишь результатов.
Знакомо?
Вообще фиды — полезная штука, ведь они помогают задетектить вредоносную активность и своевременно принять меры. Но для этого нужно убедиться, что они качественные и подходят именно вашей организации. Увы, в описании фида такой информации не будет.
Мы провели объемную работу по оценке и фильтрации открытых источников. В результате удалось разработать собственную методику, которая учитывает много разных критериев: от пересечения с другими источниками до роли в расследовании инцидентов. Вы можете докрутить ее и смело использовать для решения похожих задач.
2. Закапываешься в потоке дублирующихся данных.
3. Получаешь миллион ложных срабатываний.
4. Тратишь время и не видишь результатов.
Знакомо?
Вообще фиды — полезная штука, ведь они помогают задетектить вредоносную активность и своевременно принять меры. Но для этого нужно убедиться, что они качественные и подходят именно вашей организации. Увы, в описании фида такой информации не будет.
Мы провели объемную работу по оценке и фильтрации открытых источников. В результате удалось разработать собственную методику, которая учитывает много разных критериев: от пересечения с другими источниками до роли в расследовании инцидентов. Вы можете докрутить ее и смело использовать для решения похожих задач.
Хабр
Качественные фиды на примере оценки OSINT-источников
Мы с командой постоянно используем в работе фиды с данными о киберугрозах. И мы не понаслышке знаем о таких проблемах, как недостаточное количество информации или ее дублирование в разных...
«Маленький бегемот и большие проблемы» — нет, это не название нового сериала, а подводка к шестой подборке новостей об уязвимостях от нашей команды. Поехали🔥
HiveNightmare — очередной киберкошмар
В Windows 10 и 11 нашли уязвимость Hivenightmare, позволяющую любому получить права администратора. Речь о CVE-2021-36934, с помощью которой можно залезть в конфиденциальные файлы базы данных реестра, чтобы самостоятельно повысить уровень привилегий в системе.
И еще немного о брешах в безопасности Windows
PetitPotam (маленький бегемот) — еще одна уязвимость в Windows, обнаружил которую исследователь из Франции. Эксплуатируя PetitPotam, можно захватить контроль над доменами Windows, запускать групповые политики и развертывать вредоносы на конечных точках.
RCE в Microsoft SharePoint
Речь о CVE-2021-28474. При сетевой атаке аутентифицированный злоумышленник может получить доступ для создания сайта и удаленно выполнить код на сервере SharePoint.
Укради ноут — получи доступ к сети
Отвлечемся от проблем в продуктах Microsoft. Эксперты из Dolos Group провели эксперимент: они получили ноут своего заказчика со стандартными настройками безопасности и показали, как с его помощью проникнуть в сеть. Это оказалось вполне реально даже с учетом того, что тестирование проводилось методом черного ящика.
Хакер, который психанул
История о настоящей киберавантюре: хакер взломал блокчейн-платформу Poly Network и похитил крипту на 600 млн долл. Однако он начал возвращать украденное, а также отказался от вознаграждения в 500 тыс. долл. Говорит, что сделал это из спортивного интереса.
#threatzonenews
HiveNightmare — очередной киберкошмар
В Windows 10 и 11 нашли уязвимость Hivenightmare, позволяющую любому получить права администратора. Речь о CVE-2021-36934, с помощью которой можно залезть в конфиденциальные файлы базы данных реестра, чтобы самостоятельно повысить уровень привилегий в системе.
И еще немного о брешах в безопасности Windows
PetitPotam (маленький бегемот) — еще одна уязвимость в Windows, обнаружил которую исследователь из Франции. Эксплуатируя PetitPotam, можно захватить контроль над доменами Windows, запускать групповые политики и развертывать вредоносы на конечных точках.
RCE в Microsoft SharePoint
Речь о CVE-2021-28474. При сетевой атаке аутентифицированный злоумышленник может получить доступ для создания сайта и удаленно выполнить код на сервере SharePoint.
