↪️ Сохранение файлов из трафика с помощью Suricata

Для того, чтобы находить в сетевом трафике интересные файлы и удобно их анализировать, в Suricata есть опция file store. С её помощью детектируется передача файлов по основным протоколам, и если файл соответствует дополнительным критериям, его можно сохранить на диск. Простейшие правила в пару строк позволяют извлекать из трафика большие файлы, файлы заданных расширений, исполняемые файлы, и так далее.

🎞 Как активировать и настроить file store, смотрите в нашем видео.

Предыдущие лайфхаки ищите по тегу #suricata в канале, а полноценное онлайн-обучение Suricata и другим ИБ-инструментмм доступно на нашем портале.

#советы #видео @П2Т

🎁 Когда XDR будет полезен?

В ИБ критически важно максимизировать пользу от закупленных технологий. Это диктуется стратегиями MITRE, бюджетными распорядителями и здравым смыслом. Вооружившись этим тезисом, стоит поразмыслить, как и когда внедрять в организации XDR. Это ведь не волшебная коробка, которая будет работать сама по себе. XDR должен автоматизировать уже существующие процессы и механизмы, а не становиться новым продуктом в SOC. Только когда всё — от выявления до реагирования — настроено организационно, XDR может принести автоматизацию, скорость и прочие обещанные блага.
⏩ Более детально о «XDR-зрелости», пошаговом анализе и планировании при внедрении XDR читайте в посте Евгении Лагутиной.

#советы @П2Т

🚨 Crimeware: ну, что у нас плохого?

Базовые для всей киберкриминальной индустрии инструменты, такие как ботнеты и инфостилеры, постоянно эволюционируют, чтобы усложнить обнаружение ВПО и привлекать «клиентуру» новыми функциями. Свежими техниками злоумышленников делимся на Securelist:

🟣Новый загрузчик DarkGate рекламируется на криминальных форумах. Авторы обещают скрытое VNC-подключение, менеджер файлов, кражу истории браузера и токенов Discord, а также добавление в исключения Защитника Windows. Проанализированный образец обладает не всеми этими функциями, зато щеголяет сложной четырёхэтапной процедурой разворачивания.

🟣 Стилер-старожил LokiBot продолжает успешно эксплуатироваться, обнаруженные нами недавно письма-приманки были точно нацелены на фирмы, занимающиеся морскими перевозками, а вредоносная нагрузка завёрнута в файл Excel (макросы не требуются).

🟣Слухи о смерти ботнета Emotet оказались преувеличенными, он воскрес и доставляется жертвам во вложениях OneNote.

Более детальное описание TTP и все IOC — на Securelist.

#новости @П2Т

✅ Главные уязвимости: отчёт CISA и их англоязычных союзников

В середине года выходят несколько интересных отчётов, посвященных уязвимостям. Некоторые охватывают 2022 год, некоторые — последние 12 месяцев, но в любом случае они довольно поучительны и практичны. Начнём с большого отчёта «пятиглазых», посвящённого главным уязвимостям, которые постоянно эксплуатировались в реальных атаках на организации.

Главный вывод не нов — самые популярные уязвимости не являются 0day или 1day. Это уязвимости, известные год или два, имеющие PoC на Github, давно закрытые патчами, но при этом всё равно не ликвидированные тысячами сисадминов по всему миру. Злоумышленникам не нравится трудная работа, поэтому они предпочитают уязвимости в продуктах, имеющих всемирное применение во всех индустриях.

Топ-12 уязвимостей: CVE-2018-13379 в Fortinet SSL VPN, три CVE 2021 года, составляющие ProxyShell, CVE-2021-40539 в Zoho ManageEngine, CVE-2021-26084 и -26134 в Confluence, CVE-2021-44228 Log4Shell, CVE-2022-22954 и -22960 в VMWare, CVE-2022-1388 в F5 BIG-IP, CVE-2022-30190 в инструменте техподдержки Windows, MSDT.

Ещё три десятка регулярно эксплуатируемых уязвимостей — в приложенном отчёте (англ). Там же даны детальные рекомендации организациям по предотвращению эксплуатации подобных уязвимостей. Рекомендации разделены на понятные группы:

🔘управление уязвимостями и конфигурацией
🔘управление доступом и идентификацией
🔘инструменты защиты и защищенная архитектура сети
🔘безопасность цепочки поставок.

#новости #советы @П2Т

🛠 Главные индустриальные уязвимости 2023

На бюллетенях той же CISA основан отчёт, анализирующий уязвимости АСУ ТП за первое полугодие 2023 г. Аналитики ICS Advisory Project и SynSaber пришли к выводу, что основными индустриями, в которых были актуальны опубликованные уязвимости, стали производство и энергетика (37,3% и 24,3% всех CVE). 41% относится к программным уязвимостям, почти 27% находятся в прошивках устройств.

➡️В сегменте важных производств (critical manufacturing) чаще всего находили уязвимости у следующих производителей:
🔘Mitsubishi Electric (20,5%)
🔘Siemens (18,2%)
🔘Rockwell Automation (15,9%)
🔘Delta Electronics (11,4%)
🔘Advantech (9,1%)
🔘замыкают топ Johnson Controls, ABB, Schneider Electric и InHand Networks с 2-7%

В энергетике с гигантским отрывом доминирует Hitachi Energy (39,5% всех уязвимостей), у Advantech второе место с 10%, далее обычные подозреваемые Delta Electronics, Rockwell Automation, ABB, Schneider Electric и Siemens с 5-8%.

При этом для 34% уязвимостей нет патчей и рекомендаций по смягчению, впрочем, для двух десятков продуктов это связано с тем, что они находятся в статусе end of life (поддержка производителя завершена).
Весьма интересен анализ того, как производители предлагают решить обнаруженные проблемы. Siemens и Rockwell Automation в подавляющем большинстве случаев предлагают патчи или обновленную версию ПО и оборудования. В то же время Delta Electronics и Mitsubishi Electric за рассмотренный период не предложили клиентам ничего из перечисленного. 😢

Более детальные таблицы, анализ критичности уязвимостей и векторов их эксплуатации, а главное — рекомендации по приоритизации уязвимостей для промышленных организаций, можно изучить в приложенном отчёте (англ.).

#новости #советы @П2Т

😎 А как дела с зиродеями?

Выпустили ежегодный отчёт о найденных 0day и в Google, где Project Zero, похоже, вливается в состав Threat Analysis Group.

Там, конечно, есть цифры о динамике в активно эксплуатируемых зиродеях (их стало меньше), но самый важный и неприятный вывод состоит в том, что более 40% активно эксплуатируемых уязвимостей является разновидностью ранее найденных уязвимостей.
Это означает, что разработчики ПО устраняют конкретный баг в программном коде, но делают это слишком локально, не пытаясь найти тот же дефект в других местах своего приложения, а также не проводя анализ, какие усовершенствования программной архитектуры могут сделать целые классы уязвимостей трудно эксплуатируемыми.

Авторы предостерегают, что использовать количество CVE в качестве метрики безопасности продукта неправильно. Как увеличение, так и уменьшение количества CVE может быть связано с улучшением или ухудшением ситуации по конкретному продукту. Например, быстрый выпуск и принудительное применение патчей в продукте вынуждает злоумышленников искать новые пути его эксплуатации, что приводит к увеличению числа CVE. В то же время дыры, не закрываемые годами, позволяют атакующим спокойно пользоваться одной уязвимостью, а на графике новых CVE будет приятная пустота 😈.

В этом смысле стоит обратить внимание на платформенную войнушку iOS vs Android, где iOS опередила Android по количеству активно эксплуатируемых зиродеев в 2022 году. На первый взгляд это означает, что iOS стала более уязвимой платформой. Но авторы отчёта напоминают, что патч, выпущенный для Android, и патч, применённый производителем смартфона это, как говорится, две большие разницы. Атаковать Android-устройства многих производителей можно при помощи уязвимостей, закрытых и год, и два года назад. В качестве примеров приводятся баг в GPU MALI, который ходил по инстанциям почти год и сильно устаревший Chromium в фирменном браузере Samsung.