Укради ноут — получи доступ к сети
Отвлечемся от проблем в продуктах Microsoft. Эксперты из Dolos Group провели эксперимент: они получили ноут своего заказчика со стандартными настройками безопасности и показали, как с его помощью проникнуть в сеть. Это оказалось вполне реально даже с учетом того, что тестирование проводилось методом черного ящика.
Хакер, который психанул
История о настоящей киберавантюре: хакер взломал блокчейн-платформу Poly Network и похитил крипту на 600 млн долл. Однако он начал возвращать украденное, а также отказался от вознаграждения в 500 тыс. долл. Говорит, что сделал это из спортивного интереса.
#threatzonenews
Forwarded from BI.ZONE
80% компаний хотят построить более структурированный и продуманный процесс управления инцидентами, ведь это позволяет сохранить конкурентоспособность при цифровизации.
Мы подготовили материал, который поможет сделать первый шаг, — руководство «Путь к цифровому лидерству. Как построить процесс управления инцидентами». Он делится на три раздела:
📌 Из первого вы узнаете, на какие тренды цифровизации стоит обратить внимание и как использовать их в своей компании.
📌 Второй поможет разобраться в основах реагирования на киберинциденты и подготовки к ним.
📌 Третий расскажет, что делать, если вы уже столкнулись с киберинцидентом.
Все наши выводы и рекомендации подкреплены цифрами и примерами из практики экспертов BI.ZONE. Вас ждут разборы реальных кейсов, наглядные схемы и алгоритмы действий.
Перейти на сайт руководства 👈
Приятного чтения!
#цифровоелидерство
Мы подготовили материал, который поможет сделать первый шаг, — руководство «Путь к цифровому лидерству. Как построить процесс управления инцидентами». Он делится на три раздела:
📌 Из первого вы узнаете, на какие тренды цифровизации стоит обратить внимание и как использовать их в своей компании.
📌 Второй поможет разобраться в основах реагирования на киберинциденты и подготовки к ним.
📌 Третий расскажет, что делать, если вы уже столкнулись с киберинцидентом.
Все наши выводы и рекомендации подкреплены цифрами и примерами из практики экспертов BI.ZONE. Вас ждут разборы реальных кейсов, наглядные схемы и алгоритмы действий.
Перейти на сайт руководства 👈
Приятного чтения!
#цифровоелидерство
YouTube
Путь к цифровому лидерству. Как построить процесс управления инцидентами
Непрерывность процессов — залог устойчивого развития бизнеса. Даже незначительный инцидент может привести к остановке деятельности, убыткам, удару по репутации.
Мы выпустили руководство «Путь к цифровому лидерству. Как построить процесс управления инцидентами»…
Мы выпустили руководство «Путь к цифровому лидерству. Как построить процесс управления инцидентами»…
Forwarded from Хакер — Xakep.RU
Самый быстрый укол. Оптимизируем Blind SQL-инъекцию #sqli #blind #guide #подписчикам
В своей практике работы в BI.ZONE я регулярно сталкиваюсь с необходимостью эксплуатации слепых SQL-инъекций. Пожалуй, Blind-случаи встречались мне даже чаще, чем Union или Error-based. Поэтому я решил подумать об эффективности. Эта статья — обзор подходов к эксплуатации слепых SQL-инъекций и техник, позволяющих ускорить эксплуатацию.
https://xakep.ru/2021/09/21/blind-sqli-optimize/
В своей практике работы в BI.ZONE я регулярно сталкиваюсь с необходимостью эксплуатации слепых SQL-инъекций. Пожалуй, Blind-случаи встречались мне даже чаще, чем Union или Error-based. Поэтому я решил подумать об эффективности. Эта статья — обзор подходов к эксплуатации слепых SQL-инъекций и техник, позволяющих ускорить эксплуатацию.
https://xakep.ru/2021/09/21/blind-sqli-optimize/
Forwarded from BI.ZONE
Как проверить, уязвимы ли вы к Log4Shell
Log4Shell — это критическая уязвимость в библиотеке логирования Log4j, которую используют многие веб-приложения на Java. Эксплуатация уязвимости приводит к удаленному выполнению кода (RCE), эксплоит уже опубликован, и ему подвержены все версии библиотеки до 2.15.0.