#новости @П2Т

🗣 Обучение ИБ: в теории и на практике

Когда: 11 августа 2023 в 11:00 (МСК)

Кадровый голод — глобальная проблема номер один в ИБ, и решать её надо на всех уровнях. Где искать кандидатов прямо сейчас? В какой ВУЗ идти, чтобы получить качественное образование в этой области? Чему можно научиться только на практике?

На онлайн-конференции AM Live эксперты из ИБ-компаний и образовательных организаций поделятся практикой по этой теме:

▶️ наиболее дефицитные компетенции на рынке ИБ на стороне заказчика;
▶️ какие специалисты нужны разработчикам и интеграторам;
▶️ существуют ли в России образовательные стандарты по информационной и кибербезопасности;
▶️ кто учит менеджеров и директоров по информационной безопасности;
▶️ как будет меняться система обучения специалистов по ИБ в России;
▶️ где получить качественное базовое ИБ-образование.

👤 От «Лаборатории Касперского» выступит Евгения Русских, руководитель отдела по связям с учебными заведениями

Встречаемся в пятницу утром: 11 августа 2023 в 11:00 (МСК).
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

🐾 Как оптимизировать правила Suricata

Поскольку производительность правил критически важна при анализе трафика, не стесняйтесь использовать в Suricata механизм Engine analysis. Он сгенерирует специальный лог, описывающий, как движок Suricata обрабатывает правила, какая проверка сработала первой в каждом правиле, а также содержащий предупреждения о потенциально неэффективных особенностях каждого правила. Слепо следовать этим предупреждениям не стоит, но они помогают найти типовые ошибки в правилах, и поэтому особенно полезны новичкам.

🎞 Примеры использования Engine Analysis смотрите в нашем видео.

Предыдущие лайфхаки ищите по тегу #suricata в канале, а полноценное онлайн-обучение Suricata и другим ИБ-инструментам доступно на нашем портале.

#советы #видео @П2Т

На этой неделе надо закрыть 258 уязвимостей 😱

То ли подступающие доклады на BlackHat/DefCon, то ли положение звёзд на небе повлияли, но за последние два дня вышло столько патчей и обновлений, что Microsoft, создавшая традицию на их выпуск во второй вторник месяца, даже как-то потерялась. Судите сами:

Microsoft — 87 уязвимостей, из них две 0day
Adobe — около 30 уязвимостей в Acrobat и Reader, 3 в Magento и Adobe Commerce, три в Dimension.
SAP — 15 новых бюллетеней и 3 обновления
Intel — 38 уязвимостей в программных компонентах, плюс обновления микрокода для митигации новой атаки с утечкой информации, Downfall
AMD — 8 бюллетеней по поводу 13 уязвимостей
Cisco — 3 уязвимости, но две из них на самом деле касаются подавляющего большинства VPN-клиентов
Zoom — 15 уязвимостей
Google & Co — около 50 уязвимостей в самом Android и компонентах Qualcomm/ARM/MediaTek
Ivanti/Mobileiron — уязвимость всё та же, CVE-2023-35082, но в понедельник они признали, что она касается всех версий их EMM

#новости @П2Т

💻🟡 Из 87 патчей Microsoft, интереса заслуживает развитие событий вокруг CVE-2023-36884. Изначально анонсированная как RCE в Office и Windows HTML, она была переквалифицирована в уязвимость Windows Search. Её эксплуатация позволяет обойти механизм MotW, запустить вредоносный офисный файл и выполнить произвольный код без соответствующих предупреждений. Для устранения проблемы были выпущены обновления Windows, а также обновление Office (ADV230003), которое позволяет прервать цепочку действий атакующих. Напомним, что эта уязвимость эксплуатировалась вымогателями RomCom.

Вторая активно эксплуатируемая уязвимость — CVE-2023-38180 (CVSS 7.5) в .NET и Visual Studio, приводящая к DoS. Редмонд не привёл никаких деталей о том, кто и как эсплуатировал этот баг.

Всего Microsoft закрыла 23 RCE, 18 EoP, 3 уязвимости с обходом функций безопасности, 10 — разглашения информации, 8 DoS и 12 spoofing.

Из шести критических уязвимостей, две относятся к Teams (CVE-2023-29330 и -29328) и позволяют выполнить произвольный код, если жертва присоединится к вредоносной встрече. Ещё одна является RCE в Outlook, а остальные три приводят к исполнению произвольного кода через Microsoft Message Queuing (CVE-2023-36911, -36910, -35385, все CVSS 9.8). Всего уязвимостей в этом компоненте обнаружено 11 штук, что явно указывает на повышенный интерес исследователей и возможность скорой эксплуатации. Тем, у кого в инфраструктуре реально включена служба MMQ, рекомендуется оперативно установить обновления или строго регламентировать TCP-трафик на порту 1801 в качестве меры смягчения.

#новости @П2Т

🔵 А из вашего VPN утекает трафик?

Два свежих патча Cisco AnyConnect закрывают уязвимости, которые есть в большинстве клиентов VPN, как корпоративных, так и бытовых. Уязвимости (CVE-2023-36672, -35838, -36673 и -36671) имеют общее название TunnelCrack и позволяют владельцу роутера Wi-Fi или интернет-провайдеру манипулировать таблицами маршрутизации и ответами DNS-сервера таким образом, чтобы трафик с устройства уходил мимо шифрованного туннеля прямо атакующему, в открытом виде.

Для этого эксплуатируются два стандартных исключения в большинстве клиентов — мимо VPN направляется трафик локальной сети и трафик на сам VPN-сервер.

По словам авторов, все VPN-клиенты для iOS оказались уязвимы к атаке. Для Windows, Linux и macOS уязвимо большинство клиентов, а на Android — «всего» 25% протестированных приложений. Кроме Cisco, обновления, закрывающие дыру, по данным авторов выпустили Cloudflare, Mozilla VPN, Surfshark и проч. Тем, чей клиент не обновлён, рекомендовано отключить доступ к локальной сети в настройках VPN-клиента.

#новости @П2Т

⏩ TTP в атаках на промышленные организации. Способы эксфильтрации.

Сегодня опубликована третья часть отчёта Kaspersky ICS CERT об атаках на восточноевропейские промышленные предприятия. В ней проанализирована заключительная фаза атаки, на которой собранную информацию выгружают из атакованного предприятия. Даже эта активность не обошлась единственным шагом 😉

Стек имплантов для выгрузки информации состоит из трёх модулей.
Каждый из модулей гибко конфигурируем и злоумышленники могут заменить любой из них сообразно своим потребностям. Обнаруженные в этих инцидентах модули способны выгружать данные на Dropbox, Яндекс.Диск, а также 16 разных сервисов временного хранения файлов. Основным каналом эксфильтрации является выгрузка RAR-файлов на Dropbox, другие модули используются злоумышленниками из APT31 вручную.

ВПО способно забирать подготовленные архивы с других компьютеров в атакованной сети, что позволяет злоумышленникам выводить украденные данные с хостов, не имеющих прямого подключения к Интернету.

Отчёт, часть 1 ⟶
Отчёт, часть 2 ⟶
Отчёт, часть 3 ⟶

#новости #APT @П2Т

⏩ Интересные исследования APT и ИБ-новости за неделю

Благодаря целой пачке «хакерских» конференций, ИБ-повестка за неделю была очень активной, охватить всё положительно невозможно. Кстати, покопаться в слайдах со всех докладов BlackHat можно здесь.🤠 Начнём с APT:

⚡️ Атаки на объекты энергетической инфраструктуры — в Южной Африке наши исследователи нашли новый вариант бэкдора SystemBC. Компактное (8 кб) ВПО DroxiDat вероятно использовалось для первичной разведки и должно было закончиться атакой вымогателей, что-то в стиле Colonial Pipeline. На тех же хостах был найден маячок Cobalt Strike.