Проблема в том, что нет простого способа выяснить, использует ли приложение библиотеку Log4j. Веб-сканеры на основе эксплоитов — не выход: они могут пропустить уязвимое приложение.
Поэтому мы разработали свой сканер на основе YARA-правила, и он работает не из интернета, а на хосте. Его задача — просканировать память процессов Java на наличие сигнатур библиотеки Log4j.
На выходе вы получите перечень хостов, на которых есть приложения с Log4j, и сможете проверить версию библиотеки.
Если версия окажется уязвимой — пригодится этот разбор превентивных мер.
Удачи!
Log4Shell — это критическая уязвимость в библиотеке логирования Log4j, которую используют многие веб-приложения на Java. Эксплуатация уязвимости приводит к удаленному выполнению кода (RCE), эксплоит уже опубликован, и ему подвержены все версии библиотеки до 2.15.0.
Проблема в том, что нет простого способа выяснить, использует ли приложение библиотеку Log4j. Веб-сканеры на основе эксплоитов — не выход: они могут пропустить уязвимое приложение.
Поэтому мы разработали свой сканер на основе YARA-правила, и он работает не из интернета, а на хосте. Его задача — просканировать память процессов Java на наличие сигнатур библиотеки Log4j.
На выходе вы получите перечень хостов, на которых есть приложения с Log4j, и сможете проверить версию библиотеки.
Если версия окажется уязвимой — пригодится этот разбор превентивных мер.
Удачи!
GitHub
GitHub - bi-zone/Log4j_Detector: Detection of Log4j in memory
Detection of Log4j in memory. Contribute to bi-zone/Log4j_Detector development by creating an account on GitHub.
Друзья, мы все реже и реже появляемся в ваших лентах, и на это есть причина: Threat Zone больше не будет обновляться.
Формат Telegram-канала накладывает ограничения на технические материалы. Например, здесь не запостить полноценные статьи с большими кусками кода. Поэтому они переезжают в блог на нашем сайте. Подписывайтесь, чтобы не пропустить обновления.
Канал существовал два года. За это время мы собрали ламповое комьюнити, с которым делились своими исследованиями, статьями, мнениями.
За 2021-й мы:
📌Рассказали, к чему приводят уязвимости протокола DICOM
📌Сделали гайд по охоте на атаки MS Exchange
📌Поделились лайфхаками по подбору фидов на примере оценки OSINT-источников
📌Выпустили первый в мире сканер Log4j
📌Запилили шесть подборок новостей #threatzonenews
Читайте, если пропустили 👆🏼
Знаете, нам хотелось бы и дальше оставаться с вами! Поэтому не теряемся:
👉 наш блог
👉официальный канал компании @bizone_channel
Формат Telegram-канала накладывает ограничения на технические материалы. Например, здесь не запостить полноценные статьи с большими кусками кода. Поэтому они переезжают в блог на нашем сайте. Подписывайтесь, чтобы не пропустить обновления.
Канал существовал два года. За это время мы собрали ламповое комьюнити, с которым делились своими исследованиями, статьями, мнениями.
За 2021-й мы:
📌Рассказали, к чему приводят уязвимости протокола DICOM
📌Сделали гайд по охоте на атаки MS Exchange
📌Поделились лайфхаками по подбору фидов на примере оценки OSINT-источников
📌Выпустили первый в мире сканер Log4j
📌Запилили шесть подборок новостей #threatzonenews
Читайте, если пропустили 👆🏼
Знаете, нам хотелось бы и дальше оставаться с вами! Поэтому не теряемся:
👉 наш блог
👉официальный канал компании @bizone_channel