🛠 Kaspersky ICS CRT опубликовали третью часть саги (1, 2, 3) про атаки APT31 на промышленные предприятия Восточной Европы. Сложная цепочка имплантов (суммарно 15 штук) помогала преступникам вытаскивать информацию с физически изолированных систем через кропотливо собранный из Лего механизм профилирования флэшек.

Тем временем CISA выпустила бюллетень по поводу уже третьего импланта, найденного в организациях, атакованных через уязвимые системы почтовой безопасности Barracuda ESG (CVE-2023-2868). Новое ВПО названо WHIRLPOOL и помогает атакующим поднять TLS reverse shell к своему С2. Теперь уже неудивительно, что Barracuda вместо выпуска патчей бесплатно меняет клиентам свои железки. 🗿

‼️ За последний год злоумышленники сильно улучшили свои техники обхода MFA, до 35% взломов теперь случаются с аккаунтами, где была включена двухфакторка. Примечательно распространение фишингового сервиса EvilProxy, который повышает эффективность киберпреступников в два раза. Преступники фокусируются на взломе высокопоставленных сотрудников, а EvilProxy помогает обходить MFA в первую очередь на Microsoft 360, но также Gmail, Dropbox, Twitter, и так далее. В качестве приманок используются письма, выглядящие как автоматические уведомления популярных корпоративных сервисов (Concure, DocuSign, Adobe). Дополнительно затрудняет обнаружение атаки целая цепочка редиректов через легитимные сервисы.

Анализ сложного модульного импланта MoustachedBouncer, обнаруженного в различных посольствах и дипломатических структурах. Фреймворк развивается с 2014 года, примечательно применение SMTP и IMAP для общения с С2 и доставка ВПО при помощи внедрения в интернет-коммуникации жертвы (предположительно на уровне провайдера).

Не APT, но тоже увлекательно

Пятнадцать уязвимостей в SDK для промышленного оборудования CODESYS V3 приводят программируемые контроллеры к RCE и отказу в обслуживании. Полный список подверженных продуктов — в бюллетене CODESYS, на практике уязвимостям подвержены, в частности, ПЛК производства Schneider Electric и WAGO.

👀 Неверно сконфигурированные кластеры Kubernetes встречаются гораздо чаще, чем всем нам хотелось бы. Исследователи обнаружили 350 доступных из Интернета кластеров, из которых минимум 60% были взломаны и содержали различные вредоносные скрипты, майнеры и проч. Большинство кластеров принадлежат небольшим компаниям, но некоторые относятся к крупным международным конгломератам и компаниям из списка Fortune 500.

Анализ исходных кодов из утечки Яндекса. Оставляя политические воззрения авторов за скобками, отметим что статья довольно детально перечисляет, какие данные тянут с устройства Метрика и АппМетрика, как они сопоставляются и группируются, и какие сегменты из этого производятся.

🔐 Почти все корпоративные и бытовые VPN уязвимы к атакам TunnelCrack, позволяющим выводить часть коммуникаций из зашифрованного туннеля. Кратко описали механику атаки и средства защиты на блоге.

Атаки на популярную ecommerce платформу Magento 2 с помощью CVE-2022-24086 продолжаются. То, что уязвимость с CVSS 9.8, запатченную год назад, можно продолжать эксплуатировать, многое говорит про администраторов соответствующих магазинов 😏. В атаках интересно использование веб-шелла нового поколения, wso-ng. У него есть целый ряд примечательных функций, например проверка репутации заражённого хоста на VT и SecurityTrails. Впрочем, основной нагрузкой на атакованных серверах является конечно веб-скиммер.

#APT #дайджест @П2Т